Impacto del Reglamento General de Protección de Datos en las Administraciones Públicas

Transcripción

1 Impacto del Reglamento General de Protección de Datos en las Administraciones Públicas Madrid, 20 de marzo de 2018 Agustín Puente Escobar Abogado del Estado Jefe del Gabinete Jurídico 1

2 Carácter armonizador Sustituye al régimen de la Directiva 95/46/CE Publicado el 4 de mayo de 2016 En vigor desde 25 de mayo de 2016 Plena aplicación desde el 25 de mayo de 2018 Principales características Mayor control para los interesados Nuevo modelo de cumplimiento basado en la responsabilidad activa Nuevo modelo de supervisión Mecanismos de cooperación para su aplicación uniforme 2

3 Carácter armonizador Implica una armonización completa Aplicación directa Desplazamiento de las normas nacionales generales Posible vigencia o adecuación de las normas sectoriales Posible desarrollo normativo por los Estados Miembros pero de forma muy limitada Mecanismos de armonización Cooperación y coherencia. El Comité Europeo de protección de datos Control por la Comisión Decisiones del Tribunal de Justicia (especial referencia al Considerando 143) 3

4 Principales novedades del RGPD 1. Clarificación y ampliación del concepto de dato personal Los conceptos de anonimización y seudonimización 2. Modificación del ámbito territorial de aplicación Aplicación del concepto de «servicios dirigidos» en lugar del de los «medios» 3. Régimen detallado del consentimiento Desaparición de la posibilidad de consentimiento «tácito» o «por omisión» Especialidades y régimen del consentimiento de los menores 4. Aclaración de los criterios para la aplicación de la regla del «equilibrio de intereses» o del «interés legítimo» 5. Ampliación de las categorías especiales de datos Inclusión de los datos biométricos y genéticos Aclaración de los supuestos de legitimación para su tratamiento 4

5 Principales novedades del RGPD 6. Desarrollo del principio de transparencia o derecho a la información Más información y capacidad de disposición del afectado 7. Régimen detallado de los derechos de los afectados Desarrollo de derechos como el de rectificación o supresión, incluyendo el de oposición Nuevos derechos: limitación del tratamiento y portabilidad 8. Principio de responsabilidad activa Nuevo modelo de cumplimiento 9. Regulación más detallada de la relación responsable-encargado Mayor control del encargado por el responsable 10. Nuevo modelo de supervisión Nuevas funciones de las autoridades Procedimiento coordinado y mecanismo de coherencia 11. Nuevo modelo sancionador 5

6 Impacto del RGPD en el sector público Impone dos tipos de actuaciones Medidas de carácter normativo Medidas para lograr el cumplimiento de las obligaciones impuestas por el RGPD por parte de las autoridades u organismos públicos en su condición de encargados o responsables del tratamiento 6

7 Medidas de carácter normativo Derogación de las disposiciones de derecho interno que sean contrarias al RGPD o adaptación de dichas normas al RGPD Procedimientos para el ejercicio de los derechos Base legal del tratamiento. En particular, el consentimiento Adopción de disposiciones normativas En supuestos en que el RGPD requiere un desarrollo interno que deben establecer necesariamente los Estados Miembros Autoridad de supervisión Adaptación al procedimiento establecido en el RGPD En supuestos en que el RGPD permite o habilita a los Estados Miembros introducir especificaciones o clarificaciones Edad del menor para prestar su consentimiento Tratamiento de datos sensibles en la investigación científica Posibles excepciones a algunos principios y derechos 7

8 Medidas de carácter normativo Proyecto de Ley Orgánica de protección de datos (remitido a las Cortes en noviembre de 2017) Adapta el derecho español al RGPD Deroga expresamente y reemplaza a la actual LOPD Con ciertas especialidades en tratamientos sometidos a la Directiva 2016/680 Incluye adaptaciones para la aplicación de los principios del RGPD Incluye algunas normas que regulan las condiciones de tratamiento en ciertos sectores (archivo, estadística, videovigilancia, solvencia, etc.) Junto a ella será necesaria la adaptación de las normas sectoriales que afectan a protección de datos Revisión por cada Departamento de su normativa Actualización al RGPD de las condiciones de tratamiento en determinados sectores a través de estas reformas 8

9 Objetivos del PLOPD Adaptar el derecho español al RGPD Desarrollar las materias previstas en el RGPD Reforzar los derechos cuando sea posible Clarificar algunos conceptos del RGPD Dotar de seguridad jurídica a los operadores 9

