La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Armonización El Reglamento 2016/679 sustituirá a la Directiva 95/46

Publicada porÁngel Robles Gil Modificado hace 6 años

Presentaciones similares

Presentación del tema: "Armonización El Reglamento 2016/679 sustituirá a la Directiva 95/46"— Transcripción de la presentación:

1 Impacto del Reglamento Europeo de Protección de Datos en las Administraciones Públicas

2 Armonización El Reglamento 2016/679 sustituirá a la Directiva 95/46
Publicado 4 de mayo 2016 Entrada en vigor a los 20 días de publicación 2 años hasta inicio de aplicación Reglamento implica una máxima armonización Aplicación directa, sin necesidad de trasposición Desplaza normas nacionales en materias que regula Regulación de aplicación o desarrollo sólo posible cuando se prevea expresamente

3 Ámbito territorial de aplicación
Artículo 3 “1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado del tratamiento en la Unión. 2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere un pago b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión”

4 Principios Principios se mantienen similares a Directiva, con refuerzo en algunos matices Licitud, lealtad y transparencia Limitación de finalidad Minimización de datos Exactitud Limitación del plazo de conservación Integridad y confidencialidad Responsabilidad proactiva

5 Legitimación Art. 6.1 a) consentimiento para el tratamiento de sus datos personales para uno o más fines específicos b) ejecución de un contrato en el que el interesado es parte o para la aplicación, a petición de éste, de medidas precontractuales c) cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento d) intereses vitales del interesado o de otra persona física

6 Legitimación e) cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los interés o los derechos y libertades fundamentales del interesado que requieren la protección de los datos personales, en particular, cuando el interesado sea un niño. Ello no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones

7 Control por los interesados
Consentimiento  Libre, específico, informado e ”inequívoco”  A través de declaraciones o “claras acciones afirmativas” Salvaguardas en articulado y considerandos Situaciones de desequilibrio claro entre interesado y responsable Consentimiento conjunto necesario para varias operaciones Tratamientos vinculados a ejecución de contrato, incluida prestación de servicio, cuando tratamiento no es necesario para esa ejecución o prestación Consentimiento de menores con autorización  16 años, pudiendo EEMM reducir hasta 13

8 Derechos Catálogo tradicional con tres novedades Información Acceso
Rectificación Derecho al borrado y al olvido Limitación del tratamiento Portabilidad Oposición Previsiones sobre ejercicio de estos derechos Lenguaje claro e inteligible Obligación de “facilitar el ejercicio” Plazos de respuesta  1 mes Formas de ejercicio  Posible vía electrónica Gratuidad Uso de iconos para proporcionar información

9 El deber de informar/principio de transparencia en el Reglamento
Se incrementa la información que habrá de facilitarse cuando los datos se recaban del afectado Identidad y los datos de contacto del responsable y, en su caso, de su representante Datos de contacto del delegado de protección de datos Fines y base jurídica del tratamiento Intereses legítimos del responsable o de un tercero Destinatarios o las categorías de destinatarios de los datos personales Transferencias previstas

10 El deber de informar/principio de transparencia en el Reglamento
Plazo de conservación Derechos de acceso, rectificación o supresión, limitación del tratamiento, oposición y portabilidad Posibilidad de revocación del consentimiento Derecho a presentar una reclamación ante una autoridad de control; Si la comunicación de datos personales es obligatoria y las posibles consecuencias de que no facilitar los datos

11 Categorías de datos que se van a tratar
El deber de informar/principio de transparencia en el Reglamento Existencia de decisiones automatizadas, incluida la elaboración de perfiles la lógica aplicada y las consecuencias previstas Si los datos no se recaban del interesado deberá además informársele de: Categorías de datos que se van a tratar Fuente de la que proceden los datos personales y, en su caso, si proceden de “fuentes de acceso público”

