Sistemas de cumplimiento preventivos. María José Blanco Antón Secretaria General Agencia Española de Protección de Datos

Transcripción

1 Sistemas de cumplimiento preventivos María José Blanco Antón Secretaria General Agencia Española de Protección de Datos 1

2 ENFOQUE SISTEMAS DE CUMPLIMIENTO PREVENTIVOS Principio de transparencia de la información y la comunicación: sencilla, clara y adaptada: inteligible Compromiso activo con la protección de datos. No es suficiente no incumplir. Sancionable la no adopción de medidas. Rendición de cuentas (accountability): de cada operación de tratamiento de datos el responsable garantizará y demostrará el cumplimiento 2

3 MODELO - PROPUESTA DE REGLAMENTO UE Ámbito de aplicación territorial Definiciones Derechos: a la portabilidad; al olvido Privacidad desde el diseño y por defecto Conservación de documentación Notificación de brechas de seguridad Evaluaciones de impacto (PIA) Autorizaciones y consultas previas para determinados tratamientos Delegado de protección de datos (DPO) Códigos de conducta, sellos y certificaciones Régimen sancionador Poderes de desarrollo a la CE 3

4 Responsabilidad activa del Responsable ( Accountability ) Los responsables tienes que adoptar políticas y poner en práctica medidas para asegurar y estar en condiciones de demostrar que los tratamientos garantizan la protección de los datos personales 4

5 Pero qué medidas? Responsabilidad activa del Responsable ( Accountability ) Mantener un inventario de documentación (sobre todos los tratamientos de datos personales que efectua, identificación de ficheros, descripción, tipos de datos que trata, finalidades y usos, cesiones previstas, encargados de tratamiento, ) obligación que sustituye a la notificación de ficheros a la Autoridad de Control Aplicar medidas de seguridad adecuadas Medidas de Protección de Datos en el Diseño Medidas de Protección de Datos por Defecto Llevar a cabo Evaluaciones de Impacto de Protección de Datos (EIPD) 5

6 Pero qué medidas? Responsabilidad activa del Responsable ( Accountability ) Solicitar autorización previa o realizar consultas previas a la Autoridad en caso de tratamientos que ofrecen riesgos en la privacidad Designación Delegado Protección de Datos (DPD) Verificación de la eficacia de esas medidas por parte, salvo que sea desproporcionado, de auditores independientes, externos o internos Consulta en iniciativas legislativas o medidas basadas en medida legislativa) 6

7 PRIVACY BY DESIGN PRIVACY BY DEFAULT Privacidad desde el Diseño Implementación desde el inicio - en el momento de determinación de los medios del tratamiento y en el tratamiento propiamente dicho medidas y procedimientos técnicos y organizativos apropiados para garantizar los principios y derechos de protección de datos - proteger los derechos de los interesados durante todo el ciclo de vigencia de la información Condiciones: Estado de las técnicas existentes y costes de implementación 7

8 PRIVACY BY DESIGN PRIVACY BY DEFAULT Protección de datos por Defecto Principios: mínima información mínima conservación Tratamiento solo de los datos necesarios - Minimización de los datos para cada finalidad Conservación mínima para finalidad Garantía de que, por defecto, no sean accesibles a un número indeterminado de personas (caso típico de configuración de privacidad para redes sociales) 8

9 Evaluación de impacto Deberá realizarse cuando los tratamientos previstos presenten riesgos específicos para los derechos y libertades de los interesados, entre otros casos, cuando: Persigan una evaluación sistemática y exhaustiva de datos personales o analizar o predecir características de una persona Procesen a gran escala información sensible destinada a tomar medidas sobre personas concretas Se efectúe videovigilancia a gran escala o procesen datos de localizacion 9

10 Evaluación de impacto Deberá realizarse cuando los tratamientos previstos presenten riesgos específicos para los derechos y libertades de los interesados, entre otros casos, cuando: Procesen a gran escala datos de niños, datos sensibles, de salud, genéticos o datos biométrico Tratamientos destinados a tomar decisiones automatizadas Tratamientos masivos (mas de 5000 afectados en 12 meses) 10

11 Evaluación de impacto Obligación que incumbe tanto al Responsable como al Encargado La evaluación debe incluir un contenido mínimo Descripción general operaciones tratamiento Evaluación riesgos para los Dchos. y libertades interesados Medidas para hacerles frente Garantías, medidas de seguridad y auditorías Puede incluir la recopilación de la opinión de los interesados 11

