RGPD (2016/679) Rafael García del Poyo - Abogado. Socio Director del Departamento de Derecho IT/IP
Entrada en vigor y aplicación del RGPD RGPD en vigor, pero no aplicable por el momento. Aplica la Directiva 95/46 y las demás normas nacionales que la transpongan Período transitorio: período de adaptación para las personas jurídicas que tratan datos personales a las nuevas reglas y va desde 25 de mayo de 2016 (fecha entrada en vigor) hasta la aplicación del RGPD el 25 de mayo de 2018 (fecha de aplicación). Cabe la iniciativa de los Estados Miembros para la adopción de normas que faciliten la aplicación del RGPD. (Anteproyecto de LOPD) 25 Mayo 2016 - RGPD - 25 Mayo 2018 DIRECTIVA 95/46 CE REGLAMENTO (UE) 2016/679 LOPD // RLOPD Futura LOPD EUROPEA EUROPEA ESTATAL
Empresas u organizaciones afectadas Aplica, como hasta ahora, a los responsables o encargados del tratamiento de datos establecidos en la UE Como novedad, aplica a aquellos responsables o encargados que no estén establecidos en la UE, pero que realicen tratamientos de datos a ciudadanos de la Unión Con el fin de ofrecer bienes o servicios a dichos ciudadanos Monitorización de su comportamiento en territorio de la UE Obliga a las organizaciones extracomunitarias que realicen tratamientos de datos a los ciudadanos de la UE a nombrar un representante, que actúa como punto de contacto, en la Unión Todo ello hace que el RGPD aplique a aquellas empresas que tratan datos en la UE, pero que antes se regían por otras normativas (que no siempre tienen el mismo nivel de protección)
Formas de obtener el consentimiento para el tratamiento de los datos de carácter personal Con carácter general, el consentimiento tiene que ser libre, informado, específico e inequívoco Por inequívoco se entiende la existencia de una declaración o acción positiva que indique el acuerdo del interesado Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento, ya que las prácticas que se fundamentan en el consentimiento tácito dejarán de ser aceptadas (interés legítimo). Se exige el consentimiento expreso para determinados casos, como para el tratamiento de datos sensibles El consentimiento debe ser verificable, de modo que se pueda demostrar que el afectado otorgó un consentimiento válido
Nuevas herramientas de control para los ciudadanos de la UE sobre sus datos personales Derecho al olvido: derecho a solicitar que los datos personales sean suprimidos en cuanto no sean necesarios, se haya retirado el consentimiento o hayan sido recogidos ilícitamente. Derecho a la portabilidad: derecho a que el interesado que proporciona datos, pueda solicitarlos de modo que se permita su traslado directo a otro responsable de tratamiento de datos, siempre que: El tratamiento esté basado en el consentimiento. Se efectúe por medios automatizados. WP29 Guidelines: Los datos que están sujetos a este derecho de portabilidad son aquellos que provee el interesado de forma activa y consciente, así como los observados a partir del uso del servicio o producto. No cubriría los datos generados a partir de los facilitados por el interesado, en tanto que puede suponer distorsiones en la competencia
El principio de "responsabilidad activa" (Accountability) Empresas deben adoptar a iniciativa propia medidas que aseguren razonablemente el cumplimiento de principios, derechos y garantías que el Reglamento establece. (Compliance.) Se muestra rechazo a la idea de actuar sólo en caso de infracción, porque pueden haberse causado daños muy difíciles de compensar o reparar. Protección de datos "desde el diseño" Realización de Evaluación de Impacto sobre la Protección de datos (PIA) Protección de datos "por defecto" Medidas de seguridad. Notificación de violaciones de la seguridad de los datos (Data Breach) Nombramiento de delegado de protección de datos (DPO) Promoción de códigos de conducta y esquemas de certificación Mantenimiento de un Registro de Actividades de Procesamiento
Medidas de Seguridad en los datos de carácter personal (Data Breach) Dependiendo naturaleza, alcance, contexto y fines, incluirá entre otros Seudonimización y cifrado Adecuación y garantías del sistema Procesos regulares de verificación, evaluación y valoración de las medidas de seguridad Estandarización (ISO) Naturaleza de la violación, categorías y nº afectados, y categorías y nº registros Datos contacto DPO Posibles consecuencias Medidas adoptadas para remediar la situación Violación de la seguridad Autoridad de control Notificación 72h + de 72h (a – que sea improbable que constituya riesgos) Motivos de la dilación Interesados Alto riesgo para los interesados Datos contacto DPO Posibles consecuencias Medidas adoptadas para remediar la situación Notificación No será necesario notificar si: Se han adoptado medidas que hagan ininteligibles a los datos afectados Medidas que garanticen que ya no existe alto riesgo Cuando suponga un esfuerzo desproporcionado