12 El deber de informar/principio de transparencia en el Reglamento
Excepciones al deber de información En general, cuando el interesado ya disponga de la información Si los datos no proceden del interesado Aclaración del esfuerzo desproporcionado en caso de tratamiento con fines de archivo, estadísticos o de investigación científica o histórica Previsión legal expresa de tratamiento o revelación, con medidas oportunas de protección Obligación de secreto legal o profesional La prevalencia del derecho a la tutela judicial efectiva Exigencia de claridad, concisión y fácil acceso (criterios AEPD: información por capas y por tablas)

13 Limitación de tratamiento
Casos en que existe derecho a solicitar la limitación Mientras se verifica de la exactitud de los datos en casos de impugnación por el interesado Cuando el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales Cuando el interesado necesite que el responsable conserve los datos para la formulación, el ejercicio o la defensa de reclamaciones Mientras se verifican circunstancias en derecho de oposición

14 Derecho a la portabilidad
Derecho del interesado a Recibir los datos personales que le incumban, Que haya facilitado a un responsable del tratamiento, En un formato estructurado y de uso habitual y de lectura mecánica Y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable del tratamiento al que se hubieran facilitado los datos Requisitos para que pueda ejercitarse (acumulativos): El tratamiento esté basado en el consentimiento o en un contrato El tratamiento se efectúe por medios automatizados

15 Derecho a la portabilidad
Modo de ejercicio Podrá implicar la transmisión directa de responsable a responsable a instancia del interesado “cuando sea técnicamente posible” Limitaciones Exceptuado cuando el tratamiento se funde en el cumplimiento de una misión de interés público o inherente al ejercicio del poder público GT 29 Aplicación a datos facilitados directamente o resultado del funcionamiento, pero no a los datos inducidos

16 Responsabilidad activa
El Reglamento prevé que los responsables aplicarán las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el presente Reglamento. Tales medidas se revisarán y actualizarán cuando sea necesario

17 Responsabilidad activa
Tipos de medidas Mantener “registro de actividades de tratamiento” Medidas de Protección de Datos desde el Diseño Medidas de Protección de Datos por Defecto Aplicar medidas de seguridad adecuadas Llevar a cabo Evaluaciones de Impacto Autorización previa o consultas previas con APD Designación Delegado Protección de Datos (DPD) Notificación de Quiebras de Seguridad Códigos de conducta y esquemas de certificación

18 Impacto en sector público
Actuaciones normativas Cumplimiento de las obligaciones del RGPD por autoridades y organismos públicos como responsables o encargados

19 Actuaciones normativas
Derogación de disposiciones internas contrarias al RGPD y adaptación de normas internas por ejemplo, en materia de procedimientos para ejercicio de derechos Adopción de normas en que el RGPD requiere desarrollo interno por ejemplo, para regulación de autoridad de supervisión Identificación y adopción de normas donde el RGPD permite a los Estados introducir especificaciones en ciertos tratamientos  por ejemplo, edad mínima para validez de consentimiento de menores o condiciones de tratamiento de datos sensibles para fines de investigación científica o fines estadísticos Los ejemplos que yo pongo sobre esta diapositiva son los que van en la propia diapositiva. En materia de ADAPTACION DE NORMAS INTERNAS suelo hablar de la necesidad de adaptar todos los procedimientos de la AEPD al mínimo esquema procedimental que contiene el RGPD. En materia de normas que son exigidas por el RGPD, comento que el art. 54 RGPD obliga literalmente a los Estados a dictar disposiciones sobre el estatuto de su APD, precisando o eligiendo entre las opciones que el RGPD ofrece (por ejemplo, periodo de nombramiento mínimo según el RGPD: 4 años, a partir de ahí los EEMM tienen que decidir si se quedan con esos 4 años o establecen 5, 6, 7 o lo que sea, así como si el mandato es o no renovable, etc.) En especificaciones suelo poner un ejemplo, aparte de los que dice la diapo, de un caso real. De Atención a Víctimas de Terrorismo (aunque yo no doy el nombre de la unidad) me contaban que tienen unos tratamientos que ahora se basan en el consentimiento (que además ha de ser explícito, porque incluye datos sensibles). Son comunicaciones a tribunales y otros órganos sobre lesiones sufridas en atentado a los efectos de indemnizaciones o compensaciones. Me decían que eso les causa muchos problemas, sobre todo de localización de la gente en el momento adecuado. Yo les comentaba que veía un interés público clarísimo en ceder esos datos, por lo que se podía aprovechar para modificar la legislación y cambiar la base jurídica. Como digo, lo cuento en plan genérico, para apoyar cómo se puede aprovechar las modificaciones legislativas para pasar de un modelo en el que, por nuestras circunstancias, el consentimiento es la base jurídica de elección en la mayoría de los casos, a otro en que las diferentes bases se usen según las condiciones de cada tratamiento, facilitando la tarea de los entes públicos.

