La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Impacto del Reglamento General de Protección de Datos en las Administraciones Públicas El Delegado de Protección de Datos Valencia, 25 de enero de 2018.

Publicada porBlanca Escobar Venegas Modificado hace 6 años

Presentaciones similares

Presentación del tema: "Impacto del Reglamento General de Protección de Datos en las Administraciones Públicas El Delegado de Protección de Datos Valencia, 25 de enero de 2018."— Transcripción de la presentación:

1 Impacto del Reglamento General de Protección de Datos en las Administraciones Públicas El Delegado de Protección de Datos Valencia, 25 de enero de 2018 Agustín Puente Escobar Abogado del Estado – Jefe del Gabinete Jurídico Agencia Española de Protección de Datos

2 Carácter armonizador Sustituye al régimen de la Directiva 95/46/CE Publicado el 4 de mayo de 2016 En vigor desde 25 de mayo de 2016 Plena aplicación desde el 25 de mayo de 2018 Principales características Mayor control para los interesados Nuevo modelo de cumplimiento basado en la responsabilidad activa Nuevo modelo de supervisión Mecanismos de cooperación para su aplicación uniforme

3 Carácter armonizador Implica una armonización completa
Aplicación directa Desplazamiento de las normas nacionales generales Posible vigencia o adecuación de las normas sectoriales Posible desarrollo normativo por los Estados Miembros pero de forma muy limitada Mecanismos de armonización Cooperación y coherencia. El Comité Europeo de protección de datos Control por la Comisión Decisiones del Tribunal de Justicia (especial referencia al Considerando 143)

4 Características esenciales
Aplicable a los sectores público y privado Establece nuevos derechos y reformula alguno de los derechos ya existentes Establece nuevas obligaciones para las organizaciones que tratan datos, basadas en el principio de responsabilidad activa Nuevo enfoque de protección de datos «desde el diseño» y «por defecto» Establece un régimen sancionados que afecta a todas las organizaciones que tratan datos, salvo que expresamente se excluyan las entidades de derecho público por el legislador nacional

5 Impacto del RGPD en el sector público
Impone dos tipos de actuaciones Medidas de carácter normativo Medidas para lograr el cumplimiento de las obligaciones impuestas por el RGPD por parte de las autoridades u organismos públicos en su condición de encargados o responsables del tratamiento

6 Medidas de carácter normativo
Derogación de las disposiciones de derecho interno que sean contrarias al RGPD o adaptación de dichas normas al RGPD Procedimientos para el ejercicio de los derechos Base legal del tratamiento. En particular, el consentimiento Adopción de disposiciones normativas En supuestos en que el RGPD requiere un desarrollo interno que deben establecer necesariamente los Estados Miembros Autoridad de supervisión Adaptación al procedimiento establecido en el RGPD En supuestos en que el RGPD permite o habilita a los Estados Miembros introducir especificaciones o clarificaciones Edad del menor para prestar su consentimiento Tratamiento de datos sensibles en la investigación científica Posibles excepciones a algunos principios y derechos

7 Medidas de carácter normativo
Futura Ley Orgánica de protección de datos (actualmente Proyecto de Ley, remitido a las Cortes en noviembre de 2017) Adapta el derecho español al RGPD Deroga expresamente y reemplaza a la actual LOPD Con ciertas especialidades en tratamientos sometidos a la Directiva 2016/680 Incluye adaptaciones para la aplicación de los principios del RGPD Incluye algunas normas que regulan las condiciones de tratamiento en ciertos sectores (archivo, estadística, videovigilancia, solvencia, etc.) Junto a ella será necesaria la adaptación de las normas sectoriales que afectan a protección de datos Revisión por cada Departamento de su normativa Actualización al RGPD de las condiciones de tratamiento en determinados sectores a través de estas reformas

8 Medidas de adaptación 1. Base legal del tratamiento
Las posibles bases legales del tratamiento en el RGPD (artículo 6,1) Consentimiento del interesado para uno o varios fines específicos Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento Tratamiento necesario para proteger intereses vitales del interesado o de otra persona física Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento Tratamiento necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales En particular cuando el interesado sea un niño. No aplicable al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