Registro de Actividades de Procesamiento ANTES: declaración ficheros AEPD Datos identificativos RT/representante y DPD Fines del tratamiento Categoría interesados y DP Categoría destinatarios a quien se comunican/comunicarán los DP Transferencias Internacionales Plazos para la supresión (cuando sea posible) Descripción medidas de seguridad (cuando sea posible) RT ET Datos identificativos del encargado y del RT por cuenta del que actúe y en su caso representante y DPO Categorías de tratamientos que efectúe por cuenta del RT Transferencias internacionales Descripción medidas de seguridad (cuando sea posible) * No aplica a empresas con -250 empleados, a menos que el tratamiento entrañe riesgos y no sea ocasional
Evaluación de impacto (PIA) Antes del tratamiento de datos que potencialmente conlleve el riesgo para los derechos de los interesados es necesario realizar una evaluación de impacto: Evaluación constante y completa de aspectos personales de los sujetos, incluyendo la elaboración de perfiles Tratamiento a gran escala de las categorías especiales de datos Observación regular a gran escala de una zona de acceso público Cuando después de la Evaluación de Impacto se determine que el tratamiento conlleva un alto riesgo se requerirá una consulta previa a la Autoridad de Control WP29 Guidelines nos definen cuándo existe un alto riesgo: Cuando se realiza una evaluación sistemática y extensiva sobre aspectos de personas físicas basada en procesos automatizados Cuando se procesa a gran escala datos de carácter sensible a ojos del RGPD Cuando se monitoriza un área de acceso público a gran escala de manera sistematizada
Delegado de protección de datos (DPO) ¿Cuándo es necesario? El tratamiento lo lleve a cabo una autoridad pública Tratamiento a gran escala y requiera atención habitual Actividades RT/ET tratamiento a gran escala de datos sensibles Grupo empresarial puede nombrar a 1 DPO DPO puede ser necesario en supuestos distintos según Dº de la Unión Puede formar parte de la plantilla – conocimientos especializados en derecho y en la protección de datos Deben publicarse los datos del DPO y comunicarlo a la autoridad de control A tener en cuenta Posición RT/ET deben garantizar la participación del DPO en todas las cuestiones de PD RT/ET respaldarán al DPO en el desempeño de sus funciones y garantizarán que no reciba instrucciones de ningún tipo durante el desempeño de las mismas Interesados podrán ponerse en contacto con el DPO para Debe mantener secreto y confidencialidad Podrá desempeñar otras funciones Cuestiones PD Ejercer sus derechos Informar y asesorar – RT/ET/empleados – de sus obligaciones en virtud de PD Supervisar el cumplimiento de la normativa de PD así como de las políticas del RT/ET en materia de PD Asignación de responsabilidades, concienciación y formación al personal que trate DP Auditorias Asesorar respecto a las Evaluaciones de Impacto Cooperar con la autoridad de control y actuar como punto de contacto Funciones
El sistema de "Ventanilla Única" Se establece una autoridad de protección de datos para la interlocución con aquellas organizaciones que traten datos en los diferentes Estados Miembros Las autoridades europeas de protección de datos deben analizar el carácter transfronterizo cuando se valore un supuesto, en cuyo caso se abrirá un procedimiento de cooperación Cuando existan discrepancias insalvables, se podrá elevar el caso al Comité Europeo de Protección de Datos, que resolverá la controversia mediante decisiones vinculantes Los particulares pueden plantear sus reclamaciones o denuncias a su propia Autoridad nacional, que informará al interesado sobre el resultado final Este sistema no afectará a empresas que desarrollen su actividad sólo en un Estado miembro y realicen tratamientos de datos que afecten sólo a interesados de ese Estado
Gracias por vuestra atención
Abogado. Socio - Director del Departamento de Derecho de IT/IP Rafael García del Poyo Abogado. Socio - Director del Departamento de Derecho de IT/IP rafael.garciadelpoyo@osborneclarke.com Paseo de la Castellana, 52 28046 Madrid Tel : +34 91 576 44 76 Fax: +34 91 576 74 85 Móvil: +34 608 848 406 www.osborneclarke.com RGarciadelPoyo Rafael García del Poyo