20 Actuaciones normativas
Futura Ley Orgánica de Protección de Datos, actualmente en tramitación Deroga y reemplaza actual LOPD Incluye adaptaciones para aplicación de disposiciones generales del RGPD Especifica condiciones de tratamiento para algunos sectores (por ejemplo, función estadística pública) Normas sectoriales deberán atender al impacto del RGPD en los correspondientes ámbitos Aquí como ejemplos pongo algunos temas ya conocidos del PLOPD: Temas relativos al estatuto de la AEPD, tratamientos de datos de personas fallecidas, los tratamientos «especiales» de temas de ficheros de morosos, videovigilancia, estadística pública, wisthleblowing, etc.

21 Medidas de adaptación Identificación precisa de las finalidades y la base jurídica de los tratamientos que se llevan a cabo Obligación derivada de Cumplimiento de principio de legalidad Necesidad de informar a interesados Inclusión en Registro de Actividades de Tratamiento Caso de datos objeto de especial protección (datos sensibles) Aquí siempre cuento que no es que ahora no haya que identificar base jurídica. Ya es necesario. La novedad es que hay que hacerlo con precisión, porque eso luego hay que contárselo a los interesados, en la información que se les proporciona, y hay que incluirlo en el Registro de Actividades, que está luego a disposición de la Agencia. También cuento que no vale con decir eso de «fines de interés público» o «mis intereses legítimos». El RGPD exige que la información sea la adecuada para que los interesados sepan qué se hace con sus datos. Con esas referencias no saben realmente por qué se usan sus datos. Hay que ser más específicos. Y tampoco valdría un enfoque leguleyo («los datos serán tratados a los efectos previstos en el art. 28 de la Ley General Presupuestaria o el 25 de la Ley de Régimen Jurídico de las Administraciones Públicas o lo que toque en cada caso). Con eso tampoco se enteran los interesados.

22 Medidas de adaptación Interés público y ejercicio de poderes públicos establecidos en ley (formal)  Posibilidad de especificar condiciones de tratamiento Nueva definición del consentimiento «inequívoco»  Fin del consentimiento «por inacción» o «tácito» La inaplicabilidad del criterio del interés legítimo a las «autoridades públicas en el ejercicio de sus funciones»  No excluiría interés legítimo de terceros Aquí normalmente hago hincapié en el tema del consentimiento. Subrayo que ya ahora el consentimiento tiene que ser informado, libre, específico e inequívoco (en la Directiva 45/96). Pero que lo que ha cambiado es la definición de «inequívoco», que incluye una clara acción afirmativa. También me refiero al fin de la validez del consentimiento tácito y a que su reemplazo no es necesariamente un consentimiento inequívoco. El ejemplo que pongo siempre es el de la publicidad digamos «convencional». Para eso se ha usado mucho el tácito. Ahora se podría usar perfectamente el interés legítimo. Sobre todo porque si no se hacen tratamientos de mucho impacto (como serían perfilados o cosas así), el efecto sobre derechos y libertades de interesados es mínimo y éstos, además, ya esperan recibir la publicidad, porque llevan años haciéndolo, aunque sobre la base del consentimiento. También subrayo la necesidad de documentar el cambio de base jurídica y de informar a los interesados.

