Nuevas normas en materia de protección de datos - Reglamento Europeo de protección de datos

Transcripción

1 Nuevas normas en materia de protección de datos - Reglamento Europeo de protección de datos Jorge Campanillas Abogado iurismatica.com

2 Cuándo se aplica? Novedades principales en el Reglamento Europeo de Protección de Datos El Reglamento Europeo de Protección de Datos punto a punto Checklist puntos a tener en cuenta Conclusiones 2

3 Cuándo se aplica? Entró en vigor el 25 de mayo de 2016 pero comenzará a aplicarse el 25 de mayo de Año y medio para adaptarnos. y la LOPD y el reglamento? Siguen en vigor hasta que entre en funcionamiento el reglamento y se aprueben/modifiquen nueva normativa interna. Aplicación directa en toda la Unión Europea. E incluso la prestación de servicios u oferta de bienes de empresas fuera de la Unión pero que se ofrezca a interesados dentro UE. 3

4 Novedades principales en el Reglamento Europeo de Protección de Datos: Consentimiento Desaparece la inscripción de ficheros en la AEPD Derechos: Derecho al olvido, derecho a la portabilidad de los datos Privacidad en el diseño y por defecto Nuevas figuras: Evaluación de Impacto y el Delegado de Protección de Datos Brechas e incidencias de seguridad Infracciones y sanciones 4

5 datos personales? se amplía la casuística de datos personales: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona Datos genéticos: Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona Datos biométricos: Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos Datos relativos a la salud Datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud; 5

6 Consentimiento: Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Se acabaron los consentimientos: Por silencio Tácitos Con casillas premarcadas Deberemos ser capaces de demostrar que el usuario/a consintió el tratamiento de sus datos personales. Se incluye la obligación al responsable de utilizar sistemas que permitan al interesado retirar el consentimiento tan fácilmente como lo hubiese dado 6

7 A falta de consentimiento: Obligación legal Intereses vitales Interés público Interés legítimo (caso por caso) Edad mínima para consentir: Regla General 16 años, si bien los Estados pueden determinar otra edad nunca inferior a 13 años. En España 14 años. (No cambia). 7

8 Consentimiento informado: Los avisos legales habrá que modificarlos para ampliar la información a ofrecer para que las personas puedan consentir: Datos de contacto del delegado de protección de datos, Plazo de conservación de los datos Derecho a la portabilidad de los datos Derecho a presentar una reclamación ante las autoridades de control Decisiones automatizas, incluida la elaboración de perfiles,, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado 8

9 Consentimiento informado: Se abre la puerta a iconos estandarizados un creative commons para la privacidad? Los iconos que se presenten en formato electrónico serán legibles mecánicamente 9

10 Derechos ARCO + Limitación, Derecho al olvido y Derecho a la portabilidad de los datos Derecho de acceso se abre la puerta a posibilidad de incluir un cánon para el acceso: un cánon razonable por obtener otras copias de los datos personales formato electrónico de uso común 10

11 Derechos ARCO + Limitación, Derecho al olvido y Derecho a la portabilidad de los datos Derecho al olvido: Derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan En relación con libertad de expresión, información y demás derechos fundamentales (caso Google) 11

12 Derechos ARCO + Limitación, Derecho al olvido y Derecho a la portabilidad de los datos Derecho a la limitación del tratamiento: Es decir es una especie de congelación de los datos mientras se comprueban ciertas circunstancias de los mismos y no pudiéndo el responsable cancelar o tratar dichos datos. Ej: Se impugne la exactitud de los datos, durante un plazo que permita al responsable verificar su exactitud El responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones 12

13 Derechos ARCO + Limitación, Derecho al olvido y Derecho a la portabilidad de los datos Con el derecho a la limitación del tratamiento, en cierta forma se modifica el derecho de oposición: Derecho oposición para los casos no se han recabado los datos con su consentimiento (pueda existir un interés legítimo o públicos) o el tratamiento de datos se realice con fines publicitarios. 13

