APLICACIÓ DEL REGLAMENT DE LA LLEI ORGANICA DE PROTECCIÓ DE DADES (LOPD) PONENTS: JÚLIA BACARIA GEA i JORDI BACARIA MARTRUS Advocats de GLOBAL LEGAL DATA MODERADORA: CRISTINA CALVET, Advocada especialitzada en Dret de l’Entreteniment /Cultural. Barcelona, 20 de Març de 2018

4.- EL MODEL DE COMPLIMENT DEL RGPD INDEX: 1.- ANTECEDENTS. 2.- NORMATIVA. 3.- VISIÓ DEL NOU RGPD: Àmbit d’aplicació. Conceptes i definicions. actors i rols en l'àmbit de la protecció de dades. Principis relatius al tractament. Com presentar tota la informació? Com demostrar que compleixes davant aquesta regulació? Sancions. Licitud del tractament de dades. Condicions pel consentiment. Tractament de dades de menors. Informació a facilitar als interessats. Drets dels interessats. 4.- EL MODEL DE COMPLIMENT DEL RGPD

SITUEM-NOS Directiva 95/46/CE del Parlament Europeu i del Consell de 24 ‘octubre de 1995 relativa a la protecció de les persones físiques pel que fa al TRACTAMENT DE DADES PERSONALS I A LA LLIURE CIRCULACIÓ D’AQUESTES DADES. Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal. Reial Decret 1720/2007 de 21 de desembre, pel que s’aprova el Reglament de desenvolupament de la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal. Reglament 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de dades de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades. (Reglament General de Protecció de Dades) (RGPD). Projecte de Llei Orgànica de Protecció de Dades.

Aplicació obligatòria Reglament General de Protecció de Dades Entrada en vigor 25 de Maig de 2016 Aplicació obligatòria 25 de Maig de 2018 Altres normatives que entraran en vigor al Maig de 2018 Nova Llei Orgànica de Protecció de Dades Reglament sobre Privacitat i comunicacions electròniques (e-Privacy)

VISIÓ DEL NOU RGPD COMPLIANCE ACCOUNTABILITY TRANSPARENCIA

ÀMBIT D’APLICACIÓ: Persones físiques. Tractament totalment o parcialment automatitzat de dades personals. Tractament de dades personals en el context de les activitats d'un establiment del responsable o de l'encarregat a la Unió, independentment de si el tractament té lloc a la Unió o no. Tractament de dades personals d'interessats que resideixen a la Unió efectuat per un responsable o un encarregat no establert a la Unió (oferta de béns o serveis, control del comportament a la Unió). Tractament de dades personals dut a terme per un responsable que no estigui establert a la Unió, sinó en un lloc on el dret dels estats membres sigui d’aplicació en virtut del dret internacional públic.

 Categories especials de dades Tractament CONCEPTES I DEFINICIONS. ACTORS I ROLS EN L’ÀMBIT DE LA PROTECCIÓ DE DADES. Dades personals  Categories especials de dades Tractament Responsable del tractament o responsable Encarregat del tractament o encarregat DELEGAT DE PROTECCIÓ DE DADES

DELEGAT DE PROTECCIÓ DE DADES Qualitats professionals: Coneixements especialitzats del dret Expert en l’aplicació pràctica en matèria de protecció de dades Amb capacitat per exercir les funcions que li són pròpies. A més, cal que tingui coneixements de tecnologia aplicada al tractament de dades o en relació amb l’àmbit d’activitat de l’organització en la que el DPD desenvolupa les seves funcions.

DELEGAT DE PROTECCIÓ DE DADES COM HA DE SER AQUEST DPD? Intern o extern Relació laboral o contracte de serveis Persones físiques o jurídiques. No pot tenir conflicte d’interessos Ha de ser una figura independent dintre de l’empresa No ha de rebre cap instrucció respecte a l’exercici de les seves funcions. No podrà ser destituït o sancionat per fer les seves funcions. S’ha de relacionar amb el nivell superior de la direcció.

PRINCIPIS RELATIUS AL TRACTAMENT Transparència Tra Minimització Exactitud Finalitat Seguretat Conservació

PRINCIPIS RELATIUS AL TRACTAMENT PRINCIPI DE MINIMITZACIÓ DE DADES (proporcionalitat): Adequades, pertinents i limitades al que és necessari en relació amb les finalitats per a les quals es tracten. PRINCIPI DE LIMITACIÓ DE LA FINALITAT (finalitat): finalitats determinades, explícites i legítimes PRINCIPI D’EXACTITUT (qualitat): Exactes i actualitzades          PRINCIPI DE LIMITACIÓ DEL TERMINI DE CONSERVACIÓ             SEGURETAT: Garantir una seguretat adequada, integritat i confidencialitat. TRANSPARENCIA: Tractades de manera lícita, lleial i transparent.     

