La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

protección de datos y las asociaciones

Publicada porAarón Rey Roldán Modificado hace 6 años

Presentaciones similares

Presentación del tema: "protección de datos y las asociaciones"— Transcripción de la presentación:

1 protección de datos y las asociaciones
Normas que regulan la protección de datos: Reglamento (UE), 2016/679 del Parlamento Europeo y del Consejo, de 27 de Abril de 2016: Reglamento General de Protección de Datos, vigente a partir del 25 de Mayo de 2018, en toda Europa. Ley Orgánica 3/2018, de 5 de Diciembre de Protección de Datos Personales y garantía de los derechos digitales. Ley 34/2002, de 11 de Julio, de Servicios de la Sociedad de la Información y Comercio Electrónico.

2 Categorías de datos personales tratados en una asociación
Datos de los socios Datos de empleados y gestión de personal Datos de proveedores Datos de contacto Datos de colaboradores Datos de usuarios de la página web de la Asociación. Datos de suscriptores Datos de asistentes a jornadas de formación

3 Registro de actividades de tratamiento
Desaparece la obligación que existía previamente de notificar los ficheros a la Agencia Española de Protección de Datos Considerando número 82 del RGPD. “Para demostrar la conformidad y cumplimiento del mismo, tanto el responsable como el encargado de tratamiento deben mantener registros de las actividades de tratamiento bajo su responsabilidad”. Asimismo el considerando expresa que “ todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento”

4 Registro de actividades de tratamiento
Están exentas organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades del interesado, no sea ocasional o incluya categorías especiales de datos, datos relativos a condenas o infracciones penales, Contenido de este RAT: El nombre y datos de contacto del responsable, del corresponsable y del Delegado de Protección de Datos, si existiese. Las finalidades de los tratamientos llevados a cabo, la base jurídica que legitima el tratamiento, la descripción de la categoría de interesados y de la categoría de datos personales tratados, destinatarios o categoría de destinatarios de los datos, transferencias internacionales de datos, plazos previstos para la supresión de los datos, y una descripción de las medidas técnicas y organizativas de seguridad.

5 CONTRATOS ENCARGADOS DE TRATAMIENTO
Los encargados de tratamiento, son empresas externas o profesionales, que prestan servicios a las Asociación y que pueden acceder de forma directa o indirecta a los datos manejados en la entidad. Ejemplo: Asesoría, empresas de mantenimiento informático, empresas de alojamiento de datos, etc Se deben firmar contratos, con estas entidades, en virtud del artículo 28 del RGPD. Esos terceros deben de garantizar a la Asociación, que su nivel de cuidado y seguridad respecto a los datos que acceden es conforme al RGPD. Se debe establecer como mínimo en el documento contractual: el objeto del contrato, la duración, la finalidad y naturaleza del tratamiento, tipo de datos personales, categoría de interesados y obligaciones y derechos de ambas partes.

6 ACUERDOS DE CONFIDENCIALIDAD CON TRABAJADORES O PERSONAL EN PRÁCTICAS
Empleados o voluntarios que trabajan en una Asociación, manejan datos de carácter personal y deben de firmar un compromiso de confidencialidad, para evitar que esa información sea revelada a terceros no autorizados. Asimismo, deben de cumplir con las medidas de seguridad establecidas por la Asociación, con el objetivo de garantizar la seguridad de los datos. Riesgos en la utilización de correos electrónicos : Ingeniería social y phishing, son los métodos de ataque con más éxito por los ciberdelincuentes.

7 EL CONSENTIMIENTO DE LOS SOCIOS
Para el tratamiento de datos de sus socios, una Asociación, debe de disponer del consentimiento expreso de todos sus socios. Artículo 6.1.a RGPD. Ya no es válido el consentimiento tácito, para el tratamiento de datos personales. Formularios vía online o en soporte papel, recabando el consentimiento de los socios para el tratamiento de sus datos personales Además del consentimiento, el RGPD en virtud de su artículo 13 , obliga a informar de manera amplia sobre distintos aspectos del tratamiento de los datos personales: datos identificativos del responsable del tratamiento, finalidad concreta del tratamiento, legitimación del tratamiento,tiempo de conservación de los datos, destinatarios, derechos de los afectados, transferencias internacionales de datos. Si la Asociación desea remitir comunicaciones electrónicas, debe solicitar autorización expresa para ello, en virtud de la LSSI.

8 ANÁLISIS DE RIeSGOs En el análisis de riesgos, toda Asociación, como responsable de tratamientos de datos personales, debe de hacer una valoración de los riesgos a los que se exponen dichos tratamientos, a fin de poder establecer qué medidas deben de aplicar y cómo deben de hacerlo. El tipo de análisis varía en función de varios criterios: Los tipos de tratamientos de datos personales existentes en la Asociación La naturaleza de los datos de los datos personales El número de interesados La cantidad de tratamientos que una Asociación lleve a cabo.