23 Medidas de adaptación Adaptar a las exigencias del RGPD la información que se ofrece a los interesados cuando se recogen sus datos El RGPD obliga a proporcionar más información que la que requiere actualmente la LOPD Exige que se ofrezca de forma concisa, transparente, inteligible y de fácil acceso Revisión de formularios e impresos para solicitar datos de los ciudadanos en situaciones como solicitudes de prestaciones sociales, convocatorias de subvenciones, inscripción para procesos selectivos… Opción de información por capas Aquí siempre hago la broma de que alguien se ha molestado en «medir» las políticas de privacidad de grandes empresas de internet y ha encontrado que alguna de ellas es más larga que el Hamlet, de Shakespeare. Se puede hablar de cualquier otro ejemplo. El mensaje es que eso tiene que acabarse con las exigencias del RGPD. En el tema de información por capas incluyo la referencia a que esas capas también pueden darse mediante cuadros o tablas, como la información nutricional. Y que más de dos capas o como mucho tres no es aceptable. Pongo el ejemplo de FB (aunque refiriéndome solo a uno de los gigantes de internet) en que para obtener toda la información sobre algún tema concreto (creo recordar que era el ejercicio de derechos) había que clickar decenas de veces hasta llegar a una especie de callejón sin salida donde tampoco te proporcionaban la información.

24 Medidas de adaptación Establecer mecanismos que faciliten a los afectados el ejercicio de sus derechos según el RGPD Esto incluye medios electrónicos El RGPD introduce los nuevos derechos a la portabilidad de los datos y a la limitación del tratamiento, que requieren medios específicos para su ejercicio y tramitación Cuando los medios para el ejercicio de derechos sean electrónicos (a través de correos electrónicos, páginas web, etc.) la verificación de la identidad del afectado es un elemento clave Procedimientos internos para atender al ejercicio de derechos en plazos previstos por RGPD De nuevo en esta diapo me refiero a que seguramente los mecanismos y procedimientos ya existen. La diferencia es que hay que adaptarlos a dos cosas. Por un lado, a que el RGPD hace referencia expresa al ejercicio por medios electrónicos. Eso tiene problemas propios. Uno, fundamental, el de identificar al solicitante. No se puede rectificar un dato si no se tiene certeza de que quien lo pide es el interesado. Otro, el de la acreditación de que las cosas se reciben en un momento determinado. Fundamental para el cómputo de plazos en el ejercicio de derechos. Suelo también explicar algo el derecho a la limitación. Siempre digo que no es lo mismo que el bloqueo, que es lo que más suena a la gente. El bloqueo es una obligación legal para el responsable. La limitación es un derecho que el interesado ejerce. Agrupo las causas en dos líneas: ejercicio de derechos hasta que se decide y para evitar perjuicios al interesado al seguir tratando datos que pueden ser erróneos o que pueden estarle causando un daño en sus circunstancias personales, por un lado, y suspensión de la operación de tratamiento consistente en borrar los datos cuando el interesado los necesita para iniciar acciones legales o para tener prueba de un tratamiento ilegal. En portabilidad suelo contar que en el sector público tendrá menos peso, aunque no se puede excluir que se llegue a aplicar. La razón es que la portabilidad solo aplica a tratamientos iniciados sobre la base del consentimiento o la base de la ejecución de un contrato. En el ámbito público muchos tratamientos se basan en la persecución del interés público o en el ejercicio de poderes públicos. Por ello en esos casos no sería aplicable. Pero si hay tratamientos sobre la base del consentimiento o sobre la base de un contrato (en sentido amplio, entendido como acuerdo de prestación de servicios), y si el tratamiento se realiza por medios electrónicos, entonces la portabilidad sí sería aplicable.