9 Medidas de adaptación 1. Base legal del tratamiento
Aplicabilidad de estas bases legales al sector público Tres bases legales fundamentales Interés público y ejercicio de poderes públicos, amparados por Ley, que podrá establecer las condiciones del tratamiento Cumplimiento de una obligación legal Consentimiento del interesado Definido como Manifestación de voluntad libre, específica, informada e inequívoca Ya sea mediante una declaración o una clara acción afirmativa Desaparición del llamado consentimiento «por inacción» o «tácito» (considerando 171) Necesidad de nuevo consentimiento o determinación de una nueva base legal en estos casos Inaplicabilidad del criterio del interés legítimo «a las autoridades públicas en el ejercicio de sus funciones» Nuevo enfoque basado en el interés público como causa legitimadora

10 Medidas de adaptación 1. Base legal del tratamiento
Aplicabilidad práctica. La determinación de la base legal del tratamiento resulta necesaria Como fundamento de la responsabilidad activa, garantizando la protección del derecho Como garantía del principio de legalidad en la actuación administrativa Por cuanto la finalidad y la base legal del tratamiento deberán incluirse en la información a facilitar a los interesados Permitirá una adecuada formación del Registro de actividades del tratamiento, que impone el RGPD Especialidades en el tratamiento de las «categorías especiales de datos» (anteriormente «datos especialmente protegidos» Existencia de habilitaciones legales y otros supuestos legitimiadores (Artículo 9 RGPD)

11 Medidas de adaptación 2. Información al afectado
Configuración de la información como derecho del interesado y no como obligación del responsable Se incrementa la información que habrá de facilitarse cuando los datos se recaban del afectado Identidad y los datos de contacto del responsable y, en su caso, de su representante Datos de contacto del delegado de protección de datos Fines y base jurídica del tratamiento Intereses legítimos del responsable o de un tercero Destinatarios o las categorías de destinatarios de los datos personales Transferencias previstas Plazo de conservación Derechos de acceso, rectificación o supresión, limitación del tratamiento, oposición y portabilidad Posibilidad de revocación del consentimiento Derecho a presentar una reclamación ante una autoridad de control; Si la comunicación de datos personales es obligatoria y las posibles consecuencias de que no facilitar los datos Existencia de decisiones automatizadas, incluida la elaboración de perfiles la lógica aplicada y las consecuencias previstas

12 Medidas de adaptación 2. Información al afectado
Si los datos no se recaban del interesado deberá además informársele de: Categorías de datos que se van a tratar Fuente de la que proceden los datos personales y, en su caso, si proceden de “fuentes de acceso público” La información deberá ser “concisa, transparente, inteligible y de fácil acceso” Clarificación del plazo Un mes, con carácter general Primera comunicación con el interesado si los datos se usan para ese fin Primera cesión en caso de que se pretenda la misma Excepciones al deber de información Aclaración del esfuerzo desproporcionado en caso de tratamiento con fines de archivo, estadísticos o de investigación científica o histórica Previsión legal expresa de tratamiento o revelación, con medidas oportunas de protección Obligación de secreto legal o profesional

13 Medidas de adaptación 2. Información al afectado
Necesidad de adaptación a las exigencias del RGPD a la información que debe facilitarse a los interesados al recoger sus datos El RGPD impone la obligación de proporcionar más información de la actualmente requerida por la LOPD La información debe facilitarse de forma concisa, transparente, inteligible y de fácil acceso No es posible la inclusión en formularios de cláusulas farragosas y difícilmente comprensibles Será necesario revisar los formularios e impresos para solicitar datos de los ciudadanos en situaciones como solicitudes de prestaciones sociales, convocatorias de subvenciones, inscripción para procesos selectivos, etc. Posible procedimiento de información por capas (Proyecto de LOPD) Centrado en recogida de datos on line. Posible ampliación Facilitar la información básica en el momento de la recogida Incluir la restante en una dirección de acceso «sencillo e inmediato»

14 Medidas de adaptación 3. Ejercicio de los derechos
Modificaciones en la enumeración de los derechos Se reconocen específicamente los derechos de rectificación y supresión como derechos independientes y se regula detalladamente éste último Se hace una referencia al “derecho al olvido” no del todo ajustada a la doctrina del TJUE y se vinculan los derechos de supresión y oposición “strictu sensu” Se recogen nuevos derechos: limitación del tratamiento y portabilidad Condiciones generales Obligación de atender los derechos a menos que se acredite la imposibilidad de identificar al interesado Plazo: un mes prorrogable por dos más según la complejidad y número de solicitudes Respuesta por medios electrónicos si el derecho se ejercitó por dichos medios salvo que el interesado manifieste lo contrario SI no se da curso a la solicitud: obligación de informar en un mes acerca de las razones y la posibilidad de acudir a la autoridad de control o los órganos judiciales

