La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

RGPD – NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS:

Publicada porEva Ponce Quiroga Modificado hace 6 años

Presentaciones similares

Presentación del tema: "RGPD – NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS:"— Transcripción de la presentación:

1 RGPD – NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS:
RGPD – NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS: LA IMPORTANCIA DE LA PRIVACIDAD

2 ENTORNO NORMATIVO ESPAÑA
MARCO REGULATORIO EUROPEO: MOMENTO DE TRANSICIÓN Hasta el 25 de mayo de 2018: Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de estos datos. A partir del 25 de mayo de 2018: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46 (conocido como GDPR). ENTORNO NORMATIVO ESPAÑA Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 diciembre, de protección de datos de carácter personal.

3 ¿QUÉ CONCEPTOS DEBEMOS CONOCER?

4 Derecho fundamental: control Categorías especiales de datos personales
Principales términos Datos personales Responsable Tratamiento Derecho fundamental: control y disposición Encargado Licitud Categorías especiales de datos personales

5 ¿Qué datos regula la normativa?
Los datos personales protegidos por la normativa pueden pertenecer a: Clientes. Suelen ser el principal foco de riesgo pero no son los únicos cubiertos por la norma. Empleados. Candidatos. Proveedores. Socios comerciales. Accionistas. Etc. Datos personales

6 ¿Quién es el responsable?
El responsable puede ser una persona física o jurídica, pero es quien decide los fines y medios del tratamiento. Pueden ser tanto personas físicas como jurídicas. Ejemplos de personas jurídicas: Una sociedad anónima o limitada. Cada una de ellas es, en principio, responsable (o encargado) del tratamiento de datos. Una fundación o asociación sin ánimo de lucro. Una Administración Pública y sus organismos públicos. Ejemplo de personas físicas: un autónomo. Responsable

7 ¿Quién es el encargado? He contratado una asesoriapara que envíe publicidad comercial a toda mi base de datos de clientes mediante correo postal usando mi modelo de carta. La agencia es responsable, ella responderá si incumple las obligaciones de protección de datos… Falso. El responsable es quien encarga el tratamiento de datos a la agencia, en este caso, dándole instrucciones sobre la finalidad (enviar publicidad comercial a todos los clientes) y los medios (usando un modelo de carta que se envía por correo postal). La agencia tiene la condición de encargada y, por tanto, responderá si incumple las instrucciones del responsable, no si este incumple las obligaciones en materia de protección de datos (información y consentimiento de los clientes para el envío de publicidad, etc.). Encargado

8 Categorías especiales de datos personales
Un asesor fiscal nunca va a tratar este tipo de datos… Falso. Información relativa a la renta de una persona entraría en el ámbito de datos sensibles. Categorías especiales de datos personales Entonces, ¿un un asesor fiscal puede tratar datos de este tipo? Sí. Con el consentimiento expreso del interesado y siempre y cuando sea necesario para la finalidad del tratamiento.

9 La consulta de un pedido de un cliente puede hacerse con total libertad…
Falso. El acceso a la información de carácter personal es un tipo de tratamiento. Por tanto, solo podrán acceder quienes estén facultados para gestionar el encargo del cliente y con esta finalidad. Tratamiento Transmitir los datos de un pedido de un cliente a un proveedor no requiere cumplir obligación alguna… Falso. La cesión de datos entre distintas organizaciones es otro tipo de tratamiento igualmente cubierto por la normativa de protección de datos. Como veremos, requiere cumplir previamente determinadas obligaciones: información al interesado, contrato o precontrato (el pedido), etc.

10 Puedo guardar la información personal para siempre…
Falso. La conservación de datos es otro tipo de tratamiento. Debe mantenerse mientras subsista la finalidad para la que se recabaron o para el cumplimiento de obligaciones legales (en este último caso, debidamente bloqueados). Tratamiento Voy a grabar con cámaras de videovigilancia la actividad, mediante la simple instalación de los dispositivos… No. La captura y registro de imágenes de personas físicas también es un tratamiento de datos, por lo que deberá verificarse que se cumplen los requisitos al efecto previstos en la normativa de protección de datos y de seguridad privada (información a los afectados, etc.).

