El nuevo Reglamento Europeo de Protección de Datos Jesús Rubí Navarrete Adjunto a la Directora Agencia Española de Protección de Datos ASEDIE 30/11/2017

Responsabilidad activa Tipos de medidas Mantener “registro de actividades de tratamiento” Medidas de Protección de Datos desde el Diseño Medidas de Protección de Datos por Defecto Aplicar medidas de seguridad adecuadas Llevar a cabo Evaluaciones de Impacto Autorización previa o consultas previas con APD Designación Delegado Protección de Datos (DPD) Notificación de Quiebras de Seguridad Códigos de conducta y esquemas de certificación

Enfoque de riesgo Medidas aplicables en función del riesgo para los derechos y libertades de los interesados Alto riesgo vs. riesgo estándar El riesgo como criterio de ponderación El caso de la notificación de quiebras de seguridad Problema de determinación del nivel de riesgo Nuevo enfoque de supervisión  Más fluidez en el análisis

Transparencia de la información Se incrementa la información que debe facilitarse cuando los datos se han obtenido del interesado (art. 13) Identidad y contacto de responsable y, en su caso de su representante Datos de contacto DPD, en su caso. Fines y base jurídica Intereses legítimos del responsable o tercero Destinatarios o categorías de destinatarios Intención de realizar TID: Existencia o no de decisión de adecuación Garantías adecuadas y medios para obtener copia de ellas o del hecho de haberse prestado (TID por instrumento jurídicamente vinculante entre autoridades públicas, BCR, C. Tipo – Comisión UE o APD,s, C.Conducta - Certificación

Transparencia de la información Plazo de conservación o criterios para su determinación (art.13.2: garantía de tratamiento leal y transparente Excepción por no repetitivas nº limitado de interesados, intereses legítimos imperiosos

Transparencia de la información Dº de acceso, rectificación o supresión, limitación del tratamiento, oposición y portabilidad y revocación Derecho a presentar reclamación a APD Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente: si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;

Transparencia de la información Decisiones automatizadas –incluidos perfiles- e información significativa sobre la lógica aplicada, importancia y consecuencias previstas Tratamiento para fines distintos antes de dicho tratamiento, informando sobre dichos fines (art. 13.3) Guía AEPD: Información por capas y tablas

Transparencia de la información Si los datos no se recaban del interesado deberá además informársele de: Categorías de datos que se van a tratar Fuente de la que proceden los datos personales y, en su caso, si proceden de “fuentes de acceso público” Clarificación del plazo en caso de no recabarse los datos del interesado Un mes, con carácter general (máximo) Primera comunicación con el interesado si los datos se usan para ese fin (máximo) Primera cesión en caso de que se pretenda la misma (máximo) …/…

Transparencia de la información Excepciones al deber de información En general, cuando el interesado ya disponga de la información y en la medida en que dispongo de ella Si los datos no proceden del interesado Aclaración del esfuerzo desproporcionado en caso de tratamiento con fines de archivo, estadísticos o de investigación científica o histórica Imposibilidad u obstaculización grave de los objetivos del tratamiento (identidad y contacto del responsable o DPD, fines, base jurídica, destinatarios y TID). Garantías adecuadas (incluso haciendo pública la información) Previsión legal expresa de tratamiento o revelación, con medidas oportunas de protección Obligación de secreto legal o profesional Iconos normalizados (art. 12.7)

Cuestiones generales sobre los restantes derechos Condiciones generales (art. 12) Obligación de atender los derechos a menos que se acredite la imposibilidad de identificar al interesado Plazo: un mes prorrogable por dos más según la complejidad y número de solicitudes Respuesta por medios electrónicos si el derecho se ejercitó por dichos medios salvo que el interesado manifieste lo contrario SI no se da curso a la solicitud: obligación de informar en un mes acerca de las razones y la posibilidad de acudir a la autoridad de control o los órganos judiciales

Cuestiones generales sobre los restantes derechos Condiciones generales Gratuidad salvo en caso de solicitudes “manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo”, en que será posible Cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada Negarse a actuar respecto de la solicitud. Posibilidad de solicitar información adicional para garantizar la identificación del solicitante