15 Medidas de adaptación 3. Ejercicio de los derechos
Condiciones generales Gratuidad salvo en caso de solicitudes “manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo”, en que será posible Cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada Negarse a actuar respecto de la solicitud. Posibilidad de solicitar información adicional para garantizar la identificación del solicitante

16 Medidas de adaptación 3. Ejercicio de los derechos
Necesidad de establecer mecanismos que faciliten a los afectados el ejercicio de los derechos establecidos en el RGPD Establecimiento de medios electrónicos para atender el derecho ejercitado a través de este canal Establecimiento de procedimientos específicos para atender los nuevos derechos recogidos en le RGPD Portabilidad: alcance más limitado en el sector público, aunque también será posible en ciertos supuestos Limitación del tratamiento: herramientas que faciliten la suspensión en el tratamiento Distinto de la obligación de bloqueo recogida en el Proyecto de LOPD Establecimiento de sistemas que garanticen la verificación de la identidad del afectado que ejerce el derecho

17 Medidas de adaptación 3. Ejercicio de los derechos
Necesidad de establecer mecanismos que faciliten a los afectados el ejercicio de los derechos establecidos en el RGPD Adaptación de la organización y establecimiento de procedimientos internos para atender el ejercicio de los derechos dentro de los plazos previstos en el RGPD Posibilidad de hacer uso de procedimientos que garanticen el «acceso permanente» a los datos por los afectados, conforme al artículo 13.2 del Proyecto de LOPD Existencia de sistemas de esta naturaleza en las Administraciones Públicas (por ejemplo, Portal «Funciona») Diferenciación entre ejercicio del derecho de acceso y la obtención de certificaciones referidas a los datos

18 Medidas de adaptación 4. Transferencias internacionales
El Reglamento parte del criterio clásico de que los datos de los europeos sólo pueden enviarse a países que ofrezcan un nivel adecuado de protección Se amplían y flexibilizan instrumentos de garantía Responsables y encargados pueden ser exportadores Instrumentos jurídicamente vinculantes y ejecutables entre autoridades u organismos públicos (por ejemplo MoU) BCR (de responsables y de encargados) Cláusulas contractuales estándar aprobadas por la Comisión Cláusulas contractuales estándar aprobadas por una APD nacional y aceptadas por la Comisión Códigos de Conducta y Esquemas de Certificación, junto con compromisos vinculantes y ejecutables del responsable o encargado en el tercer país para aplicar las salvaguardas apropiadas, incluidos los derechos del interesado Ampliación de excepciones para casos basados en interés legítimo del responsable Papel relevante de las APD nacionales y el CEPD

19 Medidas de adaptación 4. Transferencias internacionales
Necesidad de adaptar los instrumentos de transferencia internacional de datos personales a las previsiones del RGPD Con carácter general se mantiene el modelo ya existente, si bien no será necesaria la autorización en los supuestos en los que exista un instrumento previamente adoptado (por ejemplo, cláusulas contractuales tipo) Nuevos instrumentos de garantías que no precisarán autorización Instrumentos jurídicamente vinculantes y exigibles entre autoridades y organismos públicos Deberán incluir las garantías exigibles Instrumentos que sí exigirán autorización de la autoridad de protección de datos Acuerdos internacionales no normativos celebrados entre autoridades y organismos públicos, incluidos los memorandos de entendimiento

20 Responsabilidad activa (accountability)
El Reglamento prevé que los responsables, aplicarán las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el presente Reglamento. Tales medidas se revisarán y actualizarán cuando sea necesario La no aplicación de estas medidas es sancionable Tipos de medidas Mantener “registro de actividades de tratamiento” Aplicar medidas de seguridad adecuadas Medidas de Protección de Datos desde el Diseño Medidas de Protección de Datos por Defecto Llevar a cabo Evaluaciones de Impacto Autorización previa o consultas previas con APD Designación Delegado Protección de Datos (DPD) Notificación de Quiebras de Seguridad Códigos de conducta y esquemas de certificación