14 Derechos ARCO + Limitación, Derecho al olvido y Derecho a la portabilidad de los datos Derecho a la portabilidad: Esa posibilidad que tendremos de poder descargar toda nuestra información y llevarla a otra plataforma para poder continuar con nuestra vida digital o incluso, la propia obligación al responsable para que no sólo se de la posibilidad de descarga sino directamente se transmitan entre plataformas sin que el responsable de la plataforma se pueda negar a ello. Cuando sea técnicamente posible Tratamiento se realice con consentimiento Se efectúe por medios automatizados 14

15 Privacidad desde el diseño y por defecto: Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. 15

16 Privacidad desde el diseño y por defecto: El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas. 16

17 Brechas de Seguridad: qué medidas de seguridad de los datos establece el reglamento? Reglamento propone una serie de medidas que como mínimo puedan incluir entre otros: La seudonimización y el cifrado de datos personales La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. 17

18 Brechas de Seguridad: qué sucede si ha habido una violación o brecha de seguridad de los datos personales? El Reglamento obliga a las empresas que hayan sufrido una agujero o brecha de seguridad a notificarlo en un plazo máximo de 72 horas a las autoridades de control correspondientes. Si transcurrido este plazo no lo ha notificado, deberá incluir en su notificación las causas de la dilación en la misma. La notificación deberá basicamente determinar claramente qué es lo que ha pasado, número de afectados, gravedad de la brecha y medidas que se hayan adoptado o se pretendan adoptar. 18

19 Brechas de Seguridad: qué sucede si ha habido una violación o brecha de seguridad de los datos personales? Se incluye además una obligación incluso de notificar a los afectados si la brecha de seguridad puede afectar o conlleva un alto riesgo en los derechos y libertades de éstos. La notificación a los interesados se deberá realizar en un lenguaje claro y sencillo. En todo caso no será necesaria la notificación al interesado o se podrá optar por una comunicación pública si supone un esfuerzo desproporcionado llegar a todos los interesados, o se han tomado medidas que hagan inteligibles el acceso a los datos expuestos por el agujero de seguridad. 19

20 Brechas de Seguridad: qué sucede si ha habido una violación o brecha de seguridad de los datos personales? El reglamento establece que las infracciones de las disposiciones de los artículo 25 a 39, donde se encuentra regulado la seguridad de los datos, entre otros temas, se sancionarán con multas administrativas de EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía 20

21 Delegado de Protección de Datos Una profesión de futuro qué empresas/instituciones deberán tener un DPO? Las AAPPs y organismos públicos Empresas que rhehqhuhihehrhahnh HuHnHaH HoHbHsHeHrHvHaHcHiHónH HhHaHbHiHtHuHaHlH Hy HsHiHsHtHeHmHátHiHcHaH HdHeH HiHnHtHeHrHeHsHaHdHoHsH HaH HgHrHaHnH HeHsHcHaHlHaH (gran cantidad de información). Empresas que requieran thrhahthahmhihehnhthoh HaH HgHrHaHnH HeHsHcHaHlHaH HdHe HcHaHtHeHgHoHrHíaHsH HeHsHpHeHcHiHaHlHeHsH HdHeH HdHaHtHoHsH HpHeHrHsHoHnHaHlHeHsH H(salud, genéticos, biométricos, ideológicos, étnicos, etc). 21

22 Delegado de Protección de Datos Una profesión de futuro Deberá tener conocimientos especializados del Derecho y en materia de protección de datos. Abogado?. El DPO puede ser tanto interno como externo. Se permite que haya una relación de prestación de servicios no teniendo que ser únicamente un trabajador asalariado el que desarrolle las labores de DPO. Independencia y sin conflictos de intereses. El Reglamento deja bien claro el carácter de independencia jerárquica y funcional en el organigrama de la empresa: ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado. Grupos de empresas podrán tener un único DPO 22

23 Delegado de Protección de Datos Funciones: Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben Supervisar el cumplimiento de la normativa y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades La concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación Cooperar con la autoridad de control y actuar como punto de contacto de la autoridad de control. 23

24 Delegado de Protección de Datos Acciones: Punto de referencia en protección de datos Punto de encuentro con usuarios/as, clientes, afectados/as Interlocutor directo con la autoridad de control Redacción, revisión, supervisión de toda la documentación requerida en protección de datos: Información, Consentimiento, Contratos, etc Redacción, revisión, información de la documentación para el personal de la entidad y formación a todo el personal Recepción, revisión y respuesta a las solicitudes de derechos Supervisar el prototipado de los productos o servicios de la empresa a fin de que se haga efectivo: Privacidad por diseño o por defecto Desarrollo de la evaluación de impacto 24