Derecho de supresión (“olvido”) Dº de supresión (Dº al olvido) (art. 17) Supresión datos: Innecesarios para fines del tratamiento Revocación consentimiento y ausencia otra base jurídica (distinción entre categorías especiales de datos o no) Oposición (arts. 21.1 y 2) Tratamiento ilícito Cumplimiento obligación legal Dº UE o EEMM Obtenidos en relación con la oferta SSI: Consentimiento de niños y derecho a supresión cuando no sea niño (+ internet) (Cons. 65)

Supresión de enlaces Obligación del responsable de informar a terceros responsables de la solicitud del interesado de supresión de enlaces, copias o réplicas cuando haya hecho públicos los datos. (la comunicación a editores de webs) Adopción de medidas por el responsable (Medios a su disposición: Cons. 66) Tecnología disponible y coste Comunicación de la supresión a cada uno de los destinatarios (art. 19) (Salvo imposibilidad o esfuerzo desproporcionado) Información sobre los destinatarios si el interesado lo solicita (art. 19)

Derecho de supresión (“olvido”) Excepciones Ejercicio de las libertades de expresión e información Cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, Tratamiento para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable Razones de interés público en el ámbito de la salud pública Fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento Formulación, ejercicio o defensa de reclamaciones

PDdD Protección de Datos desde el diseño Medidas técnicas y organizativas adecuadas (p.ej. seudonimización, minimización) para aplicar principios de PD de forma eficaz y proteger los derechos En el momento de determinar los medios para el tratamiento y en el momento del tratamiento (integrar necesarias garantías) Teniendo en cuenta Naturaleza, ámbito, contexto y fines del tratamiento Riesgos de diversa probabilidad y gravedad (no sólo alto riesgo) Estado de la técnica y coste

PDpd Protección de Datos por defecto Medidas técnicas y organizativas apropiadas Tratamiento por defecto sólo de datos personales necesarios para cada fin específico Cantidad de datos recopilados Extensión del tratamiento Periodo de almacenamiento Accesibilidad En particular, evitar la accesibilidad a un número indeterminado sin intervención de alguien

Registro de tratamientos Obligación para responsable y encargado Contenido (responsable) Identificación y datos contacto de responsable, corresponsable, representante y DPO Fines Descripción de categorías de interesados y datos personales Categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales) TID a terceros países u organizaciones internacionales y documentación de garantías para TID exceptuadas sobre base de intereses legítimos imperiosos Cuando sea posible, plazos previstos para supresión de datos Cuando sea posible, descripción general de medidas de seguridad

Medidas de seguridad Medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta Estado de la técnica y costes de aplicación Naturaleza, alcance, contexto y fines del tratamiento Riesgos para los derechos y libertades de las personas El nivel de seguridad incluirá, en su caso, entre otros seudonimización y cifrado de datos personales capacidad de garantizar confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad La adhesión a un código de conducta o a un mecanismo de certificación podrá servir de elemento para demostrar el cumplimiento de los requisitos de seguridad

Notificación de violaciones de seguridad de los datos Notificación a APD Sin demora y a más tardar en 72 horas desde que se haya tenido constancia. Más tarde, justificación motivada No obligación cuando “sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas” Reglamento prevé contenido mínimo de notificación Documentación de todas las violaciones de seguridad Obligación del encargado de notificar sin dilación indebida violaciones de seguridad al responsable

Notificación de violaciones de seguridad de los datos Notificación a interesados Cuando es probable que la quiebra entrañe alto riesgo para los derechos y libertades de interesados Sin dilación indebida También se prevé contenido mínimo, que no incluye posibles medidas paliativas Excepciones Implementación de medidas de protección tecnológica que haga ininteligibles los datos a terceros no autorizados (p.ej.: datos encriptados) medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado APD puede obligar a notificar a interesados

Evaluación de impacto Deberá realizarse cuando sea probable que el tratamiento previstos presente un alto riesgo específicos para los derechos y libertades de los interesados, entre otros casos, cuando: elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar; tratamiento a gran escala de las categorías especiales de datos observación sistemática a gran escala de una zona de acceso público Las APD deberán establecer listas adicionales de tratamientos de alto riesgo y podrán establecer listas que no requieren EIPD El RGPD prevé un contenido mínimo de la evaluación Como novedad, se prevé que habrá de recabarse “cuando proceda” la opinión de los interesados Directrices GT29 (04-10-2017)

