Colexio Profesional de Enxeñaría en Informática de Galicia Jornada sobre la Adaptación de la Ley de Protección de Datos al Reglamento Europeo Prof. Dr. D. Miguel Ángel Davara Rodríguez Septiembre 2017

GENERALIDADES - Modificación Directiva del 95. Objetivos:    - Modificación Directiva del 95. Objetivos:   a) Abordar impacto NNTT b) Aumentar transparencia para interesados c) Reforzar el control de las personas sobre sus propios datos d) Sensibilización e) Acciones relativas a garantizar consentimiento en tto dcp f) El propio concepto de dcp

“Abordar el impacto de NNTT..”  Obtenido de https://ticsyformacion.com/2017/03/20/que-sucede-en-internet-en-un-minuto-infografia-infographic-socialmedia/

GENERALIDADES (Cont.) II. El Reglamento General de Protección de Datos   II.1. El Reglamento en los actos jurídicos de la UE II.2. Objetivo del Reglamento: Reforzar el derecho fundamental a la protección de datos.

Cuestiones a destacar del articulado

DISPOSICIONES GENERALES (Cap.I) Art. 2 Ámbito material tratamiento automatizado tratamiento manual Siempre que los datos formen parte de un sistema de archivo o destinados a formar parte de un sistema de archivo Sin perjuicio de aplicación Directiva 2000/31/CE) (art. 12 a 15 Directiva y 13 a 17 Ley 34/2002 – LSSIyCE)

DISPOSICIONES GENERALES (Cont.) Art. 4- definiciones (26) 1. Datos personales 2. Tratamiento 3. Limitación del tratamiento 4. Elaboración de perfiles 11. Consentimiento del interesado – libre, específico, informado e inequívoco – manifestación de voluntad

PRINCIPIOS (Cap. II) Principios relativos al tratamiento de datos personales (art. 5) ( = calidad de los datos) Periodo no superior para los fines para los que son almacenados

DISPOSICIONES GENERALES (Cont.) Art. 4- definiciones (25) – cont. 12. Violación seguridad de dcp-provoque destrucción, pérdida, etc. 14. Datos biométricos 15. Datos relativos a la salud 18. Empresa - persona física o jca que ejerza una actividad económica 19. Grupo de empresas 20. Normas corporativas vinculantes – políticas PD 25. Servicio S.I.

Licitud del tratamiento PRINCIPIOS (Cont.) Licitud del tratamiento (art. 6)

PRINCIPIOS (Cont.) Condiciones para el consentimiento (art. 7) Carga de la prueba del consentimiento distinguir claramente finalidad Revocación antes de dar consentimiento – informar

PRINCIPIOS (Cont.) Consentimiento del niño-S.I. (art. 8) oferta de servicios de S.I. – menor de 16 años (De 13-16 a decisión de Estados miembros) Autorizado por el titular de la responsabilidad parental- padre o tutor Esfuerzos razonables para comprobar * teniendo en cuenta la tecnología disponible

FORMACIÓN, TRANSPARENCIA Y SENCILLEZ Menores e Internet INE. Edad media de posesión de un smartphone: 11 años (42,2%) 12 años (69,5%) y 29,7 % con 10 años. “Una niña 'roba' la huella dactilar a su madre durante la siesta y compra 240 euros en juguetes por Internet” “Un niño de 12 años gasta más de 100.000 euros en YouTube por error” FORMACIÓN, TRANSPARENCIA Y SENCILLEZ

PRINCIPIOS (Cont.) Tratamiento de categorías especiales de datos personales (art. 9) Origen racial o étnico Opiniones políticas Convicciones religiosas o filosóficas Pertenencia a sindicatos Tratamiento datos genéticos Biométricos – de identificación única e inequívoca Datos relativos a la salud Orientación sexual PROHIBICIÓN DE TRATAMIENTO. Excepciones - Consentimiento - Necesario en ámbito de empleo – seguridad social (cobertura legal) - Datos que sean manifiestamente públicos - Necesarios para prevención médica – atención social

Datos biométricos A tener en cuenta: - Apple ya ha incorporado reconocimiento facial en iPhone 8 y X - “India”. No hay DNI: Aadhaar, el mayor proyecto biométrico del mundo. 5 años de escaneo de dos mil millones de iris y diez mil millones de dedos. Mil millones de euros de inversión. No es obligatorio pero es necesario para trámites - Informe de National Quality Forum (EEUU): Entre 7.000 y 13.000 personas mueren cada año en Estados Unidos como consecuencia de errores de identificación - BBVA: “el 18% de las altas mensuales de nuevos clientes de BBVA España son digitales” (Con selfie) - Estudio de Visa (2016): Más de 2/3 de los consumidores europeos están dispuestos a utilizar una identificación biométrica a la hora de realizar un pago