11 Un cliente solicita una consulta o realiza un pedido para lo que proporciona su número de teléfono. ¿Puedo contactar con él a través de ese número…? Sí: para informarle sobre el encargo realizado, la respuesta a la consulta, concertar la hora de recogida. No: Para informarle de las últimas novedades o servicios ofertados por la empresa. Licitud Un potencial cliente proporciona su correo electrónico para recibir información sobre un servicio concreto. Se incluye en una base de datos utilizada. ¿Puedo enviar información sobre otros servicios? No. La relación precontractual permite recibir la información solicitada sobre un servicio, no comunicaciones comerciales con carácter general.

12 LEGISLACION ACTUAL

13 OBLIGACIONES BÁSICAS HASTA EL RGPD
Todas las organizaciones que tengan datos de carácter personal (de clientes, empleados, etc.) deben protegerlos de accesos y usos no autorizados, así como permitir que las personas titulares de los datos ejerzan sus derechos En la práctica, en España, venía suponiendo para las organizaciones, la obligación de: Inscribir los ficheros de datos de carácter personal objeto de tratamiento ante la Agencia Española de Protección de Datos. Aplicar las medidas de seguridad enumeradas en la normativa en función del nivel de los ficheros (bajo, medio o alto) Enfoque reactivo, de acreditación de adopción de medidas e información al interesado en caso de inspección o sanción Informar a los interesados y recabar su consentimiento para los tratamientos, permitiéndose el consentimiento tácito (si no se opone en un determinado plazo = consentido)

14 En la práctica, ello supone para las organizaciones:
DE LA REACCIÓN A LA PREVENCIÓN AEPD: “La UE con este nuevo reglamento ha cambiado la manera de ver y entender la privacidad. Se pasa de un enfoque reactivo a uno preventivo”. En la práctica, ello supone para las organizaciones: Incluir la privacidad dentro del ciclo de gestión del riesgo en los procesos de una compañía. Las medidas de seguridad deben elegirse en función de los riesgos Mayor control de la información personal “Responsabilidad Proactiva” (Accountability): cumplir y demostrar Documentación de procesos y nuevos formularios Consentimiento como clara acción afirmativa demostrable

15 NOVEDADES IMPUESTAS POR EL NUEVO RGDP

16 Principales cambios en la aplicación del RGPD respecto del régimen anterior
Reglamento LOPD Nuevo RGPD Estructura escalonada de multas dependiendo del incumplimiento. El nivel 1 es el 2% de la facturación global o €10M (lo que sea más alto). El nivel 2 es el 4% de la facturación global o €20M (lo que sea más alto). Las multas en España varían, en función de la gravedad, entre 601,01€ a ,10 €. Multas Si bien esta obligación de figura como tal no existe, si tenemos la obligación de nombrar un responsable de seguridad Se requerirá un DPO para autoridades/organismos públicos y para las organizaciones que realicen vigilancia masiva o procesamiento masivo de datos de categorías especiales Data Protection Officer (DPO) Autoridades de supervisión La Agencia Española de Protección de Datos es de las autoridades europeas con mayores funciones. Se proporcionará a las autoridades locales un rango de poder todavía mayor. Si bien no se utiliza el término inventario, en España es obligatorio registrar los ficheros de tratamiento de datos de carácter personal. Generalmente las organizaciones necesitarán un registro de las actividades de tratamientos de datos de carácter personal. Inventario Notificación de incumplimiento No hay generalmente obligaciones de notificación de incumplimientos. Obligación de comunicar las brechas de seguridad de privacidad al regulador dentro de las 72 horas posteriores al evento.

17 Principales cambios en la aplicación del RGPD respecto del régimen anterior
Reglamento LOPD Nuevo RGPD Responsabilidad en la elección de medidas. Requerimientos explícitos: monitorización, encriptado y anonimización. Controles de seguridad en función del riesgo e impacto. Requerimientos establecidos en función del nivel del fichero. Seguridad Privacy Impact Assessments (PIA’s) No hay requerimiento obligatorio de realizar PIA’s. Las compañías deberían realizar PIAs si su actividad se considera de ‘alto riesgo’ . Derechos de los datos de los interesados Derechos ARCO (acceso, rectificación, cancelación y oposición). Además, portabilidad de datos y ampliación del de cancelación (“derecho al olvido”). Se amplía el contenido del contrato y se exige verificar que el encargado ofrece garantías suficientes. Este, a su vez, tiene nuevas obligaciones (registro de actividad, PIAs, DPO, etc.) Encargados Necesidad de un contrato. , Consentimiento tácito permitido actualmente en España. Requerimiento de obtener consentimiento como clara acción afirmativa y auditable. Consentimiento

18 ¿QUÉ OBLIGACIONES TENGO COMO RESPONSABLE/ENCANRGADO DEL TRATAMIENTO?

