15/10/2016. Emprendiendo con seguridad. Los cambios más significativos de la futura regulación europea. RGPD. José Manuel Mulero Fernández

Transcripción

1 Emprendiendo con seguridad Laia Esteban Guinea José Manuel Mulero Fernández Los cambios más significativos de la futura regulación europea. José Manuel Mulero Fernández

2 REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE(Reglamento general de protección de datos) 1. El Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea. 2. Seráaplicableapartirdel25demayode El Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro. Principiosreguladores. Los tratamientos en relación con el afectado deben ser justos, legales y transparentes. Los datos deberán ser obtenidos para finalidades específicas, explícitas y legítimas, y no usados para finalidades incompatibles. Igualmente deberán ser adecuados, pertinentes (relevantes) y limitados a las finalidades previstas, debiendo ser actualizados o eliminados cuando sean inexactos. Mantenidos solamente mientras sean necesarios Tratados con seguridad, integridad y confidencialidad

3 Accountability: En virtud de este principio, el responsable y el encargado deberán cumplir con estos principios reguladores y lo que es más importante, demostrarlo, es decir: implementar medidas técnicas y organizativas para cumplir con las estipulaciones del presente Reglamento y ser capaz de demostrarlo. Este principio de proactividad en el cumplimiento y justificación del mismo será una de las piedras angulares de la nueva normativa junto con el enfoque basado en el riesgo(risk based approach) y privacidad por diseño(privacy by design). Consejo Europeo de Protección de Datos y autoridades de control. Sustituye al actual Grupo de Trabajo del Artículo 29. Se refuerzan y amplían sus competencias. Mayor coordinación entre las autoridades de control de los estados miembros Se establecen los Dictámenes del Consejo Europeo de Protección de Datos como mecanismos de resolución de disputas entre autoridades de control.

4 Inscripción de Ficheros: Registro de actividades de tratamiento interno de ficheros. Ámbito territorial. Oferta a ciudadanos de la UE/Comportamiento Nuevas categorías especiales de datos "categorías especiales de datos Datos genéticos Datos biométricos Opiniones políticas Convicciones religiosas o filosóficas

5 Consentimiento declaración inequívoca o acción afirmativa clara. las casillas ya marcadas, el consentimiento tácito o la inacción no constituirán un consentimiento válido. Consentimiento de los menores LSSICE: sólo será válido si tienen más de 16 años. Sin embargo, los estadosmiembrosdelauepuedenrebajarlaedadhastalos13años. El lenguaje utilizado para informarles les debe ser comprensible.. Información

6 . Información Derecho de información losdatosdecontactodeldelegadodeproteccióndedatos; la base jurídica del tratamiento. Consentimiento, base legal, interés legítimo los intereses legítimos perseguidos en que se fundamente el tratamiento, en su caso; elplazoduranteelcualseconservaránlosdatosocriteriosquelodeterminen; el derecho a solicitar la portabilidad; el derecho a retirar en cualquier momento el consentimiento que se haya prestado; si la comunicación de datos es un requisito legal o contractual o un requisito necesario para suscribir un contrato; el derecho a presentar una reclamación ante una autoridad de control; la existencia de decisiones automatizadas, incluida la lógica aplicada y sus consecuencias..información Por definir Se podrán utilizar De manera complementaria Iconos normalizados

7 El incorpora el derecho al olvido, como un derecho vinculado al derecho de supresión: Derecho a la portabilidad: formato estructurado, de uso común y de lectura mecánica, y transmitirlos a otro responsable, si se cumplen los requisitos siguientes: Eltratamientoestébasadoenelconsentimientooenuncontrato El tratamiento se haga por medios automatizados

8 Encargo del tratamiento El Reglamento amplía el contenido mínimo del contrato de encargo de tratamiento. Entre otros aspectos, el contrato deberá prever los siguientes puntos adicionales respecto al contenido que ya establecía la LOPD: elobjetoyladuracióndelencargo; la naturaleza del tratamiento; eltipodedatospersonales; las categorías de interesados; las obligaciones y los derechos del responsable; la previsión de que las personas que deberán tratar los datos se han comprometido a mantener la confidencialidad; la asistencia del encargado al responsable para que pueda atender las solicitudes de ejercicio de derechos; lasupresión oladevolucióndelosdatosalfinalizarelencargo; la obligación de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del encargado del tratamiento y para permitir y contribuir a la realización de auditorías e inspecciones por parte del responsable o de otro auditor autorizado por el responsable. Evaluaciones de impacto relativas a la protección de datos Cuando un tratamiento suponga un riesgo alto para los derechos y libertades de las personas físicas se deberá hacer una evaluación del impacto a los tratamientos antes de iniciar el tratamiento. Consiste en un análisis de los riesgos Implica la gestión de dichos riesgos Supone la Aplicación de medidas que eliminen o mitiguen el riesgo.

