La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

CONCEPTO Y LEGISLACIÓN BÁSICA

Presentaciones similares


Presentación del tema: "CONCEPTO Y LEGISLACIÓN BÁSICA"— Transcripción de la presentación:

1 CONCEPTO Y LEGISLACIÓN BÁSICA
Jesús Rubí Navarrete Agencia Española de Protección de Datos Barcelona 17/09/2019

2 MARCO JURÍDICO Art. 18.4 CE y STC 292/2000, de 30 de noviembre.
Artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea. REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos. (RGPDUE). Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. (LOPD). AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

3 MARCO JURÍDICO Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. (LSSI). Ley 9/2014, de 9 de mayo, General de Telecomunicaciones. DIRECTIVA (UE) 2016/680 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

4 MARCO JURÍDICO Art.18.4 CE “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos” El derecho a la protección de datos (DPD) debe considerarse como un derecho autónomo con un contenido propio. El Tribunal Constitucional español (TC) en su sentencia 292/2000, de 30 de noviembre ha declarado que el art C.E. contiene, en los términos de la STC 254/1993, un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos de los ciudadanos que, además, es en sí mismo "un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama informática. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

5 MARCO JURÍDICO Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del art C.E., con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley. La función del derecho fundamental a la intimidad del art C.E. es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad . El derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado. El derecho a la intimidad permite excluir ciertos datos de una persona del conocimiento ajeno, es decir, el poder de resguardar su vida privada de una publicidad no querida. El derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

6 MARCO JURÍDICO El objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art C.E. otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

7 MARCO JURÍDICO El derecho fundamental a la protección de datos posee una segunda peculiaridad que lo distingue de otros, como el derecho a la intimidad personal y familiar del art C.E. Dicha peculiaridad radica en su contenido, ya que a diferencia de este último, que confiere a la persona el poder jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera íntima de la persona y la prohibición de hacer uso de lo así conocido . AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

8 MARCO JURÍDICO En el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea en el que se establece que “1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. 3. El respeto de estas normas quedará sujeto al control de una autoridad independiente”. En este precepto no sólo se reconoce el derecho, sino que también se hace referencia a la legitimación para el tratamiento de los datos y a los derechos que implica. Y añade una garantía adicional como es la exigencia de que su tutela se encomiende a una autoridad independiente. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

9 LEGISLACIÓN APLICABLE
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

10 REGLAMENTO UE Ámbito de aplicación material (art. 2.4)
Se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, en particular sus normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15 Inexistencia de una obligación general de supervisión Exención de responsabilidad sobre contenidos (LSSI) Responsables cuando tengan conocimiento efectivo de una actividad ilícita, comunicado por una autoridad competente (LSSI) AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

11 REGLAMENTO UE Relación con la Directiva 2002/58/CE (art. 95)
El presente Reglamento no impondrá obligaciones adicionales a las personas físicas o jurídicas en materia de tratamiento en el marco de la prestación de servicios públicos de comunicaciones electrónicas en redes públicas de comunicación de la Unión en ámbitos en los que estén sujetas a obligaciones específicas con el mismo objetivo establecidas en la Directiva 2002/58/CE AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

12 ÁMBITO DE APLICACIÓN TERRITORIAL
LGT: Datos de tráfico y facturación. Publicidad telefónica. Servicios de valor añadido. Repertorios de servicios de telecomunicaciones. Infracciones y sanciones específicas. LSSI: Publicidad a través de comunicaciones electrónicas. Utilización de dispositivos de almacenamiento y recuperación en equipos terminales de los usuarios. (Cookies). AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

13 LGT Y LSSI Artículo 3 RGPD: “ 1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no. 2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión. 3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público”. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

14 DEFINICIONES Dato personal: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Se caracteriza por su amplitud incluyendo prácticamente cualquier información relativa a una persona incluso indirectamente tal como un número de identificación, datos de localización o un identificador en línea. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

15 DEFINICIONES Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. En cuanto al tratamiento parcialmente automatizado, pueden ponerse como ejemplo, los denominados ficheros mixtos en los que parte de la información está en soporte papel y el índice que permite su búsqueda relacionándola con personas físicas identificables se encuentra automatizado. Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