19 Legitimación Información
Determinación de la base jurídica de los tratamientos (contrato, consentimiento, etc.). Revisión de la relativa al consentimiento. Legitimación A los interesados (clientes, empleados, etc.). De contenidos ya obligatorios: para qué se tratan los datos; derechos del interesado; destinatarios de los datos; etc. Y de otros adicionales según el RGPD: base jurídica; plazo de conservación; transferencias internacionales; etc. Proporcionada de forma clara, concisa, transparente y de fácil acceso: información por capas; formato de tabla; etc. Información

20 Derechos Acceso; rectificación; supresión; limitación; portabilidad; oposición; no ser objeto de una decisión basada únicamente en el tratamiento automatizado. El RGPD pretende reforzarlos, así como que se arbitren fórmulas para facilitar al interesado su ejercicio. Si no se responde al interesado o se responde o actúa en sentido diferente a lo solicitado: posible infracción por no atender adecuadamente el ejercicio de derechos (incremento drástico de multas a partir del 25/05/18). Mecanismos para el ejercicio de derechos visibles, accesibles y sencillos. Ejercicio a través de la vía electrónica. Procedimientos de respuesta a los ejercicios de derechos en plazo (1 mes, prorrogable).

21 Encargos de tratamiento
Selección responsable de proveedores: valoración de si los encargados ofrecen garantías de cumplimiento del RGPD. Revisión de los contratos de encargo para adaptarlos a los nuevos contenidos del RGPD. IMPORTANTE: contratos por escrito, adaptados y firmados. Encargos de tratamiento

22 Medidas de responsabilidad proactiva
Valoración de los riesgos de los tratamientos. Determinación de medidas técnicas y organizativas acordes a la situación de riesgo. Por tanto, revisión de las medidas de seguridad. DESTACADO: registro de actividades de tratamiento. Mecanismos para identificar violaciones de seguridad de los datos. Medidas de reacción frente a las quiebras de seguridad, incluida la evaluación del riesgo y los procedimientos para notificar a las autoridades de protección de datos y si fuera necesario a los interesados. Registro de incidentes de seguridad. Evaluaciones de impacto (PIAs).

23 Medidas de responsabilidad proactiva
DPO. Revisión de políticas internas. Plan de formación y comunicación. Transferencias Internacionales Existencia o no. En caso afirmativo, base jurídica / garantías adoptadas.

24 Encargado del tratamiento
Mantener un registro de las actividades de tratamiento llevadas a cabo por cuenta del responsable. Evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos. Acreditar frente al responsable que cuenta con suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos. Asistir al responsable cuando sea necesario y a petición suya, a fin de asegurar que se cumplenlas obligaciones que se derivan de la realización de las PIA’s. Nombramiento de DPO en los mismos casos que el responsable.

25 ¿QUÉ RESPONSABILIDAD TIENE EL DELEGADDO DE PROTECCION DE DATOS?

26 Requisitos y funciones del DPO
Conocimientos especializados del Derecho y la práctica de protección de datos O un empleado (contrato laboral) Puede tener otras funciones siempre y cuando no den lugar a conflicto de intereses (responsable de ventas, TI, etc.) Dotado de los recursos necesarios para el desempeño de sus funciones, incluido el mantenimiento de sus conocimientos especializados No puede recibir instrucción alguna, ni ser destituido ni sancionado por desempeñar sus funciones Rendirá cuentas al más alto nivel jerárquico de la empresa Con acceso a los datos personales Informa y asesora a la empresa sobre las obligaciones de la norma. Supervisa su cumplimiento. Coopera con la Agencia Española de Protección de Datos Publicación de sus datos de contacto y comunicación a la Agencia Española de Protección de Datos Punto de contacto para los interesados (clientes, etc.) y para la Agencia Española de Protección de Datos Puede ocupar el puesto una persona externa (contrato de servicios)