COM PRESENTAR TOTA AQUESTA INFORMACIÓ? Capes Ex. Informació sobre cookies Icones

COM DEMOSTRAR QUE COMPLEIXES DAVANT D’UNA REGULACIÓ BASADA EN L’ACCOUNTABILITY I EN EL PRINCIPI DE RESPONSABILITAT PROACTIVA? CODIS DE CONDUCTA CERTIFICACIONS DELEGAT DE PROTECCIÓ DE DADES

SANCIONS Multes administratives: de 10.000.000 euros com a màxim o, en el cas d’una empresa, d’una quantia equivalent al 2%, com a màxim, del volum de negoci total anual. Infraccions relacionades amb incompliment d’obligacions. de 20.000.000 euros com a màxim o, en el cas d’una empresa, d’una quantia equivalent al 4%, com a màxim, del volum de negoci total anual global de l'exercici financer anterior, Infraccions relacionades amb l’incompliment de principis, drets i transferències internacionals o incompliment de resolucions de l’Autoritat de Control. S’ha d’optar per la de més quantia.

LICITUD DEL TRACTAMENT DE DADES

LICITUD DEL TRACTAMENT DE DADES Consentiment de l’interessat. El tractament és necessari per executar un contracte en el qual l'interessat és part o bé per aplicar mesures precontractuals a petició seva. El tractament és necessari per complir una obligació legal aplicable al responsable del tractament. El tractament és necessari per protegir interessos vitals de l'interessat o d'una altra persona física. El tractament és necessari per complir una missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable del tractament. El tractament és necessari per satisfer interessos legítims perseguits pel responsable del tractament o per un tercer, sempre que no hi prevalguin els interessos o els drets i les llibertats fonamentals de l'interessat que requereixen la protecció de dades personals, especialment si l'interessat és un nen.

CONDICIONS PEL CONSENTIMENT RGPD (32) “El consentiment s’ha de donar mitjançant un acte afirmatiu clar que reflecteixi una manifestació de voluntat lliure, específica, informada i inequívoca de l'interessat d'acceptar el tractament de dades de caràcter personal que l’afecten.” “(…)com ara una declaració per escrit, inclosos els mitjans electrònics, o una declaració verbal. Això pot incloure marcar una casella d'un lloc web a Internet, escollir paràmetres tècnics per utilitzar serveis de la societat de la informació o qualsevol altra declaració o conducta que indiqui clarament, en aquest context, que l'interessat accepta la proposta de tractament de les seves dades personals(…)” “el silenci, les caselles ja marcades o la inacció no constitueixen consentiment.”

CONDICIONS PEL CONSENTIMENT AEPD – Guía del Reglamento General de Protección de Datos “El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).” “Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa.” satisfer interessos legítims perseguits pel responsable

INFORMACIÓ A FACILITAR ALS INTERESSATS A més, per garantir un tractament de dades lleial i transparent: El termini durant el qual es conservaran les dades personals. El drets dels interessats. l'accés a les dades personals rectificar-les suprimir-les limitar-ne el tractament oposar-s’hi dret a la portabilitat de les dades. dret a retirar el consentiment dret a presentar una reclamació davant d’una autoritat de control. L’existència de decisions automatitzades, inclosa l’elaboració de perfils.

INFORMACIÓ A FACILITAR ALS INTERESSATS INFORMAR EN DOS CAPAS: PRIMERA CAPA  INFORMACIÓ BÀSICA SOBRE LA PROTECCIÓ DE DADES Dades del Responsable Dades del Delegat de Protecció de Dades Finalitat Tercers Drets dels interessats “Perquè el consentiment sigui informat, l'interessat ha de conèixer com a mínim la identitat del responsable i les finalitats del tractament a les quals estan destinades les dades personals. ...” “En particular, la informació de l'interessat sobre aquestes altres finalitats i sobre els seus drets…” SEGONA CAPA  INFORMACIÓ DETALLADA SOBRE LA PROTECCIÓ DE DADES

DRETS DELS INTERESSATS DRET D’ACCÉS DRET DE RECTIFICACIÓ DRET D’OPOSICIÓ DRET DE SUPRESSIÓ/ DRET A L’OBLIT DRET A LA LIMITACIÓ DEL TRACTAMENT DRET A LA PORTABILITAT DE LES DADES

El model de compliment del RGPD DE LA LOPD AL RGPD El model de compliment del RGPD

Privacitat des del Disseny i per Defecte

REGISTRE D’ACTIVITATS DE TRACTAMENT

NIVELL ALT NIVELL MIG NIVEL BÀSIC SEGURETAT DE LES DADES ANÀLISI DE RISCOS AVALUACIÓ D’IMPACTE NIVELL MIG NIVEL BÀSIC

Responsable del Tractament Encarregat del Tractament Relació Responsable del Tractament / Encarregat de Tractament Responsable del Tractament Encarregat del Tractament Encarregat del Tractament

COMUNICACIÓ DE FUITES DE SEGURETAT

sde.icec@gencat.cat www.sde.cultura.gencat.cat SERVEI DE DESENVOLUPAMENT EMPRESARIAL (SDE) Tel. 935.565.199 sde.icec@gencat.cat www.sde.cultura.gencat.cat