12 Delegado de Protección de Datos Una persona debe ayudar al responsable (o encargado) del tratamiento a supervisar la observancia interna del Reglamento. Quién? El Delegado de Protección de Datos (Data Protection Officer DPO) Siempre En el sector público Gran empresa (250 o + empleados) Persona jurídica (tratamiento interesados en 12 meses) Actividades que impliquen tratamientos que, según naturaleza, alcance y/o fines requieran seguimiento periódico y sistemático de los interesados Tratamiento datos sensibles (creencias, orientación sexual, ), riesgos específicos 12

13 Delegado de Protección de Datos DPO COMÚN Grupo de empresas (+ 250) Fácilmente accesible desde cada una y al menos un DPO por EM Entidades públicas DPO FACULTATIVO, PODRÁN NOMBRARLO: Encargados y responsables del tratamiento Asociaciones y organismos que representen categorías de responsables o encargados 13

14 Requisitos: cualidades profesionales CONOCIMIENTOS ESPECIALIZADOS DE LA LEGISLACIÓN Protección de datos, procedimientos administrativos, laboral, empresas, sectorial, PRÁCTICAS EN PROTECCIÓN DE DATOS Experiencia en consultoría de protección de datos Experiencia en gestión de organizaciones Experiencia en aplicación de la normativa en organizaciones CAPACIDAD PARA EJECUTAR TAREAS ENCOMENDADAS Conocimiento de la organización: negocio y procesos operativos y de toma decisiones Experiencia en formación Capacidad de mediación (no ser visto como obstáculo) EVALUACIÓN CONOCIMIENTOS ESPECIALIZADOS En función tratamiento datos En función protección exigida para los datos personales 14

15 Estatuto del DPO (1/2) Empleado de la organización o externo desempeñando sus tareas sobre la base de un contrato de servicios Independencia en el desempeño de tareas y funciones Mandato 2 años prorrogables. 4/2 años prorrogables Destitución sólo si deja de reunir requisitos para su función Independientes, no reciben instrucciones. Informa directamente a la dirección. Miembro Consejo ejecutivo Respaldo del responsable y encargado y garantía de la independencia. Obligación secreto tratamiento datos Provisión de los recursos necesarios por el responsable y el encargado (locales y equipamiento, ). Todos los medios Comunicación nombre y datos contacto a las APD y al público Acceso por interesados y ejercicio de derechos 15

16 Estatuto del DPO (1/2) El responsable y el encargado velarán por que el DPO se implique adecuadamente y en su debido momento en todas las cuestiones relativas a la protección de datos personales Adecuadamente: Exclusividad en el desarrollo de sus funciones interna o externas? El responsable y el encargado velarán por que las otras funciones profesionales sean compatibles con las tareas y funciones del DPO y no planteen conflictos de intereses Implicación en su debido momento Protección de datos desde el diseño Protección de datos por defecto (minimización) Evaluación de impacto (PIA) Notificación de brechas de seguridad 16

17 Funciones mínimas del DPO (1/3) Mantener un inventario de documentación de los tratamientos de datos CONTENIDO MINIMO Conservar la documentación de cada tratamiento Datos contacto responsable Datos DPO Fines e intereses legítimos tratamiento Categorías de interesados y de datos TID y garantías Plazos supresión datos Verificación: auditorías externas si procede SUSTITUYE A LA OBLIGACIÓN DE NOTIFICACIÓN A LA AUTORIDAD DE CONTROL, PERO A SU DISPOSICIÓN 17

18 Funciones mínimas del DPO (2/3) Informar y asesorar sobre las obligaciones que han de adoptarse en la organización para garantizar la protección de los datos personales Documentar esta actividad y las respuestas recibidas Informar representantes trabajadores sobre el tratamiento de sus datos Supervisar Implementación y aplicación de las políticas del responsable o encargado: Asignación de responsabilidades, formación del personal y auditorías Protección de datos desde el diseño y por defecto 18

19 Funciones mínimas del DPO (3/3) Seguridad de los datos Información a los interesados Solicitudes de ejercicio de derechos Brechas de seguridad (documentación, notificación y comunicación) Realización de evaluaciones de impacto (PIA) Solicitudes de autorización o consulta previa a la APD Respuesta a las solicitudes de la APD VELAR POR LA CONSERVACIÓN DE LA DOCUMENTACIÓN PUNTO DE CONTACTO FLUIDO CON LAS AUTORIDADES DE CONTROL Cooperar con APD (previa solicitud o por iniciativa propia) Punto de contacto y consultas, si procede, a iniciativa propia 19

20 20