25 Medidas de adaptación Adecuar los futuros contratos con encargados de tratamiento a las previsiones del RGPD  Régimen transitorio en PLOPD para contratos vigentes hasta vencimiento, cuatro años o renovación Diligencia debida en la elección del encargado de tratamiento Relación entre responsables y encargados deberá formalizarse mediante un contrato o un acto jurídico que vincule al encargado En el ámbito público, frecuente que el instrumento sea una norma que regule el papel de un órgano administrativo como encargado En los dos casos el instrumento de relación debe incluir el contenido que prevé el RGPD, que es más amplio que el que prevé la normativa española Aquí los ejemplos que uso los suelo reservar para explicar a qué se refiere lo de «acto jurídico». Porque es algo frecuente en el sector público. Siempre cuento que son normas que determinan que alguien (por ejemplo, un organismo autónomo o empresa pública autonómicos dedicados a la informática) actúen como encargados de tratamiento de toda la administración autonómica. O municipal. O que en un ministerio los decretos de estructura le asignen esa función a la DG de infraestructuras tecnológicas (en el supuesto de que exista). La idea es que en el ámbito público los encargos se pueden hacer externos (se contrata a una empresa para realizar un estudio o una investigación, o prestar servicios informáticos o de comunicaciones) o internos, y que estos últimos pueden materializarse más que en contratos en normas jurídicas.

26 Medidas de adaptación Implantar Registro de Actividades de Tratamiento
Desaparecen  Obligación de notificar a la autoridad de protección de datos los nuevos ficheros (tratamientos) Obligación de iniciar los tratamientos mediante una disposición general RGPD establece obligación de Registro de Actividades de Tratamiento y prevé un contenido mínimo Primer paso indispensable en aplicación de medidas de cumplimiento Registro podrá organizarse sobre la base de las informaciones ya proporcionadas en las notificaciones de los ficheros existentes Según PLOPD AAPP deben publicar inventario de tratamientos En esta diapositiva hablo mucho de la noción de tratamiento. Cuento que hemos pasado del concepto de «fichero» al de «tratamiento». Acepto que es difícil definir qué es tratamiento. Porque la definición de tratamiento del RGPD (que es la misma que hace la Directiva del 95) incluye todo tipo de actividades, desde la recogida a la destrucción de los datos, pasando por el almacenamiento, las comunicaciones, los borrados parciales, etc. Si el concepto de tratamiento lo vinculamos con el de fichero, no nos enteramos de qué es lo que se hace con los datos. Porque una base de datos puede servir para varios tratamientos. Si nos quedamos con cada una de las operaciones de tratamiento nos podemos volver locos, porque una organización podría tener miles de tratamientos. Siempre sugiero identificar los tratamientos a partir de las diferentes finalidades para las que se usa una o varias bases de datos. Por ejemplo, un fichero de clientes puede servir para varios tratamientos: gestión de la relación comercial con ellos, actuaciones de publicidad «convencional», perfilados para ofertas específicas de productos, inclusión en programas de fidelización… Cada una de esas finalidades puede asociarse con uno o varios tratamientos. Y al mismo tiempo, para un tratamiento se pueden usar datos de varias bases o ficheros. Depende de a qué nos estemos refiriendo. En todo caso, siempre subrayo que esta obligación del Registro no hay que verla como eso, como una obligación, sino como un primer paso fundamental para poder cumplir con principio de accountability: Si no sabes qué datos tratas y para qué, difícilmente podrás saber cómo aplicarles medidas de protección o cumplimiento. Ejemplo: fichero de puntos SGI: PS y Tutelas dcho. Elementos: Nombre y datos del responsable y DPO Fines del tratamiento Categoría interesados y datos personales Destinatarios cesión T.I., medidas técnicas y organizativas

27 Medidas de adaptación Llevar a cabo un análisis del riesgo para los derechos y libertades de los ciudadanos de todos los tratamientos de datos que se desarrollen o de los que se inicien en el futuro Obligaciones del RGPD para responsables y encargados se aplicarán en función del riesgo que los tratamientos conlleven para los derechos y libertades de los ciudadanos La implantación de esas medidas sólo puede hacerse si se basa en un análisis de riesgo previo En el ámbito público se dispone de metodologías y herramientas de análisis de riesgos (MAGERIT, PILAR) para la seguridad de la información que están siendo actualizadas para adaptarlas al RGPD