21 Medidas de adaptación 5. Relaciones responables-encargados
Obligación general de diligencia en selección de encargado Regulación más detallada que en Directiva y asimilada a la española En el contenido del instrumento que exterioriza la relación jurídica En las obligaciones del encargado En el régimen de posible subcontratación Algunas peculiaridades: Previsión de que el responsable “realice auditorías y contribuya a ellas, incluidas las inspecciones dirigidas por el responsable o por otro auditor autorizado por dicho responsable” Fin de la prestación implica borrado o devolución de datos, sin incluir transferencia a otro encargado Posible vinculación al derecho a la portabilidad Obligación de informar al responsable “si, en su opinión, una instrucción infringe el presente Reglamento o las disposiciones nacionales o de la Unión en materia de protección de datos” Posibilidad de “contratos modelo”

22 Medidas de adaptación 5. Relaciones responables-encargados
Necesidad de adaptación de los contratos con encargados del tratamiento a las previsiones del RGPD en: Régimen de diligencia debida del responsable en la elección del encargado del tratamiento Establecimiento del contrato o acto jurídico de vinculación entre responsable y encargado con todo el contenido exigido por el RGPD Posibilidad de atribución de esta condición en el ámbito del sector público a un determinado órgano u organismo Norma reguladora que deberá incorporar todo el contenido exigido por el RGPD (artículo 33.5 Proyecto LOPD) Plazo de adaptación (disposición transitoria quinta del Proyecto) Máximo cuatro años desde la entrada en vigor del RGPD

23 Medidas de adaptación 6. Análisis de riegos
Obligación de todos los responsables de determinar las medidas técnicas y organizativas a adoptar atendiendo a los riesgos que el tratamiento puede producir en los derechos y libertades de los afectados. Posibles elementos de riesgo (artículo 28.2 del Proyecto) Posibles situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados Posible privación de derechos y libertades o del control sobre los datos Tratamiento de categorías especiales de datos Evaluación de aspectos personales de los afectados para creación de perfiles Afectados en situación de especial vulnerabilidad Tratamiento masivo de datos Transferencia internacional a Estados sin nivel adecuado de protección

24 Medidas de adaptación 6. Análisis de riegos
Necesidad de llevar a cabo un análisis de riegos para los derechos y libertades de los ciudadanos de todos los tratamientos de datos desarrollados por el responsable Este análisis deberá efectuarse para tratamientos futuros con anterioridad a su iniciación Necesario para Determinar las medidas técnicas y organizativas que habrán de imponerse sobre el tratamiento Medidas de seguridad Medidas de otra índole establecidas en el RGPD Actualmente en el ámbito público existen metodologías y herramientas de análisis de riesgos (MAGERIT, PILAR) para determinar las medidas de seguridad de la información Inclusión de módulos de cumplimiento de la legislación de protección de datos

25 Medidas de adaptación 7. Registro de actividades de tratamiento
El nuevo régimen de protección de datos implica la desaparición de dos exigencias Desaparece la obligación de notificar los tratamientos al registro general de protección de datos Desaparece igualmente la obligación de adoptar una disposición de creación de los ficheros En su lugar, el RGPD impone al responsable y al encargado la obligación de mantener un registro de actividades de tratamiento El RGPD establece un contenido mínimo en su artículo 30 El Proyecto de LOPD indica que puede estructurarse en torno a «conjuntos estructurados de datos», lo que lo vincula parcialmente con lo ya notificado a la AEPD Herramienta para la descarga de la información contenida en el Registro de la Agencia ( Además, las Administraciones Públicas deberá hacer público su «inventario de actividades de tratamiento» como obligación de transparencia conforme al Proyecto de LOPD

26 Medidas de adaptación 8. Medidas de seguridad
Los responsables y encargados deben aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta Estado de la técnica y costes de aplicación Naturaleza, alcance, contexto y fines del tratamiento Riesgos para los derechos y libertades de las personas El Reglamento no establece listado estructurado de medidas ni prevé desarrollo o especificación Aunque establece algunas prevenciones, como la seudonimización o el cifrado La adhesión a un código de conducta o a un mecanismo de certificación podrá servir de elemento para demostrar cumplimiento Igualmente se establece el procedimiento para la notificación de quiebras de seguridad a las autoridades de control y, en su caso, a los afectados