16 DEFINICIONES Elaboración de perfiles: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física. Es importante su definición dada la importancia que han adquirido estos tratamientos en la economía digital para conocer los hábitos de los usuarios de internet y las correlativas garantías que el RGPD incluye para su protección. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

17 DEFINICIONES Pseudonimización: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. Dicha definición permite distinguir los tratamientos en los que se desconoce la identidad del interesado pero podría conocerse con información adicional, de aquellos en los que la reidentificación es irreversible (anonimización). AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

18 DEFINICIONES Consentimiento: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. -No son admisibles los consentimientos basados en el silencio o la omisión. -Son importantes la regulación y los considerandos que aclaran los casos en lo que puede considerarse que el consentimiento no es libre. Posición de prevalencia. Supeditación de la ejecución de un contrato o la prestación de un servicio innecesarios para ello. -La equiparación de las bases jurídicas del tratamiento. (Informe AEPD 0195/2017) AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

19 DEFINICIONES Destinatario: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento. Tercero: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado. Esta definición tiene gran importancia ya que no incluye a las personas autorizadas a tratar los datos bajo la autoridad del responsable o del encargado, es decir, a los meros usuarios de los sistemas de información de una organización. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

20 DEFINICIONES Datos genéticos: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona. Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos. Y, finalmente se recogen un bloque de definiciones muy importantes relacionadas con la aplicación del RGPD cuando tienen lugar tratamientos trasfronterizos de datos en más de un Estado miembro e intervienen diversas autoridades de control. Se trata de las definiciones de tratamiento transfronterizo, establecimiento principal, autoridad de control, autoridad de control interesada y objeción pertinente y motivada. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

21 DEFINICIONES Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros. Se reconoce expresamente la figura del corresponsable. Encargado del tratamiento: a persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Representante: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

22 DEFINICIONES Corresponsable:
Dos o más responsables determinan conjuntamente los objetivos y medios de tratamiento. Determinación de forma transparente y de mutuo acuerdo sus responsabilidades para el cumplimiento del RGPD (en particular, sobre ejercicio de derechos e información). Se exceptúan los casos en que las responsabilidades se rijan por el derecho de la UE o de los EEMM. El acuerdo reflejará sus funciones y relaciones con los interesados. Los aspectos esenciales del acuerdo se pondrán a disposición del interesado. El acuerdo podrá designar un punto de contacto para los interesados. Los interesados podrán ejercer sus derechos frente a cada responsable (al margen del acuerdo). AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

23 RESPONSABLE Y ENCARGADO DEL TRATAMIENTO
Obligación general de diligencia en selección de encargado Regulación más detallada que en Directiva  Contrato que fije Objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos personales, categorías de interesados afectados, obligaciones y derechos del responsable del tratamiento Obligación de tratar los datos únicamente siguiendo instrucciones documentadas del responsable AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

24 RESPONSABLE Y ENCARGADO DEL TRATAMIENTO
Confidencialidad de personas que manejen datos Medidas de seguridad Contratación de subencargados con autorización previa, general o específica, del responsable, y posibilidad de rechazar subencargados Asistencia al responsable en ejercicio de derechos y en cumplimiento de obligaciones de arts. 32 a 36 ( seguridad, notificación de violaciones de seguridad, evaluaciones de impacto, consulta previa a la AEPD) Previsión de que el responsable “realice auditorías y contribuya a ellas, incluidas las inspecciones dirigidas por el responsable o por otro auditor autorizado por dicho responsable” AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

25 CUMPLIMIENTO Y SUPERVISIÓN
Cumplimiento.- El RGPD se caracteriza por la prevención y flexibilidad: La prevención parte de la implantación de un principio de responsabilidad y compromiso proactivos con la protección de los datos (documentación). La flexibilidad se traduce en que no todas las organizaciones han de aplicar todas las medidas previstas en el RGPD ni hacerlo de la misma manera. Actualización a lo largo del tiempo. Supervisión.- El RGPD se caracteriza por: Promoción de procedimientos de mediación y resolución extrajudicial de conflictos. Equilibrio entre medidas correctivas y sanciones económicas. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