28 Medidas de adaptación Revisar las medidas de seguridad de la información que se aplican a los tratamientos a la luz de los resultados del análisis de riesgo El actual Reglamento de la LOPD prevé un listado cerrado de medidas de seguridad según tipos de datos tratados Según RGPD medidas de seguridad dependen de riesgos de tratamientos para derechos y libertades de los interesados, entre otros factores Deberá modificarse el Esquema Nacional de Seguridad, que ahora se remite en este aspecto al Reglamento LOPD, para incluir medidas adaptadas al RGPD En esta diapo suelo subrayar que el RGPD acaba con las listas cerradas de medidas de seguridad de nuestro Reglamento LOPD. Ahora estas medidas se deciden después de un análisis de riesgos y teniendo en cuenta el tipo de tratamiento, el contexto, el estado de la técnica, los costes, etc. Subrayo que esto no quiere decir que no puedan seguirse aplicando las medidas del Reglamento LOPD, sino que si se hace es porque de ese análisis concluimos que son las más adecuadas. Eso pasará en muchos casos. Sobre todo de tratamientos de riesgo bajo o incluso medio. Por ejemplo, se podría hablar de lo que comentaba Jesús sobre el uso de Facilita. Para el grueso de tratamientos se puede usar Facilita y las medidas de seguridad que recomienda. Si nos encontramos con un matiz diferencial (tratamiento esporádico de datos sensibles, por ejemplo) a esos se les puede aplicar de forma casi inmediata, alguna de las medidas de seguridad que el Reglamento LOPD prevé para nivel alto de riesgo. Adecuación del riesgo, teniendo en cuenta: Estado tecnología y costes de aplicación Naturaleza, alcance, contexto y fines tratamiento Riesgos para dchos. y libertades personas

29 Medidas de adaptación Establecer mecanismos para identificar con rapidez la existencia de violaciones de seguridad de los datos y reaccionar ante ellas Definición amplia de «violación de seguridad» Necesidad de evaluar el riesgo para los derechos y libertades de los afectados Notificación a las autoridades de protección de datos y, si fuera necesario, a los interesados Contenido mínimo establecido en RGPD Registro de incidentes de seguridad

30 Medidas de adaptación Realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) en tratamientos que supongan un alto riesgo para los derechos y libertades de los interesados El RGPD hace obligatoria la EIPD para tratamientos de alto riesgo El RGPD establece tres supuestos de alto riesgo y obliga a que las autoridades nacionales de supervisión adopten listas de categorías de tratamientos de alto riesgo EIPD no necesaria cuando tratamiento se base en ley que ya la incorpore como parte de evaluación de impacto general En esta diapo suelo contar como ejemplos los tres supuestos del RGPD (decisiones automatizadas, incluido perfilado, datos sensibles y videovigilancia, todo ello a gran escala). También menciono alguno de los supuestos que podrían incluirse en la lista que tenemos que hacer en las APD y que están en lo que nos propuso Luis. Por ejemplo, tratamientos de datos de menores. O de víctimas de violencia de género. No son datos sensibles en sentido técnico. Pero sí que tienen características que los hacen merecedores de una protección diferenciada. Consulta APD cuando se concluya que hay un alto riesgo y no puede mitigarse con medios razonables en cuanto a tecnología y costes de aplicación. 3 What does ‘large scale’ mean? The GDPR does not define what constitutes large-scale processing. The WP29 recommends that the following factors, in particular, be considered when determining whether the processing is carried out on a large scale:  the number of data subjects concerned - either as a specific number or as a proportion of the relevant population  the volume of data and/or the range of different data items being processed  the duration, or permanence, of the data processing activity  the geographical extent of the processing activity Examples of large scale processing include:  processing of patient data in the regular course of business by a hospital  processing of travel data of individuals using a city’s public transport system (e.g. tracking via travel cards)  processing of real time geo-location data of customers of an international fast food chain for statistical purposes by a processor specialised in these activities  processing of customer data in the regular course of business by an insurance company or a bank  processing of personal data for behavioural advertising by a search engine  processing of data (content, traffic, location) by telephone or internet service providers Examples that do not constitute large-scale processing include:  processing of patient data by an individual physician  processing of personal data relating to criminal convictions and offences by an individual