10 Los principios en el Reglamento Se mantienen principios similares a los de la Directiva con alguna adición y estableciendo denominaciones: Principio de licitud, lealtad y transparencia La transparencia o información como nuevo principio Principio de limitación de finalidad Especialidades en el tratamiento para fines distintos (artículo 6.4) Principio de minimización Reemplaza no excesivos con limitados a lo necesario ; aspectos cuantitativo y cualitativo del principio Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios Aclaración (considerando 39) Principio de exactitud Principio de limitación del plazo de conservación Nuevas normas para el tratamiento con fines de archivo o fines estadísticos o de investigación científica histórica Principio de integridad y confidencialidad Seguridad y confidencialidad como principios y no como obligaciones Principio de responsabilidad activa 10

11 Especialidades en el Proyecto de LOPD en relación con los principios Principio de exactitud en el tratamiento (art. 4) No imputabilidad al responsable por la inexactitud de los datos Facilitados por el propio afectado Facilitados por intermediarios legalmente previstos Recibidos como consecuencia del ejercicio del derecho a la portabilidad Principio de confidencialidad (art.5) Regla relativa al deber de secreto similar a la prevista en el artículo 10 LOPD Reconocimiento expreso del carácter complementario y añadido a los deberes de secreto profesional expresamente impuestos al responsable en atención a su profesión o actividad 11

12 Base legal del tratamiento Las posibles bases legales del tratamiento en el RGPD (artículo 6,1) a) Consentimiento del interesado para uno o varios fines específicos b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento d) Tratamiento necesario para proteger intereses vitales del interesado o de otra persona física e) Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento f) Tratamiento necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales En particular cuando el interesado sea un niño. No aplicable al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones. 12

13 Base legal del tratamiento Aplicabilidad de estas bases legales al sector público Tres bases legales fundamentales Interés público y ejercicio de poderes públicos, amparados por Ley, que podrá establecer las condiciones del tratamiento Cumplimiento de una obligación legal Consentimiento del interesado Definido como Manifestación de voluntad libre, específica, informada e inequívoca Ya sea mediante una declaración o una clara acción afirmativa Desaparición del llamado consentimiento «por inacción» o «tácito» (considerando 171) Necesidad de nuevo consentimiento o determinación de una nueva base legal en estos casos Aplicabilidad limitada y complementaria del criterio de la prevalencia del interés legítimo Enfoque basado en el interés público como causa legitimadora No obstante, puede apreciarse el interés legítimo del tercero destinatario de los datos Especial referencia al acceso a la información 13

14 Medidas de adaptación 1. Determinar la base legal del tratamiento Aplicabilidad práctica. La determinación de la base legal del tratamiento resulta necesaria Como fundamento de la responsabilidad activa, garantizando la protección del derecho Como garantía del principio de legalidad en la actuación administrativa Por cuanto la finalidad y la base legal del tratamiento deberán incluirse en la información a facilitar a los interesados Permitirá una adecuada formación del Registro de actividades del tratamiento, que impone el RGPD Especialidades en el tratamiento de las «categorías especiales de datos» (anteriormente «datos especialmente protegidos») Existencia de habilitaciones legales y otros supuestos legitimadores (Artículo 9 RGPD) 14

15 Información al afectado Configuración de la información como derecho del interesado y no como obligación del responsable Se incrementa la información que habrá de facilitarse cuando los datos se recaban del afectado Identidad y los datos de contacto del responsable y, en su caso, de su representante Datos de contacto del delegado de protección de datos Fines y base jurídica del tratamiento Intereses legítimos del responsable o de un tercero Destinatarios o las categorías de destinatarios de los datos personales Transferencias previstas Plazo de conservación Derechos de acceso, rectificación o supresión, limitación del tratamiento, oposición y portabilidad Posibilidad de revocación del consentimiento Derecho a presentar una reclamación ante una autoridad de control; Si la comunicación de datos personales es obligatoria y las posibles consecuencias de que no facilitar los datos Existencia de decisiones automatizadas, incluida la elaboración de perfiles la lógica aplicada y las consecuencias previstas 15

16 Información al afectado Si los datos no se recaban del interesado deberá además informársele de: Categorías de datos que se van a tratar Fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público La información deberá ser concisa, transparente, inteligible y de fácil acceso Clarificación del plazo Un mes, con carácter general Primera comunicación con el interesado si los datos se usan para ese fin Primera cesión en caso de que se pretenda la misma Excepciones al deber de información En general, cuando el interesado ya disponga de la información Si los datos no proceden del interesado Aclaración del esfuerzo desproporcionado en caso de tratamiento con fines de archivo, estadísticos o de investigación científica o histórica Previsión legal expresa de tratamiento o revelación, con medidas oportunas de protección Obligación de secreto legal o profesional 16