26 RESPONSABILIDAD ACTIVA
El Reglamento prevé que los responsables aplicarán las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el presente Reglamento. Tales medidas se revisarán y actualizarán cuando sea necesario. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

27 RESPONSABILIDAD ACTIVA
Tipos de medidas Mantener “registro de actividades de tratamiento” Medidas de Protección de Datos desde el Diseño Medidas de Protección de Datos por Defecto Aplicar medidas de seguridad adecuadas Llevar a cabo Evaluaciones de Impacto Autorización previa o consultas previas con APD Designación Delegado Protección de Datos (DPD) Notificación de Quiebras de Seguridad Códigos de conducta y esquemas de certificación AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

28 ADAPTACIÓN AL RGPD – SECTOR PÚBLICO
DESIGNAR un DELEGADO DE PROTECCIÓN DE DATOS. ELABORAR el Registro de Actividades de tratamiento, prestando atención especialmente a los tratamientos que incluyan categorías especiales de datos o datos de menores ( servicio de solicitud de copia de la inscripción como ayuda), teniendo en cuenta su finalidad y la base jurídica. ANALIZAR las BASES JURÍDICAS de los TRATAMIENTOS. EFECTUAR UN ANÁLISIS DE RIESGOS. Sobre los resultados de ese análisis, identificar e implantar las MEDIDAS TÉCNICAS Y ORGANIZATIVAS necesarias para hacer frente a los riesgos detectados sobre los derechos y libertades de los ciudadanos. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

29 ADAPTACIÓN AL RGPD – SECTOR PÚBLICO
VERIFICAR LAS MEDIDAS DE SEGURIDAD tras el resultado del análisis de riesgos. Ello incluye verificar la aplicación de medidas de seguridad adecuadas, así como ESTABLECER PROTOCOLOS PARA GESTIONAR Y, EN SU CASO, NOTIFICAR quiebras de seguridad SI EL TRATAMIENTO ES DE ALTO RIESGO, DETALLAR E IMPLANTAR UN PROCEDIMIENTO para realizar, una evaluación de impacto de la privacidad y, si fuera necesario, consultar previamente a la autoridad de control (art. 35 y 36 del RGPD) AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

30 ADAPTACIÓN AL RGPD – SECTOR PÚBLICO
En paralelo. ADECUAR LOS FORMULARIOS para adaptar el derecho de información a los requisitos del RGPD. ADAPTAR LOS PROCEDIMIENTOS para atender los derechos de los ciudadanos, habilitando medios electrónicos. ESTABLECER Y REVISAR LOS PROCEDIMIENTOS para acreditar el consentimiento y garantizar la posibilidad de revocarlo. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

31 ADAPTACIÓN AL RGPD – SECTOR PÚBLICO
En paralelo. VALORAR SI LOS ENCARGADOS DE TRATAMIENTO OFRECEN GARANTÍAS de cumplimiento del RGPD y adaptar los contratos elaborados previamente. CONFECCIONAR E IMPLANTAR POLÍTICAS DE PROTECCIÓN DE DATOS que contemplen los requisitos del RGPD (art. 24,25,30) y poder acreditar su cumplimiento. ELABORAR Y LLEVAR A CABO UN PLAN DE FORMACIÓN Y CONCIENCIACIÓN para los empleados. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

32 ENFOQUE DE RIESGO Medidas aplicables en función del riesgo para los derechos y libertades de los interesados : Alto riesgo vs. riesgo estándar El riesgo como criterio de ponderación Problema de determinación del nivel de riesgo. Directrices GT29 (wp248) de 4 de octubre de 2017. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

33 MODELO DE SUPERVISIÓN Acciones correctivas 
Sancionar con una advertencia cuando las operaciones de tratamiento previstas puedan infringir RGPD. Sancionar con apercibimiento cuando las operaciones de tratamiento hayan infringido RGPD. Ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos. Ordenar que las operaciones de tratamiento se ajusten a las disposiciones del RGPD, de una determinada manera y dentro de un plazo especificado. Ordenar al responsable que comunique al interesado las violaciones de la seguridad de los datos personales. Imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