Consulta APD Consulta a APD cuando una EIPD muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo “y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación” APD podrá  Asesorar por escrito al responsable, y en su caso al encargado Utilizar cualquiera de sus poderes, incluido prohibir el tratamiento Obligación de consulta en elaboración de toda propuesta de medida legislativa o de una medida reglamentaria que la aplique El derecho nacional podrá establecer consulta y petición de autorización en tratamientos derivados del ejercicio de una misión realizada en interés público

DPD Deberá existir en responsables y encargados cuando tratamiento se realice por autoridad u organismo público las actividades principales de responsable o encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala las actividades principales de responsable o encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales También habrán de designarlo cuando así lo establezca el derecho de la Unión o de los Estados Miembro

DPD Nombramiento basado en  Cualidades profesionales Conocimientos especializados del Derecho y la práctica en materia de protección de datos, que deberán evaluarse, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados Capacidad para desempeñar sus funciones Relación laboral o mediante contrato de servicios Podrá desempeñar otras funciones, si no hay conflicto de intereses No podrá recibir ninguna instrucción en lo que respecta al desempeño de dichas funciones No podrá ser destituido ni sancionado por desempeñar sus funciones Rendirá cuentas directamente al más alto nivel jerárquico Podrá ser contactado por interesados y APD Publicación de “datos de contacto” y comunicación a APD

DPD Funciones Informar y asesorar sobre obligaciones impuestas por normativa de protección de datos de la Unión o de los EEMM Supervisar el cumplimiento de la normativa de protección de datos, incluidas: asignación de responsabilidades concienciación y formación del personal las auditorías correspondientes Ofrecer asesoramiento sobre EIPD Cooperar con la APD y actuar como punto de contacto para cuestiones relativas al tratamiento

Relaciones Responsable – Encargado Obligación general de diligencia en selección de encargado Regulación más detallada que en Directiva  Contrato que fije Objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos personales, categorías de interesados afectados, obligaciones y derechos del responsable del tratamiento Obligación de tratar los datos únicamente siguiendo instrucciones documentadas del responsable Confidencialidad de personas que manejen datos Medidas “conforme al artículo 32” Contratación de subencargados con autorización previa, general o específica, del responsable, y posibilidad de rechazar subencargados Asistencia al responsable en ejercicio de derechos y en cumplimiento de obligaciones de arts. 32 a 36

Relaciones Responsable – Encargado Algunas peculiaridades Previsión de que el responsable “realice auditorías y contribuya a ellas, incluidas las inspecciones dirigidas por el responsable o por otro auditor autorizado por dicho responsable” Fin de la prestación implica borrado o devolución de datos, sin incluir transferencia a otro encargado Obligación de informar al responsable “si, en su opinión, una instrucción infringe el presente Reglamento o las disposiciones nacionales o de la Unión en materia de protección de datos” Posibilidad de “contratos modelo” Cloud Computing y TID

Metodología Tratamientos Información del RGPD Finalidades y base jurídica Análisis de riesgos EIPD Medidas de seguridad Notificación de violaciones de seguridad Otras actuaciones Clausulas informativas Contratos con encargados del tratamiento Procedimientos para el ejercicio de derechos Política de privacidad Documentar La actividad del DPD

Modelo de supervisión Acciones correctivas  Sancionar con una advertencia cuando las operaciones de tratamiento previstas puedan infringir RGPD Sancionar con apercibimiento cuando las operaciones de tratamiento hayan infringido RGPD Ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos Ordenar que las operaciones de tratamiento se ajusten a las disposiciones del RGPD, de una determinada manera y dentro de un plazo especificado Ordenar al responsable que comunique al interesado las violaciones de la seguridad de los datos personales Imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición

Modelo de supervisión Multas deberán ser efectivas, proporcionadas y disuasorias Cantidad deberá modularse atendiendo a circunstancias del caso Aplicables a responsables y encargados Infracciones y sanciones: Multa hasta 10 M € o para empresas, optándose por la de mayor cuantía, hasta el 2 % de volumen de negocio anual a nivel mundial Obligaciones de responsable o encargado Obligaciones de organismos de certificación Obligaciones de organismos de supervisión de códigos de conducta Multa hasta 20 M € o hasta el 4% Principios básicos Derechos Transferencias internacionales.. Incumplimiento de resoluciones de APD

¡MUCHAS GRACIAS!