Solamente con control del poder público o autorizado por Ley PRINCIPIOS (Cont.) Tratamiento de datos relativos a condenas e infracciones penales (art. 10) Solamente con control del poder público o autorizado por Ley

DERECHOS DEL INTERESADO (Cap. III) Sección 1 – transparencia y modalidades Transparencia Comunicación Información Interesado condiciones de conocer

DERECHOS DEL INTERESADO (Cont.) Información transparente y comunicación (art. 12) Responsable del tratamiento aplicará políticas transparentes y fácilmente accesibles Facilitará al interesado cualquier información y comunicación relativa al tratamiento en un lenguaje sencillo y claro En particular, para cualquier información dirigida específicamente a los niños

DERECHOS DEL INTERESADO (Cont.) Comunicación – modalidades de ejercicio derechos (art. 12) * Establecer procedimientos para facilitar información: Art. 13 – información al recabar datos Art. 14 – datos no recabados del interesado Art. 15 – derecho de acceso Art. 16 – derecho de rectificación Art. 17 – supresión (derecho al olvido) Art. 18 - Derecho a la limitación del tratamiento Art. 20 – derecho a la portabilidad de los datos Art. 21 – oposición Art. 22 – Decisiones individuales automatizadas - elaboración de perfiles Art. 34 – comunicación de una violación de la seguridad de los datos personales al interesado * facilitar ejercicio de los derechos * gratuito (excepción – manifiestamente infundada o excesiva – posibilidad cuota gastos administrativos)

DERECHOS DEL INTERESADO (Cont.) Sección 2 Información y acceso a los datos Información al interesado al recabar los datos (art. 14) Información en el momento de recabar los datos Identificar RT Fines Tto Destinatarios o categorías Transferencia Internacional Periodo tratamiento o criterios Voluntario u obligatorio Consecuencias de no facilitar los datos Derecho a revocar el consentimiento (cuando proceda) Derecho a presentar reclamación ante órgano de control Otros …

DERECHOS DEL INTERESADO (Cont.) Información datos no son recabados de interesado (art. 14 bis) Información en el momento del registro o plazo razonable (estimación: Un mes) * fuente de donde proceden * excepción: cuando el interesado ya tiene información

DERECHOS DEL INTERESADO (Cont.) Sección 3 Rectificación y Supresión Derecho de rectificación (art. 16) Rectificación sin dilación indebida de datos que sean inexactos Derecho a que se completen los datos incompletos

DERECHOS DEL INTERESADO (Cont.) Derecho a la supresión – al olvido (art. 17) Ya no son necesarios de acuerdo con la finalidad Revocación del consentimiento Oposición al tratamiento Recabados con oferta de S.I. (art. 8) Excepciones Ejercicio libertad de expresión e información Cumplimiento de obligación legal (cancelación) Otras (interés público en el ámbito de la salud pública)

Derecho al olvido en la práctica Cifras Google 2014-2017: En Europa: Google ha recibido 723.707 solicitudes sobre 2.039.899 URLs. De las solicitadas, el 43,1% fueron eliminadas En España: 58.526 solicitudes sobre 174.610 URLs. De las solicitadas, un 38 % de enlaces retirados AEPD: consultar resoluciones, enlaces a Buscadores para ejercer derecho al olvido, criterios etc http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/derecho_olvido/index-ides-idphp.php

DERECHOS DEL INTERESADO (Cont.) Derecho a la limitación en el tratamiento (Art. 18) Impugnación de la exactitud de los datos personales (plazo para verificar la impugnación) Cancelación (ej.demandas) * Información y transparencia en la información

DERECHOS DEL INTERESADO (Cont.) Notificación rectificación, supresión o limitación del tratamiento (art. 19) notificación a quién se haya revelado los datos Información al interesado (bajo solicitud) sobre a quién se han revelado los datos

DERECHOS DEL INTERESADO (Cont.) Derecho a la portabilidad de los datos (art. 20) Datos personales por vía electrónica en un formato estructurado y comúnmente utilizado – derecho a obtener una copia en formato de las mismas características que le permita seguir utilizándolos