17 Información por capas Antecedentes El deber de informar/principio de transparencia en el Proyecto de LOPD (art. 21) Instrucción 1/2006, Guía sobre uso de las cookies Guía sobre el cumplimiento del deber de informar Supuestos Recogida de datos en redes de comunicaciones electrónicas Recogida en el marco de la prestación de un servicio de la sociedad de la información Supuestos en que se determine por Ley o por Circular de la AEPD Información en la primera capa En todo caso Identidad del responsable del tratamiento o su representante Finalidad del tratamiento Modo de ejercicio de los derechos Uso de los datos para la elaboración de perfiles, en su caso Derecho de oposición a decisiones automáticas, en su caso Si los datos no se han obtenido del afectado, además deberá informarse de: Categorías de datos objeto de tratamiento Fuentes u orígenes de los datos 17

18 Medidas de adaptación 2. Revisión de las cláusulas informativas Necesidad de adaptación a las exigencias del RGPD a la información que debe facilitarse a los interesados al recoger sus datos El RGPD impone la obligación de proporcionar más información de la actualmente requerida por la LOPD La información debe facilitarse de forma concisa, transparente, inteligible y de fácil acceso No es posible la inclusión en formularios de cláusulas farragosas y difícilmente comprensibles Será necesario revisar los formularios e impresos para solicitar datos de los ciudadanos en situaciones como solicitudes de prestaciones sociales, convocatorias de subvenciones, inscripción para procesos selectivos, etc. Posible procedimiento de información por capas (Proyecto de LOPD) Centrado en recogida de datos on line. Posible ampliación Facilitar la información básica en el momento de la recogida Incluir la restante en una dirección de acceso «sencillo e inmediato» 18

19 Derechos de los afectados Modificaciones en la enumeración de los derechos Se reconocen específicamente los derechos de rectificación y supresión como derechos independientes y se regula detalladamente éste último Se hace una referencia al derecho al olvido no del todo ajustada a la doctrina del TJUE y se vinculan los derechos de supresión y oposición strictu sensu Se recogen nuevos derechos: limitación del tratamiento y portabilidad Condiciones generales Obligación de atender los derechos a menos que se acredite la imposibilidad de identificar al interesado Plazo: un mes prorrogable por dos más según la complejidad y número de solicitudes Respuesta por medios electrónicos si el derecho se ejercitó por dichos medios salvo que el interesado manifieste lo contrario SI no se da curso a la solicitud: obligación de informar en un mes acerca de las razones y la posibilidad de acudir a la autoridad de control o los órganos judiciales 19

20 Ejercicio de los derechos Alcance del derecho de acceso Ampliación respecto del régimen anterior. No sólo conocimiento de los datos, sino copia de los mismos Se difumina la diferencia entre el derecho de acceso y el acceso a información pública referida al propio solicitante Condiciones generales de ejercicio de los derechos en el RGPD Gratuidad salvo en caso de solicitudes manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, en que será posible Cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada Negarse a actuar respecto de la solicitud. Posibilidad de solicitar información adicional para garantizar la identificación del solicitante 20

21 Cuestiones generales sobre los restantes derechos en el Proyecto LOPD (art. 22) Ejercicio directo o por medio de representante legal o voluntario Obligación de acreditación de quien ejercita el derecho Convencional o electrónica Obligación de informar al interesado sobre los medios para el ejercicio Mantenimiento del principio de elección del medio por el afectado Posibilidad de externalización a un encargado del tratamiento como parte del encargo Carga de la prueba del responsable Aplicabilidad de las normas específicas para tratamientos concretos Procedimiento administrativo Registros con regímenes especiales Posibilidad de establecer medios de acceso remoto y permanente (PLOPD) 21

22 Medidas de adaptación 3. Ejercicio de los derechos Necesidad de establecer mecanismos que faciliten a los afectados el ejercicio de los derechos establecidos en el RGPD Establecimiento de medios electrónicos para atender el derecho ejercitado a través de este canal Establecimiento de procedimientos específicos para atender los nuevos derechos recogidos en le RGPD Portabilidad: alcance más limitado en el sector público, aunque podría ser posible en ciertos supuestos excepcionales Limitación del tratamiento: herramientas que faciliten la suspensión en el tratamiento Distinto de la obligación de bloqueo recogida en el Proyecto de LOPD Establecimiento de sistemas que garanticen la verificación de la identidad del afectado que ejerce el derecho Adaptación de la organización y establecimiento de procedimientos internos para atender el ejercicio de los derechos dentro de los plazos previstos en el RGPD Posibilidad de hacer uso de procedimientos que garanticen el «acceso permanente» a los datos por los afectados 22