27 Medidas de adaptación 8. Medidas de seguridad
Procederán del resultado del análisis de riesgo, sin tener ya el carácter de lista tasada de mínimos exigibles, como en le modelo actual Puede no obstante existir una coincidencia con las medidas actuales, pero deberá proceder del análisis específico llevado a cabo y no del mero cumplimiento de la norma Las medidas diferirán en función de los riesgos de los tratamientos Según el Proyecto de LOPD se modificará el ENS, que ahora se remite al Reglamento de la LOPD, para incluir las medidas exigibles conforme a este nuevo enfoque

28 Medidas de adaptación 8. Medidas de seguridad
El RGPD impone la obligación de notificar las violaciones de seguridad, entendidas en un sentido amplio A las autoridades de protección de datos en un máximo de 72 horas desde que se tenga constancia de ellas, a menos que sea improbable que constituyan un riesgo para los derechos y libertades de las personas físicas Deberán documentarse la violación, los hechos producidos, sus efectos y las medidas correctoras Registro de incidentes de seguridad Deberá facilitarse gradualmente cualquier información adicional Al interesado Si es probable que se genere una situación de alto riesgo para sus derechos y libertades Por iniciativa propia o por exigencia de la autoridad de protección de datos

29 Medidas de adaptación 9. EIPD
Deberá llevarse a cabo en caso de que el tratamiento por su naturaleza, alcance, contexto o fines entraña un alto riesgo para los derechos y libertades de las personas físicas No es análisis de riesgos, sino una evaluación más detallada y pormenorizada derivada del resultado del análisis previo Supuestos en que procede Previstos expresamente en el RGPD Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado e implique la adopción de decisiones Tratamiento a gran escala de las categorías especiales de datos Observación sistemática a gran escala de una zona de acceso público Además las autoridades de protección de datos Publicarán listas de tratamientos que la requieran Podrán publicar listas de tratamientos exentos de la EIPD No será necesario realizar la EIPD cuando el tratamiento se base en una Ley que la incorpore como parte de la evaluación general de impacto (MAIN) Si no es posible la adopción de medidas para mitigar el riesgo deberá recabarse la opinión de la autoridad de protección de datos

30 Medidas de adaptación 10. Delegado de Protección de Datos (DPD)
¿Qué organizaciones deben designar un DPD? El RGPD se refiere a tres supuestos específicos El tratamiento se realice por autoridad u organismo público en todo caso Las actividades principales de responsable o encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala Las actividades principales de responsable o encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales Además el Proyecto de LOPD incluye una serie de supuestos en que deberá procederse a esta designación La mayor parte realmente responden a supuestos que ya están incluidos en las tres categorías del RGPD

31 Medidas de adaptación 10. Delegado de Protección de Datos (DPD)
¿Es posible designar a DPD externo? El DPD puede ser un miembro del personal del responsable del tratamiento o del encargado del tratamiento (DPD interno) o «cumplir las tareas sobre la base de un contrato de servicios». Puede ejercerse sobre la base de un contrato de servicios celebrado con un individuo u organización Podrá designarse un equipo de personas bajo la responsabilidad del DPO designado en el contrato Cada miembro del equipo deberá cumplir los requisitos exigidos por el RGPD para ser DPD En las Administraciones Públicas es posible designar un DPD para varias órganos u organismos

32 Medidas de adaptación 10. Delegado de Protección de Datos (DPD)
¿Cuáles son las funciones del DPD? Informar y asesorar el responsable o encargado, Asegurar la existencia y mantenimiento de toda la documentación obligatoria Supervisar la puesta en práctica de las políticas de protección de datos, incluidas asignación de responsabilidades concienciación y formación del personal las auditorías correspondientes Supervisar la aplicación de la normativa de protección de datos, en particular en lo referente a la PbD, PbDef y derechos de los interesados Supervisar la gestión de las violaciones de seguridad Supervisar y ofrecer asesoramiento en la realización de sobre EIPD cuando sea necesaria

33 Medidas de adaptación 10. Delegado de Protección de Datos (DPD)
¿Cuáles son las funciones del DPD? Supervisar las respuestas a los requerimientos que pueda formular la autoridad de protección de datos Cooperar con las autoridades de protección de datos en el marco de sus tareas Actuar como punto de contacto para las autoridades de protección de datos y para los afectados Comunicar públicamente su identidad, que deberá incluirse en la información a facilitar a los afectados Posible atención de las reclamaciones que les dirijan los afectados Especialidades en el Proyecto de LOPD Reportar directamente al órgano de administración y dirección las cuestiones que sean necesarias en relación con los tratamiento En particular las infracciones que hubieran podido producirse