31 Medidas de adaptación Designar un Delegado de Protección de Datos
El RGPD hace obligatoria la figura del DPD en las autoridades y organismos públicos Podrá designarse un único DPD para varias autoridades u organismos dependiendo de tamaño y características

32 Transferencias Internaciones de Datos
Se mantiene aproximación europea clásica  TID sólo posibles si: Se cumplen disposiciones de RGPD y Hay nivel de protección adecuado, o Se ofrecen garantías suficientes, o Concurre una causa excepcional Todas estas diapos sobre TI están incluidas a petición de la Seguridad Social, porque a ellos les interesaban mucho. No sé bien por qué. Pero para otras AAPP pueden obviarse. Como mucho, yo suelo señalar que el modelo es el mismo que tiene ahora la Directiva en el sentido de que hay tres opciones para exportar datos: O van a país que se declara adecuado, o si no hay que ofrecer garantías suficientes para los datos involucrados en una transferencia o grupo de transferencias. Si no se da ninguna de esas circunstnacias, se pueden aún exportar los datos, pero si hay una excepción. Luego suelo pasar al caso de las garantías suficientes (dos transparencias más adelante), para señalar que el RGPD tiene dos tipos de instrumentos de garantía que son exclusivos del ámbito público. Uno son los instrumentos jurídicamente vinculantes entre entidades administrativas. En este caso, las APD no tienen que autorizar la transferencia. El ejemplo sería algún tipo de contrato o acuerdo administrativo vinculante entre dos organismos públicos con capacidad para comprometerse legalmente. Otros serían los instrumentos que no tienen vinculación legal. El mejor ejemplo serían los MoU (Memorando de Entendimiento). No son jurídicamente vinculantes. En este caso, el RGPD exige que medie una autorización previa de las APD. El resto de instrumentos de garantía también se pueden usar por las AAPP. Por ejemplo, si contratan servicios en nube con una entidad privada seguramente habrá transferencia internacional de datos. Pero estos dos son los que son específicos del sector público.

33 Instrumentos de garantías
Con autorización previa de APD  Cláusulas “ad hoc” autorizadas por APD nacional Disposiciones en acuerdos administrativos entre autoridades u organismos públicos (MoU) Todos estos instrumentos han de contener derechos exigibles y acciones legales efectivas para los interesados Decisiones de APD tomadas sobre Directiva 95/46 siguen siendo válidas hasta que las APD las modifiquen, sustituyan o deroguen

34 Modelo de supervisión Acciones correctivas 
Sancionar con una advertencia cuando las operaciones de tratamiento previstas puedan infringir RGPD Sancionar con apercibimiento cuando las operaciones de tratamiento hayan infringido RGPD Ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos Ordenar que las operaciones de tratamiento se ajusten a las disposiciones del RGPD, de una determinada manera y dentro de un plazo especificado Ordenar al responsable que comunique al interesado las violaciones de la seguridad de los datos personales Imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición

35 Modelo de supervisión Multas deberán ser efectivas, proporcionadas y disuasorias Cantidad deberá modularse atendiendo a circunstancias del caso Aplicables a responsables y encargados Clasificación de infracciones y sanciones Multa hasta 10 M € o para empresas, optándose por la de mayor cuantía, hasta el 2 % de volumen de negocio anual a nivel mundial Obligaciones de responsable o encargado Obligación de organismos de certificación Obligaciones de APD en relación con organismos de supervisión de códigos de conducta