9 Evaluación de impacto Una Asociación deberá de realizar una Evaluación de Impacto, cuándo lleve a cabo tratamientos de datos personales que conlleven un alto riesgo para los derechos y libertades de los interesados El RGPD, determina un contenido mínimo para la Evaluación de Impacto, aunque no contempla ninguna metodología específica para su realización. La Evaluación de Impacto, incluye una descripción sistemática de las operaciones de tratamiento efectuadas y de los fines del tratamiento, una evaluación de los riesgos para los derechos y libertades de los interesados, además de las medidas previstas para demostrar la conformidad con el RGPD

10 NOTIFICACIONES DE BRECHAS DE SEGURIDAD
En virtud del artículo 33 del RGPD, existe la obligación por parte de la Asociación de notificar los incidentes de seguridad que afecten a los datos personales tratados en la entidad. Se debería de notificar a la Agencia Española de Protección de Datos. También se debe de notificar a los interesados, en el supuesto de que la violación de seguridad entrañe un alto riesgo para los derechos y libertades del interesado. Existe un límite de 72 horas, para la notificación a las autoridades, desde que se tenga constancia del incidente de seguridad. Debe de redactarse un protocolo interno en cada Asociación, para prevenir estas situaciones.

11 Delegado de protección de datos
El Artículo 34 de la Ley Orgánica 3/2018, establece los supuestos en los que una entidad está obligada a designar un Delegado de Protección de Datos Para la mayoría de las asociaciones, no es obligatorio la designación de un delegado de protección de datos en función de los criterios previstos. En cualquier caso, cada Asociación debe analizar su caso, o valorar la decisión de que voluntariamente designe un delegado de protección de datos.

12 Los derechos de los interesados
Junto a los tradicionales derechos de acceso, rectificación, cancelación (ahora denominado supresión) y oposición, surgen nuevos derechos. El derecho a la limitación del dato personal establece un derecho a que los datos sean marcados de tal manera que se evite por parte del responsable un tratamiento en un futuro. ¿En qué situaciones puede darse una limitación al tratamiento? Impugnación de exactitud de datos. Tratamientos ilícitos en los que el interesado se opone a la supresión. Los datos ya no son necesarios para la finalidad del tratamiento, pero el interesado los necesita para la formulación, el ejercicio o la defensa de reclamaciones

13 Los derechos de los interesados
Derecho de portabilidad: Consiste en otorgar a cualquier ciudadano el derecho a que cualquier empresa / entidad que trate sus datos personales se los ceda o los transfiera a cualquier otra empresa/ entidad que éste les indique en un formato estructurado, inteligible y automatizado. Requisitos : Que los datos incumban al solicitante Que los datos hayan sido facilitados al responsable por el interesado Que el tratamiento se base en un consentimiento o en la existencia de un contrato Que el tratamiento sea automatizado

14 Página web de una asociación
Debe de incluir en la página web de la entidad un aviso legal. Se debe de identificar el responsable de la página web. El enlace al aviso legal debe ser visible. Una política de cookies Una política de privacidad en consonancia con lo determinado por el RGPD y la Ley Orgánica 3/ Sistema de información de 2 capas. Información de la 1ª capa: Datos identificativo del Responsable del Tratamiento, la finalidad del tratamiento, la posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del RGPD y una dirección de correo electrónico u otro medio ( enlace) que permita acceder de forma sencilla e inmediata a la segunda capa

15 SANCIONES El Artículo 83 del RGPD, establece las condiciones generales para la imposición de multas administrativas. ( económicas) El Artículo 84 del RGPD, prevé que los Estados puedan imponer otro tipo de sanciones distintas a las multas administrativas. Las sanciones económicas pueden ir desde de Euros o si se trata de una empresa el 2% como máximo del volumen de negocio anual del ejercicio financiero anterior, hasta de Euros, o si se trata de una empresa el 4% como máximo del volumen anual de negocio del ejercicio financiero anterior. Artículo 58 RGPD: Se faculta a las autoridades de control para sancionar con advertencia

16 PREGUNTAS FRECUENTES ¿Se pueden publicar en Internet, fotografías de personas realizadas en actividades de la Asociación? No, salvo que exista un consentimiento expreso de los afectados. ¿ Puede pedir un socio, información que afecte a otros socios? Requisitos: Cada socio haya sido informado y expresado su consentimiento a que un socio puede obtener el listado del resto de socios. Si en el Estatuto de la Asociación, se contempla el supuesto, sería legítimo .También si una Ley ampara esa cesión de datos, sería legal la cesión de datos. ¿Qué pasa con los voluntarios que trabajan en una Asociación? Aunque no tienen contrato laboral, se consideran como empleados a efectos de la normativa de Protección de Datos. Firma de acuerdo de confidencialidad

17 PREGUNTAS FRECUENTES ¿Dónde almacenan la información las Asociaciones? Personal debe conocer donde se encuentra la información de los socios. En soporte físico, criterios y protocolo de destrucción de la información. Soporte informático, se debe tener en cuenta el almacenamiento seguro y cifrado de la información. Si se almacena información en servicios de cloud, importante crear contraseñas fuertes para los trabajadores ¿ Puede una Asociación, tratar datos de menores de edad? Artículo 7 de la Ley Orgánica 3/2018. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años. Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.