34 Medidas de adaptación 10. Delegado de Protección de Datos (DPD)
¿Cuáles son las cualidades profesionales del DPD? El RGPD exige que el DPD «se designe sobre las base de cualidades profesionales y, en particular, conocimientos especializados sobre la legislación y las prácticas en materia de protección de datos y sobre la capacidad para cumplir las tareas a que se refiere el artículo 39» ¿Qué habilidades serían necesarias? Experiencia en la legislación y práctica nacional y europea de protección de datos (incluyendo el conocimiento del RGPD) Compresión de las actividades de tratamiento de la entidad Comprensión de las TIC y de los principios y reglas de seguridad de los datos Conocimiento de la organización Capacidad de promover la cultura de protección de datos en las organización ¿Se requiere una determinada titulación? El RGPD y el Proyecto no la exigen, aunque será posible demostrar las capacidades a través de mecanismos voluntarios de certificación

35 Medidas de adaptación 10. Delegado de Protección de Datos (DPD)
¿Qué recursos deben facilitarse al DPD por la organización? Los recursos deberán facilitarse al DPD teniendo en cuenta la naturaleza de las operaciones de tratamiento y el tamaño de la organización Entre los recursos que deberán facilitarse se encuentran Apoyo activo de la función del DPD por la alta dirección Disponibilidad de tiempo para el adecuado cumplimiento de sus obligaciones Aportación de recursos financieros, personales y de infraestructura (locales, instalaciones y equipo) adecuados Comunicación de su designación Al personal A la autoridad de protección de datos, que mantendrá un registro actualizados de DPD, conforme al Proyecto de LOPD

36 Medidas de adaptación 10. Delegado de Protección de Datos (DPD)
¿Qué recursos deben facilitarse al DPD por la organización? Entre los recursos que deberán facilitarse se encuentran Acceso a otros servicios dentro de la organización para que los DPD puedan recibir apoyo esencial, aportaciones o información de esos otros servicios Acceso a los tratamientos de datos que se estén llevando a cabo por la organización, sin que pueda oponerse ningún tipo de obligación de secreto Acceso a medios que garanticen su formación y perfeccionamiento continuo

37 Medidas de adaptación 10. Delegado de Protección de Datos (DPD)
¿Cuáles son las salvaguardas que permiten al DPD realizar sus tareas de manera independiente? No están sometidos a instrucciones de los responsables o encargados en relación con el ejercicio de sus tareas No cabrá despido o sanción por parte del responsable o el encargado como consecuencia del desempeño de sus tareas Salvo que incurran en dolo o negligencia grave No puede existir conflicto de intereses con otras tareas u obligaciones que le pudieran corresponder No puede ocupar un puesto dentro de la organización que lo conduzca a determinar los fines y medios de los tratamientos. Cabrían conflictos con otros puestos de alta dirección, dirección de Recursos Humanos o del departamento de TIC, así como con otros puestos inferiores si pueden implicar la decisión acerca de los fines y medios del tratamiento

38 Medidas de adaptación 10. Delegado de Protección de Datos (DPD)
¿Cuál es la responsabilidad del DPD? Los DPD no son personalmente responsables por el incumplimiento del RGPD. El RGPD deja claro que es el responsable o encargado del tratamiento quien debe garantizar y demostrar que el tratamiento se realiza de conformidad con el presente Reglamento. EL artículo 70.2 del Proyecto de LOPD excluye expresamente la aplicación del régimen sancionador al DPD

39 Conclusión Medidas de adaptación
Metodología de implantación de las obligaciones de responsabilidad activa Asignación de recursos para el cumplimiento del RGPD Designación de un DPD Elaboración del registro de actividades de tratamiento Análisis de riesgos Revisión de las medidas de seguridad a la vista del análisis Establecimiento de un procedimiento para la notificación de violaciones de seguridad Realización cuando proceda de la evaluación de impacto en la protección de datos y consulta a la autoridad de protección de datos si fuera necesario Elaboración implantación de un plan de formación y concienciación del personal con acceso a datos acerca de las obligaciones derivadas del RGPD

40 Conclusión Medidas de adaptación
Adecuación Revisión de las finalidades y bases legales del tratamiento Adaptación en caso de que sea necesario (I.e. consentimiento) Revisión de los formularios donde se informe a los afectados Revisión de los procedimientos para la custodia de los consentimientos y revocaciones de los mismos Revisión de los contratos con encargados del tratamiento Valoración de su adecuación Modificación de sus cláusulas Adecuación al RGPD de los procedimientos para el ejercicio de derechos, incluyendo la habilitación de medios electrónicos Política de privacidad

41 ¡Muchas Gracias por su atención!