Derecho a la portabilidad- GT29 “Para ayudar aún más a reducir los riesgos para otros interesados cuyos datos personales pueden ser transferidos, todos los responsables del tratamiento (tanto la parte «remitente» como la «receptora») deberían poner en práctica herramientas que permitan a los interesados seleccionar los datos relevantes y excluir (donde proceda) otros datos suyo” “El derecho a la portabilidad de los datos no es un derecho conferido a una persona para hacer mal uso de la información de un modo que pudiera cualificarse como práctica injusta o que constituyese una violación de los derechos de propiedad intelectual” “Un potencial riesgo empresarial no puede, sin embargo, servir en sí como fundamento para una negativa a responder a la solicitud de portabilidad y los responsables del tratamiento pueden transferir los datos personales proporcionados por los interesados de un modo que no haga pública la información cubierta por los secretos comerciales o los derechos de propiedad intelectual”

DERECHOS DEL INTERESADO (Cont.) Sección 4. Derecho de oposición y automatizado Derecho de oposición (art. 21) Oposición en particular, mercadotecnia directa incluye perfiles

¡Cálculalo aquí, gracias al Finantial Times! Derecho de oposición porque… - Tus datos valen dinero ¡Cálculalo aquí, gracias al Finantial Times! http://ig.ft.com/how-much-is-your-personal-data-worth/#axzz2W6ziE25g

DERECHOS DEL INTERESADO (Cont.) Decisiones individuales automatizadas y perfiles (art. 22) Prohibición decisión basada únicamente en tratamiento automatizado Excepciones: necesario cumplimiento de un contrato autorizada por Ley consentimiento

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cap. IV) Sección 1. OBLIGACIONES GENERALES (art. 24) Adoptar medidas para garantizar y demostrar el cumplimiento del Reglamento. En particular: Registro Actividades Tto (art. 30) implantar medidas de seguridad (art. 32) Notificación Violación de seguridad a Aut. de Control (art. 33) Comunicación Violación de seguridad al interesado (art. 34) Realizar Evaluación de impacto _PIA- (art. 35) Consulta previa a autoridad de Ctrl (art. 36, aptdos 1 y 2) DPO (arts. 37 a 39) Implantar mecanismos para verificar eficacia de medidas (auditores independientes – internos o externos)

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Protección de datos desde el diseño y por defecto (art. 25) Medidas adecuadas para poner en práctica principios y proteger los derechos (seudonimización) Medidas adecuadas para garantizar que, por defecto, solo los datos personales que sean necesarios para cada fin específico se procesan Mecanismo de certificación autorizado (art. 42)

Ppd y PdD 7 principios: 1.- Protección Preventiva y Proactiva. 2.- Privacidad “por Defecto” 3.- Privacidad integrada en el Diseño 4.- Funcionalidad Plena “Win-Win” en lugar de “Suma 0” 5.- Protección durante todo el Ciclo Vital: “End to End” 6.- Visibilidad y Transparencia: “Trust but Verify”. 7.- Respeto y Empoderamiento del Usuario. El Usuario en el Centro

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Corresponsables del tratamiento – responsables conjuntos (art. 26) Dos responsables determinen conjuntamente los fines y los medios del tratamiento – deben determinar, en forma transparente, sus respectivas responsabilidades (Atender dchos y proporcionar info) El interesado podrá ejercer sus derechos en relación y ante cada uno de los responsables.

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Encargado del tratamiento (art. 28) RT elegirá ET con garantías Prohibición de subcontratación (autorización por escrito) Contrato (equivalencia art. 12 LOPD) por escrito Garantizar confidencialidad ET adoptará medidas art. 32 Ayudar ejercicio derechos Ayudar a RT a garantizar cumplimiento obligaciones arts. 32-36 Informar al RT sobre el Cumplimiento+ Contribuir a auditorías

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) RT: Mantendrá un Registro de actividades de Tto (Art.30) con: Identificación exacta del RF y del DPO Fines del tratamiento Descripción de categorías de interesados y de categorías de dcp Categorías de destinatarios Plazos previstos para supresión de las diferentes categorías de datos* Descripción general de las medidas de seguridad (Art. 32) Igual para ET

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Para más info: AEPD: Directrices para la elaboración de contratos entre responsables del tratamiento y encargados del tratamiento https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/directricescontratos.pdf AEPD: Guía del Reglamento General de Protección de datos para responsables del tratamiento https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf

Cooperación con Autoridad de control (art. 31) RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Cooperación con Autoridad de control (art. 31)

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Sección 2. Seguridad de los datos. Seguridad del tratamiento (art. 32) Proteger los datos contra su destrucción accidental o ilícita, su pérdida, acceso no autorizado, etc. Medidas oportunas, técnicas y organizativas. Entre otras: Apócrifos y cifrado de datos Capacidad de restaurar disponibilidad y acceso a datos La adhesión a un código de conducta (art. 40) o un mecanismo de certificación autorizado (art. 42) pueden ser utilizados para demostrar el cumplimiento.