18 PREGUNTAS FRECUENTES ¿Puede una asociación tratar datos de contacto de una persona física que preste sus servicios en una organización o persona jurídica? En virtud del Artículo 19 de la Ley Orgánica 3/2018, “se presumirá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos: a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional. b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

19 PREGUNTAS FRECUENTES ¿Que puede suceder con los datos de asociados fallecidos? Artículo 3 de la Ley Orgánica 3/2008: las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos podrán dirigirse a la Asociación al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión. Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificación o supresión.

20 PREGUNTAS FRECUENTES ¿Puedo establecer un sistema de videovigilancia en las instalaciones de la Asociación? Artículo 22.1 de la Ley Orgánica 3/2018: Podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones. Solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior. Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación.

21 Gracias por su atención
JOSE MANUEL FERNÁNDEZ MIRÁS. ABOGADO. ESPECIALISTA EN EL DERECHO DE LAS NUEVAS TECNOLOGÍAS Y PROTECCIÓN DE DATOS TF: /

Descargar ppt "protección de datos y las asociaciones"

Presentaciones similares

La Agencia de Protección de Datos de la Comunidad de Madrid se crea en la Ley 13/1995, de 21 de abril, modificada por la Ley 13/1997, de 16 de junio,

La Agencia de Protección de Datos de la Comunidad de Madrid se crea en la Ley 13/1995, de 21 de abril, modificada por la Ley 13/1997, de 16 de junio,
Protección de datos de carácter personal Audiconta Asesores y Consultores, S.A.

Protección de datos de carácter personal Audiconta Asesores y Consultores, S.A.
Las franquicias en el nuevo contexto político, económico y su expansión internacional.

Las franquicias en el nuevo contexto político, económico y su expansión internacional.
El Reglamento de Desarrollo de la LOPD III Jornada de Protección de Datos en las Universidades Madrid, 7 de mayo de 2008 Emilio Aced Félez Subdirector.

El Reglamento de Desarrollo de la LOPD III Jornada de Protección de Datos en las Universidades Madrid, 7 de mayo de 2008 Emilio Aced Félez Subdirector.
MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.

MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.
Diez puntos sobre la Ley para el Acceso Electrónico de los Ciudadanos a las Administraciones Públicas GABINETE DE PRENSA Octubre de 2006.

Diez puntos sobre la Ley para el Acceso Electrónico de los Ciudadanos a las Administraciones Públicas GABINETE DE PRENSA Octubre de 2006.
ACUERDO INTERINSTITUCIONAL N°1

ACUERDO INTERINSTITUCIONAL N°1
 .

 .
MÓDULO 4 RELACIONES LABORALES.

MÓDULO 4 RELACIONES LABORALES.
RESUMEN DE LA NUEVA NORMATIVA SOBRE ABUSO DE MERCADO

RESUMEN DE LA NUEVA NORMATIVA SOBRE ABUSO DE MERCADO
Dirección de Capacitación y Vinculación Ciudadana

Dirección de Capacitación y Vinculación Ciudadana
FORMACION - CONCIENCIACION NUEVO RGPD

FORMACION - CONCIENCIACION NUEVO RGPD
Protección de Datos de Carácter Personal – Manual Breve

Protección de Datos de Carácter Personal – Manual Breve
Seminario RIPD El Reglamento Europeo de Protección de Datos. Principales novedades Montevideo -Nov. 2016  Mar España Martí Directora Agencia Española.

Seminario RIPD El Reglamento Europeo de Protección de Datos. Principales novedades Montevideo -Nov  Mar España Martí Directora Agencia Española.
Trabajar en archivos Universidad de Granada

Trabajar en archivos Universidad de Granada
BOLETIN DE INSCRIPCIÓN (Rellenar con letra legible y en MAYÚSCULAS)

BOLETIN DE INSCRIPCIÓN (Rellenar con letra legible y en MAYÚSCULAS)
SISTEMA DE GESTIÓN AMBIENTAL NORMA ISO

SISTEMA DE GESTIÓN AMBIENTAL NORMA ISO
COMENZAR JUEGO INSTRUCCIONES SALIR DEL JUEGO.

COMENZAR JUEGO INSTRUCCIONES SALIR DEL JUEGO.
Aspectos legales Dolores Godoy Flores

Aspectos legales Dolores Godoy Flores
Curso de Alta/Introducción a infoPAL.

Curso de Alta/Introducción a infoPAL.

Presentaciones similares

Anuncios Google