Descargar ppt "Impacto del Reglamento General de Protección de Datos en las Administraciones Públicas El Delegado de Protección de Datos Valencia, 25 de enero de 2018."

Presentaciones similares

Perspectiva Jurídica del Esquema Nacional de Seguridad Martín Pastrana Baños.

Perspectiva Jurídica del Esquema Nacional de Seguridad Martín Pastrana Baños.
Protección de datos de carácter personal Audiconta Asesores y Consultores, S.A.

Protección de datos de carácter personal Audiconta Asesores y Consultores, S.A.
XXVI Asamblea Anual de ASSAL Río de Janeiro - Brasil Abril 2016.

XXVI Asamblea Anual de ASSAL Río de Janeiro - Brasil Abril 2016.
1 SEMINARIO EN TURÍN MAYO DE 2009 Seguridad y Salud en el Trabajo Catherine BRÅKENHIELM HANSELL, Catherine BRÅKENHIELM HANSELL, Equipo de SST, NORMES,

1 SEMINARIO EN TURÍN MAYO DE 2009 Seguridad y Salud en el Trabajo Catherine BRÅKENHIELM HANSELL, Catherine BRÅKENHIELM HANSELL, Equipo de SST, NORMES,
El Reglamento de Desarrollo de la LOPD III Jornada de Protección de Datos en las Universidades Madrid, 7 de mayo de 2008 Emilio Aced Félez Subdirector.

El Reglamento de Desarrollo de la LOPD III Jornada de Protección de Datos en las Universidades Madrid, 7 de mayo de 2008 Emilio Aced Félez Subdirector.
Hacia una Ley General de Protección de Datos Personales.

Hacia una Ley General de Protección de Datos Personales.
Código de Buenas Prácticas Estadísticas de Costa Rica Catalina Ruiz Área de Coordinación del SEN 29 agosto, 2013.

Código de Buenas Prácticas Estadísticas de Costa Rica Catalina Ruiz Área de Coordinación del SEN 29 agosto, 2013.
MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.

MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.
La incorporación de una perspectiva de género en la elaboración de memorias sobre normas internacionales del trabajo Programa de formación sobre normas.

La incorporación de una perspectiva de género en la elaboración de memorias sobre normas internacionales del trabajo Programa de formación sobre normas.
Unidad de Comunicación e Imagen

Unidad de Comunicación e Imagen
Reglamento Europeo de Protección de datos

Reglamento Europeo de Protección de datos
D. Administrativo 1 Clase 5

D. Administrativo 1 Clase 5
Dirección de Capacitación y Vinculación Ciudadana

Dirección de Capacitación y Vinculación Ciudadana
FORMACION - CONCIENCIACION NUEVO RGPD

FORMACION - CONCIENCIACION NUEVO RGPD
Seminario RIPD El Reglamento Europeo de Protección de Datos. Principales novedades Montevideo -Nov. 2016  Mar España Martí Directora Agencia Española.

Seminario RIPD El Reglamento Europeo de Protección de Datos. Principales novedades Montevideo -Nov  Mar España Martí Directora Agencia Española.
Asignatura: Cultura de paz y derechos humanos.

Asignatura: Cultura de paz y derechos humanos.
SISTEMA DE GESTIÓN AMBIENTAL NORMA ISO

SISTEMA DE GESTIÓN AMBIENTAL NORMA ISO
COMENZAR JUEGO INSTRUCCIONES SALIR DEL JUEGO.

COMENZAR JUEGO INSTRUCCIONES SALIR DEL JUEGO.
COORDINADORA ARAGONESA DE VOLUNTARIADO

COORDINADORA ARAGONESA DE VOLUNTARIADO
TRAMITACIÓN DE LOS CONTRATOS MENORES EN LA UMH

TRAMITACIÓN DE LOS CONTRATOS MENORES EN LA UMH

Presentaciones similares

Anuncios Google