36 Modelo de supervisión Criterios de ponderación (sobre imposición y cuantía de multa)  Naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido; Intencionalidad o negligencia Medida para paliar los daños y perjuicios sufridos por los interesados; Grado de responsabilidad en función de medidas de “accountability” Infracciones anteriores Grado de cooperación con la APD para poner remedio a la infracción y mitigar sus posibles efectos adversos Categorías de los datos afectados por la infracción Forma en que la APD tuvo conocimiento de la infracción Existencia de medidas correctivas previas y cumplimiento de las mismas Adhesión a códigos de conducta o a mecanismos de certificación Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción

37 Modelo de supervisión Multa hasta 20 M € o hasta el 4%
Principios básicos Derechos Transferencias internacionales.. Incumplimiento de resoluciones de APD

38 ¡MUCHAS GRACIAS!

Descargar ppt "Armonización El Reglamento 2016/679 sustituirá a la Directiva 95/46"

Presentaciones similares

Perspectiva Jurídica del Esquema Nacional de Seguridad Martín Pastrana Baños.

Perspectiva Jurídica del Esquema Nacional de Seguridad Martín Pastrana Baños.
El Reglamento de Desarrollo de la LOPD III Jornada de Protección de Datos en las Universidades Madrid, 7 de mayo de 2008 Emilio Aced Félez Subdirector.

El Reglamento de Desarrollo de la LOPD III Jornada de Protección de Datos en las Universidades Madrid, 7 de mayo de 2008 Emilio Aced Félez Subdirector.
Las Firmas Electrónicas yDigitales. La Firma Digital Es un método criptográfico que asocia la identidad de una persona o de un equipo informático al mensaje.

Las Firmas Electrónicas yDigitales. La Firma Digital Es un método criptográfico que asocia la identidad de una persona o de un equipo informático al mensaje.
Hacia una Ley General de Protección de Datos Personales.

Hacia una Ley General de Protección de Datos Personales.
MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.

MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.
Unidad de Comunicación e Imagen

Unidad de Comunicación e Imagen
1 u n i d a d El Derecho del Trabajo.

1 u n i d a d El Derecho del Trabajo.
 .

 .
Reglamento Europeo de Protección de datos

Reglamento Europeo de Protección de datos
D. Administrativo 1 Clase 5

D. Administrativo 1 Clase 5
Dirección de Capacitación y Vinculación Ciudadana

Dirección de Capacitación y Vinculación Ciudadana
FORMACION - CONCIENCIACION NUEVO RGPD

FORMACION - CONCIENCIACION NUEVO RGPD
Protección de Datos de Carácter Personal – Manual Breve

Protección de Datos de Carácter Personal – Manual Breve
Seminario RIPD El Reglamento Europeo de Protección de Datos. Principales novedades Montevideo -Nov. 2016  Mar España Martí Directora Agencia Española.

Seminario RIPD El Reglamento Europeo de Protección de Datos. Principales novedades Montevideo -Nov  Mar España Martí Directora Agencia Española.
Principios en la UE Las libertades en las cuales se basa el mercado interno son: Libre circulación de bienes, servicios , personas y capital, haciendo.

Principios en la UE Las libertades en las cuales se basa el mercado interno son: Libre circulación de bienes, servicios , personas y capital, haciendo.
JM-102-2011 Reglamento para la Administración del Riesgo Tecnológico Juan Antonio Vásquez.

JM Reglamento para la Administración del Riesgo Tecnológico Juan Antonio Vásquez.
Trabajar en archivos Universidad de Granada

Trabajar en archivos Universidad de Granada
Diagnóstico MECI 2014 Elemento 2.2.1

Diagnóstico MECI 2014 Elemento 2.2.1
COMENZAR JUEGO INSTRUCCIONES SALIR DEL JUEGO.

COMENZAR JUEGO INSTRUCCIONES SALIR DEL JUEGO.
TRAMITACIÓN DE LOS CONTRATOS MENORES EN LA UMH

TRAMITACIÓN DE LOS CONTRATOS MENORES EN LA UMH

Presentaciones similares

Anuncios Google