34 MODELO DE SUPERVISIÓN Multas deberán ser efectivas, proporcionadas y disuasorias. Cantidad deberá modularse atendiendo a circunstancias del caso. Aplicables a responsables y encargados. Clasificación de infracciones y sanciones: Multa hasta 10 M € o para empresas, optándose por la de mayor cuantía, hasta el 2 % de volumen de negocio anual a nivel mundial Obligaciones de responsable o encargado Obligación de organismos de certificación Obligaciones de APD en relación con organismos de supervisión de códigos de conducta AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

35 MODELO DE SUPERVISIÓN Multa hasta 20 M € o hasta el 4%
Principios básicos Derechos Transferencias internacionales.. Incumplimiento de resoluciones de APD AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

36 LA AEPD AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

37 AUTORIDAD DE CONTROL RGPD
Independencia (art. 8 DFUE). Condiciones esenciales para garantizar la independencia. Designación Mandato Revisión de sus resoluciones Control parlamentario AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

38 AUTORIDAD DE CONTROL RGPD
La independencia de la Autoridad de control se ratifica en el RGPD al señalar que “el establecimiento en los Estados miembros de autoridades de control capacitadas para desempeñar sus funciones y ejercer sus competencias con plena independencia constituye un elemento esencial para la protección de las personas físicas con respecto al tratamiento de datos de carácter personal” (Cons.117). El RGPD regula las condiciones de independencia de la autoridad de control, las condiciones generales aplicables a sus miembros, las normas relativas al establecimiento de dicha autoridad y su competencia, funciones y poderes (arts. 51 a 58), así como su obligación de transparencia y rendición de cuentas mediante un informe anual (art. 59). Pero dentro de este marco común, remite al derecho de los estados miembros la regulación de estas autoridades. Un elemento esencial para garantizar la independencia de la autoridad es el relativo a su designación y al mandato durante el cual no podrá ser removido de su cargo. El RGPD exige que cada miembro de la autoridad sea nombrado por un procedimiento transparente, pero admitiendo fórmulas diversas. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

39 LOPDGDD: DESIGNACIÓN DE MIEMBROS
El RGPD precisa la cualificación exigible, si bien con un margen de flexibilidad, señalando, genéricamente, que deberán poseer la titulación, experiencia y aptitudes necesarias para el cumplimiento de sus funciones y el ejercicio de sus poderes, en particular en materia de protección de datos personales (art. 53.2). La LOPDGDD reitera que deben ser personas de reconocida competencia profesional en esta materia y articula un novedoso procedimiento para evaluarla (art. 48). El proceso de designación se inicia con una convocatoria pública en el Boletín Oficial del Estado por parte del Ministerio de Justicia, dos meses antes de la expiración del mandato o del cese de los miembros de la AEPD, para que puedan concurrir candidatos sobre los que deberá evaluarse su mérito, capacidad, competencia e idoneidad. Evaluados los candidatos el Gobierno debe remitir una propuesta al Congreso de los Diputados junto con un informe justificativo de la misma. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

40 LOPDGDD: DESIGNACIÓN DE MIEMBROS
Los candidatos deben comparecer preceptivamente ante la Comisión de Justicia, que deberá ratificarlos por mayoría de tres quintos de sus miembros en una primera votación o por mayoría absoluta en la segunda, que debe celebrarse inmediatamente después de la anterior. En este último caso deben concurrir votos favorables de diputados pertenecientes, al menos, a dos grupos parlamentarios distintos. Cumplidos estos trámites el nombramiento se realizará por el Gobierno mediante Real Decreto. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

41 COMPOSICIÓN La LOPDGDD (art.48) modifica su composición pasando de un director que asume la totalidad de las competencias y funciones atribuidas a la Agencia a una Presidencia. Y, crea una figura auxiliar de la misma constituida por un Adjunto al que se aplica, también, el procedimiento de designación de la Presidencia. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

