Impacto del Reglamento Europeo de Protección de Datos en las Administraciones Públicas Jesús Rubí Navarrete Adjunto a la Directora Agencia Española de Protección de Datos Escuela de Administración Regional de Castilla- La Mancha 15/11/2017

Armonización El Reglamento 2016/679 sustituirá a la Directiva 95/46 Publicado 4 de mayo 2016 Entrada en vigor a los 20 días de publicación 2 años hasta inicio de aplicación Reglamento implica una máxima armonización Aplicación directa, sin necesidad de trasposición Desplaza normas nacionales en materias que regula Regulación de aplicación o desarrollo sólo posible cuando se prevea expresamente

Aplicable a sector público y privado Establece nuevos derechos y reformula derechos ya existentes Establece nuevas obligaciones para las organizaciones que tratan datos personales Establece un enfoque de protección de datos desde el diseño y por defecto Establece régimen sancionador que afecta a todas las organizaciones que tratan datos, salvo que expresamente se excluyan las entidades públicas por decisión nacional

Impacto en sector público Actuaciones normativas Cumplimiento de las obligaciones del RGPD por autoridades y organismos públicos como responsables o encargados

Actuaciones normativas Derogación de disposiciones internas contrarias al RGPD y adaptación de normas internas por ejemplo, en materia de procedimientos para ejercicio de derechos Adopción de normas en que el RGPD requiere desarrollo interno por ejemplo, para regulación de autoridad de supervisión Identificación y adopción de normas donde el RGPD permite a los Estados introducir especificaciones en ciertos tratamientos  por ejemplo, edad mínima para validez de consentimiento de menores o condiciones de tratamiento de datos sensibles para fines de investigación científica o fines estadísticos

Actuaciones normativas Futura Ley Orgánica de Protección de Datos, actualmente en tramitación Deroga y reemplaza actual LOPD Incluye adaptaciones para aplicación de disposiciones generales del RGPD Especifica condiciones de tratamiento para algunos sectores (por ejemplo, información de solvencia patrimonial) Normas sectoriales deberán atender al impacto del RGPD en los correspondientes ámbitos Importancia de aprovechar la oportunidad que ofrece la adaptación al RGPD para actualizar condiciones de tratamiento en determinados sectores (por ejemplo, investigación sanitaria, prevención del fraude,…)

Medidas de adaptación Identificación precisa de las finalidades y la base jurídica de los tratamientos que se llevan a cabo Obligación derivada de Cumplimiento de principio de legalidad Necesidad de informar a interesados Inclusión en Registro de Actividades de Tratamiento Caso de datos objeto de especial protección (datos sensibles)

Medidas de adaptación Interés público y ejercicio de poderes públicos amparados por ley (formal)  Posibilidad de especificar condiciones de tratamiento Nueva definición del consentimiento  Fin del consentimiento «por inacción» o «tácito» La inaplicabilidad del criterio del interés legítimo a las «autoridades públicas en el ejercicio de sus funciones»

Medidas de adaptación Adaptar a las exigencias del RGPD la información que se ofrece a los interesados cuando se recogen sus datos El RGPD obliga a proporcionar más información que la que requiere actualmente la LOPD Exige que se ofrezca de forma concisa, transparente, inteligible y de fácil acceso Revisión de formularios e impresos para solicitar datos de los ciudadanos en situaciones como solicitudes de prestaciones sociales, convocatorias de subvenciones, inscripción para procesos selectivos… Opción de información por capas

Medidas de adaptación Establecer mecanismos que faciliten a los afectados el ejercicio de sus derechos según el RGPD Esto incluye medios electrónicos El RGPD introduce los nuevos derechos a la portabilidad de los datos y a la limitación del tratamiento, que requieren medios específicos para su ejercicio Cuando los medios para el ejercicio de derechos sean electrónicos (a través de correos electrónicos, páginas web, etc.) la verificación de la identidad del afectado es un elemento Procedimientos internos para atender al ejercicio de derechos en plazos previstos por RGPD

Medidas de adaptación Adecuar los contratos con encargados de tratamiento a las previsiones del RGPD Diligencia debida en la elección del encargado de tratamiento El RGPD establece que la relación entre responsables y encargados deberá formalizarse mediante un contrato o un acto jurídico que vincule al encargado En el ámbito público, puede ser frecuente que el instrumento sea un acto jurídico (norma) que regule el papel de un órgano administrativo como encargado En los dos casos el instrumento de relación debe incluir el contenido que prevé el RGPD, que es más amplio que el que prevé la normativa española

Medidas de adaptación Llevar a cabo un análisis del riesgo para los derechos y libertades de los ciudadanos de todos los tratamientos de datos que se desarrollen o de los que se inicien en el futuro Obligaciones del RGPD para responsables y encargados se aplicarán en función del riesgo que los tratamientos conlleven para los derechos y libertades de los ciudadanos La implantación de esas medidas sólo puede hacerse si se basa en un análisis de riesgo previo En el ámbito público se dispone de metodologías y herramientas de análisis de riesgos (MAGERIT, PILAR) para la seguridad de la información que están siendo actualizadas para adaptarlas al RGPD

Medidas de adaptación Implantar un Registro de Actividades de Tratamiento En el RGPD desaparece la obligación de notificar a la autoridad de protección de datos los nuevos ficheros (tratamientos) Desaparecerá igualmente la obligación de iniciar los tratamientos mediante una disposición general El RGPD establece que todos los responsables y encargados tendrán que mantener un Registro de Actividades de Tratamiento y prevé un contenido mínimo para ese Registro

Medidas de adaptación Revisar las medidas de seguridad de la información que se aplican a los tratamientos a la luz de los resultados del análisis de riesgo El actual Reglamento de la LOPD prevé un listado cerrado de medidas de seguridad según tipos de datos tratados El RGPD establece que responsables y encargados deberán valorar qué medidas de seguridad aplican en función de los riesgos de los tratamientos Deberá modificarse el Esquema Nacional de Seguridad, que ahora se remite en este aspecto al Reglamento LOPD, para incluir medidas adaptadas al RGPD

Medidas de adaptación Establecer mecanismos para identificar con rapidez la existencia de violaciones de seguridad de los datos y reaccionar ante ellas Definición amplia de «violación de seguridad» Necesidad de evaluar el riesgo para los derechos y libertades de los afectados Notificación a las autoridades de protección de datos y, si fuera necesario, a los interesados Registro de incidentes de seguridad

Medidas de adaptación Realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) en tratamientos que supongan un alto riesgo para los derechos y libertades de los interesados El RGPD hace obligatoria la EIPD para tratamientos de alto riesgo El RGPD establece tres supuestos de alto riesgo y obliga a que las autoridades nacionales de supervisión adopten listas de categorías de tratamientos de alto riesgo EIPD no necesaria cuando tratamiento se base en ley que ya la incorpore como parte de evaluación de impacto general

Medidas de adaptación Designar un Delegado de Protección de Datos El RGPD hace obligatoria la figura del DPD en las autoridades y organismos públicos Podrá designarse un único DPD para varias autoridades u organismos dependiendo de tamaño y características

Medidas de adaptación Necesidad de adaptar los instrumentos de transferencia internacional de datos personales a las previsiones del RGPD El RGPD mantiene el modelo de transferencias internacionales ya existente Nuevos instrumentos de garantías sin autorización previa Instrumentos jurídicamente vinculantes y exigibles entre autoridades y organismos públicos Autorización para transferencias basadas en acuerdos no jurídicamente vinculantes

¡MUCHAS GRACIAS!