9 Consulta previa Si realizada la evaluación de impacto resulta que el tratamiento previsto podría infringir el, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, el responsable debe hacer una consulta a la autoridad de control. Protección de datos desde el diseño y por defecto El Reglamento introduce los conceptos de privacidad desde el diseño y privacidad por defecto. El responsable aplicará, en el diseño del tratamiento las medidas técnicas y organizativas adecuadas que garanticen la privacidad de los usuarios, garantizando las obligaciones reglamentarias. El responsable aplicará las medidas técnicas y organizativas adecuadas para garantizar que, por defecto, sólo se traten los datos personales necesarios para cada finalidad específica del tratamiento.

10 Códigos de conducta Los colectivos que representen a responsables podrán promover códigos de conducta para la correcta aplicación del. Será supervisado por la autoridad de control, aprobado, registrado y publicado. Será supervisado por una entidad acreditada por la autoridad de control La adhesión voluntaria y el cumplimiento de un código puede demostrar nuestro Accountability y ayudar en las evaluaciones de impacto. Mecanismos de certificación El Reglamento también promueve los mecanismos de certificación, tales como certificados, sellos o marcas, como mecanismo para demostrar el cumplimiento del. ORGANISMOS DE ACREDITACIÓN LaAPDcompetentey/o El organismo nacional de acreditación (ENAC Reglamento765/2008) con arreglo a la norma EN ISO/IEC 17065/2012 y los requisitos establecidos por la APD competente ElCEPD

11 Delegado de protección de datos Obligatorio/voluntario autoridad u organismo público (excepto juzgados y tribunales). Cuando se requiera la observación habitual y sistemática de interesados a gran escala. Cuando el tratamiento tenga por objeto categorías especiales de datos. Interno/Externo Requisitos Formación específica en el Derecho a la protección de datos Experiencia profesional Capacidades para el desempeño de sus funciones Funciones: A nivel interno: Informa, asesora y forma Supervisa el cumplimiento normativo, asigna responsabilidades, conciencia y audita Desarrolla las DPIA A nivel externo: Coopera y es la referencia de contacto, comunicación y consulta con la Autoridad de Control Contacto con el interesado

12 Transferencias internacionales El reconocimiento expreso de las normas corporativas vinculantes como base para la transferencia de datos dentro de un grupo empresarial. Se han previsto algunas nuevas excepciones, como: Loscasosenquelatransferencia nosea repetitiva Afecte a un número limitado de interesados Sea necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento, sobre los que no prevalecen los intereses o los derechos y libertades del interesado y aquél haya evaluado los riesgos y ofrecido garantías adecuadas. Medidas de seguridad Noseespecifican,tansoloseindicaquedebogarantizar: La integridad, la seguridad y la privacidad de los tratamientos de datos Ello implicará tener que hacer una evaluación de los riesgos asociados a cada tratamiento, para determinar las medidas de seguridad a implementar.

13 Notificación de violaciones de seguridad Notificación a la autoridad de control en un plazo máximo de 72 horas, salvo quenoseaprecieriesgoparalosderechosylibertadesdelaspersonas. Cuandoseaprobablequelaviolaciónpuedacomportarunaltoriesgoparalos derechos de los interesados, el responsable lo deberá comunicar a las personas afectadas sin dilaciones indebidas y en lenguaje claro y sencillo, excepto que: los datos no sean inteligibles para personas no autorizadas. Haya aplicado medidas ulteriores que garanticen que ya no existe la probabilidad de que se concrete el alto riesgo. Suponga un esfuerzo desproporcionado. Ventanilla única Este sistema permite que los ciudadanos y también los responsables establecidos en diferentes estados miembros o que hagan tratamientos que afectan a diferentes estados miembros tengan una única autoridad de protección de datos como interlocutora

14 Sanciones. Las compararemos mas adelante con las actuales