25 Delegado de Protección de Datos Funciones: Figura clave en la gestión de las brechas de seguridad toma de decisiones, información y control. Revisión, control y supervisión en la implantación de las medidas de seguridad. Redacción del registro de actividades. 25

26 Evaluación de impacto en la protección de datos personales: Quién debe hacerla? Vayan a realizar tratamientos automatizados de las personas, como elaboración de perfiles y que produzcan efectos jurídicos en los afectados. Tratamiento a gran escala de datos especialmente protegidos Observación sistemática a gran escala de una zona de acceso público Otros sectores: Las autoridades de control podrán publicar listas de tratamientos que deberán tener esta evaluación y aquellos que no 26

27 Evaluación de impacto en la protección de datos personales deberá tener como mínimo Asesoramiento del DPO Descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, el interés legítimo perseguido. Evaluación de la necesidad y la proporcionalidad del tratamiento con respecto a su finalidad; Evaluación de los riesgos para los derechos y libertades de los interesados 27

28 Evaluación de impacto en la protección de datos personales deberá tener como mínimo Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales. Incluso, cuando proceda, opinión de los interesados o sus representantes (asociaciones sin ánimo de lucro, etc). Si una evaluación de impacto muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento. 28

29 Infracciones, sanciones y otras acciones en materia de protección de datos. Otorga poderes correctivos a la AEPD, por ejemplo: Imponer limitación territorial tratamiento, o incluso su prohibición. Cambio en la cuantía de las sanciones 10millones o 2% máximo del volúmen total anual global del ejercicio financiero anterior. Infracciones: Medidas de seguridad, consentimiento menores, etc. 20millones o 4% máximo del volúmen total anual global del ejercicio financiero anterior. Infracciones: Principios básicos: consentimiento, tratamientos, etc. 29

30 Infracciones, sanciones y otras acciones en materia de protección de datos. Multas se pondrán en función de cada caso individual, según circunstancias: intencionalidad, negligencia, medidas para paliar daños, cooperación, tipología de datos afectados, etc. Se abre la puerta a posibles multas administrativas a las propias AAPPs Derecho a indemnización de una persona que haya sufrido daños y perjucios por parte del responsable o del encargado de tratamiento. (seguros en materia de protección de datos). Acciones colectivas asociaciones podrán representar afectados 30

31 Checklist a tener en cuenta para ir adecuándonos al reglamento 1)Revisar avisos legales/formularios 2)Modificar/ampliar la información de los avisos legales / formularios. 3)Estudiar la inclusión de consentimientos expresos para los tratamientos de datos 4)Determinar la tipología y volumen de los datos tratados a fin de: 1)Determinar si necesitaremos figura DPO 2)Desarrollar las evaluaciones de impacto en privacidad 3)Privacidad en el diseño y por defecto 31

32 Checklist a tener en cuenta para ir adecuándonos al reglamento 4)Adecuar las medidas de seguridad y preparar planes de contingencia brechas de seguridad. 5)Revisar procesos de respuesta a los derechos ARCO +limitación de tratamientos +portabilidad + derecho al olvido (si corresponde) 6)Revisar los flujos de información 7)Determinar los periodos de conservación de lo datos 8)Revisión de los contratos encargados/responsables 32

33 Checklist a tener en cuenta para ir adecuándonos al reglamento 9)Desarrollar registro de actividades empresas de +250 trabajadores o datos especialmente protegidos 10)Posibilidad de certificación, código de conducta, etc. Bonustrack: Quizá contratar seguro responsabilidad protección de datos. 33

34 Conclusiones: Consentimiento expreso piedra angular de la normativa. Nueva redacción de la información a los interesados/as. Inclusión del DPO en las empresas con grandes volúmenes de información o información sensible. Inclusión del DPO en las AAPPs. Brechas de seguridad, detección, control, información y colaboración con autoridades de control Privacidad por defecto y en el diseño: Informes de impacto en la privacidad Medidas de seguridad 34

35 Muchas gracias por vuestra atención! Jorge Campanillas Iurismática Abogados, S.L.P.