RT debe documentar todo RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Notificación de una violación de datos a Aut. de control (art. 33) Sin demora. Máx. 72 horas después de conocerse ( si no, justificar) Contenido de la notificación (Art-33.3) * Describir naturaleza de la violación * Comunicar nombre y datos Responsable PD * Describir posibles consecuencias de la violación * Describir medidas adoptadas para hacer frente y, en su caso, mitigar posibles efectos adversos RT debe documentar todo

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Comunicación de una violación de datos al interesado cuando (art. 34) Probable un alto riesgo para derechos y libertades del interesado. Sin demora injustificada No será necesaria la comunicación si: Se han implementado medidas adecuadas de protección y se aplicaron esas medidas a los datos afectados por la violación (por ej. Cifrado) Se han tomado medidas posteriores que aseguren que el alto riesgo referido ya no es probable que se materialice Supone un esfuerzo desproporcionado

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Sección 3. Evaluación de impacto y consulta previa (Art. 35) Se realizará cuando un tratamiento sea posible que conlleve un alto riesgo para derechos y libertades del interesado Necesaria si se produce: : Evaluación sistemática y exhaustiva de aspectos personales de los interesados que se basa en un tratamiento automatizado, incluyendo perfiles, y sobre el que se basan decisiones que producen efectos jurídicos en relación con la persona o afectarle significativamente Tratamiento a gran escala de categorías especiales de datos – condenas penales, delitos o de datos biométricos.

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Evaluación de impacto relativa a protección de datos (art. 35) PIA. Contendrá, como mínimo: * Descripción sistemática de operaciones de tto previstas, fines tto, etc. * Evaluación de la necesidad y la proporcionalidad de las operaciones en relación con los fines * Evaluación de los riesgos para derechos y libertades de los interesados * Medidas previstas para hacer frente a los riesgos

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Consulta previa (art. 36) Consulta a la Aut. de control Posibilidad de recomendaciones por Aut. de control Incluido, en su caso, prohibición del Tto

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Sección 4. Delegado de protección de datos. Designación DPO (Art.37) - RT y ET desiignarán DPO cuando: * El tto sea realizado por una Autoridad u organismo públicol * Tto= operaciones que requieren un seguimiento regular y sistemático de los titulares de los datos * Tto= proceso a gran escala de categorías especiales de datos Un grupo de empresas puede nombrar a un solo DPO Una autoridad u organismo público puede designar un solo DPO, teniendo en cuenta su estructura y tamaño de la organización

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Cuestiones a tener en cuenta para la designación de DPO: Será nombrado sobre la base de cualidades profesionales y, en particular, a sus conocimientos especializados en PD No deben plantearse conflictos de intereses Solo podrá ser despedido si no cumple sus condiciones para el desempeño del puesto Puede ser empleado del RT o del ET o externo

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Posición del DPO (art. 38) - Implicación en todas las cuestiones de PD Independencia RT y ET deben proporcionar recursos Informará directamente al nivel de gestión más alto del RT o del ET Podrá atender otras tareas siempre que no exista conflicto de intereses

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Funciones del DPO (art. 39) Informar y asesorar al RT o al ET (y a los empleados) Supervisar la implementación y aplicación de las políticas en PD (Asignación de responsabilidades, sensibilización y formación del personal y las auditorías correspondientes) Supervisar la aplicación del Reglamento (PD desde el diseño, la PD por defecto, seguridad de los datos, información a los interesados y las solicitudes de ejercicios de derechos)

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Funciones del DPO (art. 39) Velar por la conservación de la documentación Supervisar la documentación, notificación y comunicación de violaciones de datos Asesorar sobre PIA Actuar como punto de contacto con la autoridad de control

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Sección 5. Códigos de conducta y certificación Códigos de conducta (art. 40) Aut. de control promoverán la elaboración de códigos de conducta, especialmente en lo que respecta a: Tto info justo y transparente Interés legítimos de los RT en contextos específicos Recogida de datos Apócrifo (falsos), acrónimos Ejercicio de derechos Info y protección de los niños Notificación de violaciones de datos Transferencia de datos a terceros países

Esquema de certificación DPO elaborado por AEPD-ENAC RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO (Cont.) Certificación (art. 42) Los Estados miembros y la Comisión promoverán la creación de mecanismos de certificación en materia de PD y de sellos de PD que permitan a los interesados evaluar el nivel de protección que ofrecen los RT y ET Esquema de certificación DPO elaborado por AEPD-ENAC http://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/Certificacion/ESQUEMA_AEPD_DPD_PUBLICO_1.0.pdf