27 Recomendaciones del Grupo de Trabajo del Artículo 29 sobre DPO
No son personalmente responsables en caso de incumplimiento Funciones de asesoramiento. Responsable o el encargado como obligados a garantizar y poder demostrar el cumplimiento del RGPD. No pueden determinar fines y medios del tratamiento Cargos en conflicto: director de operaciones, de marketing, RRHH, TI, etc. Elegido en función de los problemas de protección de datos en la organización Conocimiento del sector empresarial y organización (en especial, operaciones de tratamiento y sistemas de información). Apoyado por la organización (i.e. consejo de administración) Dotado de recursos personales y materiales suficientes, incluido el tiempo para asesorar en los asuntos. Disponibilidad personal para interesados y autoridades Físicamente en locales, o una línea directa u otros medios de comunicación seguros. Puede ser uno único para un grupo de empresas siempre que sea fácilmente accesible Referido a sus tareas como punto de contacto interno y respecto de interesados y autoridades. Comunicación con interesados y autoridades “debe producirse en el idioma o idiomas usados por las autoridades supervisoras y los interesados correspondientes” Recomendación de comunicar a autoridad supervisora y empleados el nombre y datos de contacto. Para el público: puede usarse una línea directa o formulario de contacto al DPO.

Descargar ppt "RGPD – NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS:"

Presentaciones similares

Protección de datos de carácter personal Audiconta Asesores y Consultores, S.A.

Protección de datos de carácter personal Audiconta Asesores y Consultores, S.A.
Las franquicias en el nuevo contexto político, económico y su expansión internacional.

Las franquicias en el nuevo contexto político, económico y su expansión internacional.
El Reglamento de Desarrollo de la LOPD III Jornada de Protección de Datos en las Universidades Madrid, 7 de mayo de 2008 Emilio Aced Félez Subdirector.

El Reglamento de Desarrollo de la LOPD III Jornada de Protección de Datos en las Universidades Madrid, 7 de mayo de 2008 Emilio Aced Félez Subdirector.
Hacia una Ley General de Protección de Datos Personales.

Hacia una Ley General de Protección de Datos Personales.
CONTABILIDAD ADMINISTRATIVA CONTABILIDAD ADMINISTRATIVA Arte, ciencia, técnica, o disciplina que bajo normas y procedimientos de análisis nos ayuda.

CONTABILIDAD ADMINISTRATIVA CONTABILIDAD ADMINISTRATIVA Arte, ciencia, técnica, o disciplina que bajo normas y procedimientos de análisis nos ayuda.
ACUERDO INTERINSTITUCIONAL N°1

ACUERDO INTERINSTITUCIONAL N°1
1 u n i d a d El Derecho del Trabajo.

1 u n i d a d El Derecho del Trabajo.
ADMINISTRACIÓN GENERAL

ADMINISTRACIÓN GENERAL
 .

 .
Reglamento Europeo de Protección de datos

Reglamento Europeo de Protección de datos
RESUMEN DE LA NUEVA NORMATIVA SOBRE ABUSO DE MERCADO

RESUMEN DE LA NUEVA NORMATIVA SOBRE ABUSO DE MERCADO
Dirección de Capacitación y Vinculación Ciudadana

Dirección de Capacitación y Vinculación Ciudadana
Protección de Datos de Carácter Personal – Manual Breve

Protección de Datos de Carácter Personal – Manual Breve
REGISTRO NACIONAL DE BASES DE DATOS

REGISTRO NACIONAL DE BASES DE DATOS
Seminario RIPD El Reglamento Europeo de Protección de Datos. Principales novedades Montevideo -Nov. 2016  Mar España Martí Directora Agencia Española.

Seminario RIPD El Reglamento Europeo de Protección de Datos. Principales novedades Montevideo -Nov  Mar España Martí Directora Agencia Española.
Principios en la UE Las libertades en las cuales se basa el mercado interno son: Libre circulación de bienes, servicios , personas y capital, haciendo.

Principios en la UE Las libertades en las cuales se basa el mercado interno son: Libre circulación de bienes, servicios , personas y capital, haciendo.
BOLETIN DE INSCRIPCIÓN (Rellenar con letra legible y en MAYÚSCULAS)

BOLETIN DE INSCRIPCIÓN (Rellenar con letra legible y en MAYÚSCULAS)
COMENZAR JUEGO INSTRUCCIONES SALIR DEL JUEGO.

COMENZAR JUEGO INSTRUCCIONES SALIR DEL JUEGO.
Aspectos legales Dolores Godoy Flores

Aspectos legales Dolores Godoy Flores
Curso de Alta/Introducción a infoPAL.

Curso de Alta/Introducción a infoPAL.

Presentaciones similares

Anuncios Google