42 MANDATO El Adjunto es auxiliar a la Presidencia y puede asumir sus funciones por delegación en los términos que prevea el Estatuto orgánico de la Agencia. No obstante, están excluidas de esta delegación las relacionadas con los procedimientos relacionados con posibles vulneraciones de la normativa de protección de datos regulados en el título VIII de la Ley. Comprende los procedimientos con las competencias de la AEPD en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico y en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones. La garantía de la independencia está directamente vinculada, también, con la regulación del mandato de los miembros de la Agencia. El RGPD remite a la normativa de los Estados miembros. La LOPDGDD ha establecido un mandato de 5 años que solo puede ser renovado por otro periodo de igual duración. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

43 MANDATO Únicamente se prevé el cese antes de la expiración del mandato por petición propia del titular o por separación acordada por el Consejo de Ministros en supuestos tasados de particular gravedad: El incumplimiento grave de sus obligaciones La incapacidad sobrevenida para el ejercicio de su función La incompatibilidad La condena firme por delito doloso. En las tres primeras de las causas citadas será necesaria, además, la ratificación de la separación por las mayorías parlamentarias que se han descrito al tratar de la designación de los miembros. La última por la jurisdicción. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

44 RÉGIMEN DE RECURSOS Otro elemento esencial para la garantía de la independencia de la autoridad es el de la competencia para resolver los recursos contra sus decisiones. La LOPDGDD, manteniendo el régimen de la normativa anterior ratifica que los actos y decisiones de la Agencia ponen fin a la vía administrativa, siendo recurribles directamente ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional (art.48.6). AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

45 INDEPENDENCIA La garantía de independencia de la autoridad se apoya, también, en la exigencia de que “sus miembros serán ajenos, en el desempeño de sus funciones y en el ejercicio de sus poderes (…) a toda influencia externa, ya sea directa o indirecta, y no solicitarán ni admitirán ninguna instrucción”. Mandato que se complementa con la obligación de abstenerse de “cualquier acción que sea incompatible con sus funciones” y la de no participar, “mientras dure su mandato, en ninguna actividad profesional que sea incompatible, remunerada o no” (art.52.1 y 2). AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

46 EL CONSEJO CONSULTIVO Órgano Colegiado de asesoramiento de la Directora. Emitirá informe en todas las cuestiones que le solicite la Directora.  Formulará propuestas en materia de protección de datos. Se reunirá al menos una vez cada seis meses. La Directora será elegida de entre sus miembros. Composición: Un Diputado propuesto por el Congreso. Un Senador propuesto por el Senado. Un representante de la AGE propuesto por el Ministro de Justicia. Un vocal por cada CCAA con autoridad de protección de datos. Un vocal de la Administración Local propuesto por la FEMP. Un vocal propuesto por la Real Academia de la Historia. Un vocal propuesto por el Consejo de Universidades. Un vocal representante de los consumidores y usuarios, propuesto por el Consejo de Consumidores y Usuarios. Un vocal representante del sector privado propuesto por el Consejo Superior de Cámaras de Comercio, Industria y Navegación. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

47 EL CONSEJO CONSULTIVO La LOPDGDD ha mantenido con algunas modificaciones el Consejo Consultivo de la Agencia, como órgano de asesoramiento de la autoridad de control. Respecto del Consejo Consultivo, la LOPDGDD se limita a regular su composición, la previsión de que se reunirá cuando lo disponga la Presidencia de la Agencia y, al menos, una vez al semestre y, los efectos de sus decisiones que no tendrán, en ningún caso, carácter vinculante (art.49). AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

48 LA AEPD Actividad basada en las siguientes funciones
Asesoramiento y sensibilización Informes preceptivos a proyectos normativos y consultas complejas: Gabinete Jurídico Área de atención al ciudadano Atención a responsables y encargados del tratamiento Garantía del cumplimiento de la Ley Protección y Tutela de los derechos Auditoría e Inspección Notificación quiebras seguridad (UEET) AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

49 LA AEPD Actividad basada en cuatro pilares básicos
Seguimiento de novedades tecnológicas (UEET) Comunicación Cooperación internacional AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

50 ¡MUCHAS GRACIAS!


Descargar ppt "CONCEPTO Y LEGISLACIÓN BÁSICA"

Presentaciones similares


Anuncios Google