CAPÍTULO V. TRANSFERENCIA DE DATOS Principio general para las transferencias (art. 44) Transferencias basadas en una decisión de adecuación (art. 45) Transferencia mediante garantías apropiadas (art. 46) Normas corporativas vinculantes (art. 47)

CAPÍTULO VI. AUTORIDADES DE CONTROL INDEPENDIENTES Sección 1. Independencia Autoridad de control (art. 51) Independencia (art. 52) Características de la autoridad de control

CAPÍTULO VI. AUTORIDADES DE CONTROL INDEPENDIENTES (Cont.) Sección 2. Competencias, funciones y poderes Competencia (art. 55) Funciones (art. 57) Poderes (art. 58) Informe de actividad (art. 59)

COOPERACIÓN Y COHERENCIA CAPÍTULO VII. COOPERACIÓN Y COHERENCIA Sección 1. Cooperación y coherencia (art. 60) Asistencia mutua (art. 61) Operaciones conjuntas de las autoridades de control (art. 62) Sección 2. Coherencia Mecanismo de coherencia (art. 63) Dictamen del Comité europeo de protección de datos (art. 64)

CAPÍTULO VII. COOPERACIÓN Y COHERENCIA (CONT.) Sección 3. Comité europeo de protección de datos Artículos 68 a 76 Se crea el Comité Europeo de Protección de Datos (art. 68)

CAPÍTULO VIII. RECURSOS, RESPONSABILIDAD Y SANCIONES Derecho a presentar una denuncia ante una autoridad de control (art. 77)

CAPÍTULO VIII. RECURSOS, RESPONSABILIDAD Y SANCIONES (Cont.) Derecho a la tutela judicial efectiva contra una autoridad de control (art. 78) Derecho a la tutela judicial efectiva contra un RT o un ET (art. 79)

Derecho a indemnización y responsabilidad (art. 82) CAPÍTULO VIII. RECURSOS, RESPONSABILIDAD Y SANCIONES (Cont.) Derecho a indemnización y responsabilidad (art. 82) Derecho a recibir del RT o del ET una indemnización por el perjuicio sufrido

CAPÍTULO VIII. RECURSOS, RESPONSABILIDAD Y SANCIONES (Cont.) Sanciones administrativas – multas administrativas (art. 83) Efectivas, proporcionadas y disuasorias. El importe se fijará teniendo en cuenta: Naturaleza, gravedad y duración de la infracción Intencionalidad o negligencia en la infracción Grado de responsabilidad y anteriores infracciones Medidas y procedimientos aplicados Grado de cooperación con Aut. de control Importe: 10.000.000 € 2% - 20.000.000€ 4% (Arts. 83.4 a 83.6)

CAPÍTULO IX. DISPOSICIONES RELATIVAS A SITUACIONES DE TRATAMIENTO DE DATOS ESPECÍFICAS Tratamiento de datos personales y libertad de expresión y de información (Art. 85) Excepciones para conciliar el derecho a PD con las normas que rigen la libertad de expresión

CAPÍTULO IX. DISPOSICIONES RELATIVAS A SITUACIONES DE TRATAMIENTO DE DATOS ESPECÍFICAS (Cont.) Tratamiento de datos personales y el acceso público a los documentos oficiales (art. 86) Conciliar el acceso público a los documentos oficiales con derecho PD

CAPÍTULO IX. DISPOSICIONES RELATIVAS A SITUACIONES DE TRATAMIENTO DE DATOS ESPECÍFICAS (Cont.) Tratamiento del número nacional de identificación Tratamiento en el ámbito laboral Artículos 87 y 88

Derogación de la Directiva 95/46/CE (art. 94) CAPÍTULO XI. DISPOSICIONES FINALES Derogación de la Directiva 95/46/CE (art. 94) Grupo de trabajo del artículo 29 de la Directiva 95 – equivalencia Comité Europeo de Protección de Datos

Relación con la Directiva 2002/58/CE CAPÍTULO XI. DISPOSICIONES FINALES Relación con la Directiva 2002/58/CE (Art. 95) Servicios públicos de comunicaciones electrónicas en redes públicas de comunicación

DISPOSICIONES FINALES CAPÍTULO XI. DISPOSICIONES FINALES Entrada en vigor y aplicación (art. 99) - Entró en vigor el 25 de mayo de 2016 (20 días después de DOUE) Será aplicable a partir del 25 de mayo de 2018

¡Muchas gracias por su atención! www.davara.com es.linkedin.com/in/miguelangeldavara www.facebook.com/DavaraAsesores www.twitter.com/DavaraAsesores