23 Medidas de adaptación 3. Ejercicio de los derechos Necesidad de establecer mecanismos que faciliten a los afectados el ejercicio de los derechos establecidos en el RGPD Adaptación de la organización y establecimiento de procedimientos internos para atender el ejercicio de los derechos dentro de los plazos previstos en el RGPD Posibilidad de hacer uso de procedimientos que garanticen el «acceso permanente» a los datos por los afectados, conforme al artículo 13.2 del Proyecto de LOPD Existencia de sistemas de esta naturaleza en las Administraciones Públicas (por ejemplo, Portal «Funciona») Diferenciación entre ejercicio del derecho de acceso y la obtención de certificaciones referidas a los datos 23

24 Medidas de adaptación 4. Transferencias internacionales El Reglamento parte del criterio clásico de que los datos de los europeos sólo pueden enviarse a países que ofrezcan un nivel adecuado de protección Se amplían y flexibilizan instrumentos de garantía Responsables y encargados pueden ser exportadores Instrumentos jurídicamente vinculantes y ejecutables entre autoridades u organismos públicos (por ejemplo MoU) BCR (de responsables y de encargados) Cláusulas contractuales estándar aprobadas por la Comisión Cláusulas contractuales estándar aprobadas por una APD nacional y aceptadas por la Comisión Códigos de Conducta y Esquemas de Certificación, junto con compromisos vinculantes y ejecutables del responsable o encargado en el tercer país para aplicar las salvaguardas apropiadas, incluidos los derechos del interesado Ampliación de excepciones para casos basados en interés legítimo del responsable Papel relevante de las APD nacionales y el CEPD 24

25 Medidas de adaptación 4. Transferencias internacionales Necesidad de adaptar los instrumentos de transferencia internacional de datos personales a las previsiones del RGPD Con carácter general se mantiene el modelo ya existente, si bien no será necesaria la autorización en los supuestos en los que exista un instrumento previamente adoptado (por ejemplo, cláusulas contractuales tipo) Nuevos instrumentos de garantías que no precisarán autorización Instrumentos jurídicamente vinculantes y exigibles entre autoridades y organismos públicos Deberán incluir las garantías exigibles Instrumentos que sí exigirán autorización de la autoridad de protección de datos Acuerdos internacionales no normativos celebrados entre autoridades y organismos públicos, incluidos los memorandos de entendimiento 25

26 Responsabilidad activa (accountability) El Reglamento prevé que los responsables, aplicarán las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el presente Reglamento. Tales medidas se revisarán y actualizarán cuando sea necesario La no aplicación de estas medidas es sancionable Tipos de medidas Mantener registro de actividades de tratamiento Aplicar medidas de seguridad adecuadas Medidas de Protección de Datos desde el Diseño Medidas de Protección de Datos por Defecto Llevar a cabo Evaluaciones de Impacto Autorización previa o consultas previas con APD Designación Delegado Protección de Datos (DPD) Notificación de Quiebras de Seguridad Códigos de conducta y esquemas de certificación 26

27 Relaciones responables-encargados Obligación general de diligencia en selección de encargado Regulación más detallada que en Directiva y asimilada a la española En el contenido del instrumento que exterioriza la relación jurídica En las obligaciones del encargado En el régimen de posible subcontratación Algunas peculiaridades: Previsión de que el responsable realice auditorías y contribuya a ellas, incluidas las inspecciones dirigidas por el responsable o por otro auditor autorizado por dicho responsable Fin de la prestación implica borrado o devolución de datos, sin incluir transferencia a otro encargado Posible vinculación al derecho a la portabilidad Obligación de informar al responsable si, en su opinión, una instrucción infringe el presente Reglamento o las disposiciones nacionales o de la Unión en materia de protección de datos Posibilidad de contratos modelo 27

28 Medidas de adaptación 5. Relaciones responables-encargados Necesidad de adaptación de los contratos con encargados del tratamiento a las previsiones del RGPD en: Régimen de diligencia debida del responsable en la elección del encargado del tratamiento Establecimiento del contrato o acto jurídico de vinculación entre responsable y encargado con todo el contenido exigido por el RGPD Posibilidad de atribución de esta condición en el ámbito del sector público a un determinado órgano u organismo Norma reguladora que deberá incorporar todo el contenido exigido por el RGPD (artículo 33.5 Proyecto LOPD) Plazo de adaptación (disposición transitoria quinta del Proyecto) Máximo cuatro años desde la entrada en vigor del RGPD Posible modificación por causa objetiva que la hace necesaria (art b) LCSP) 28

29 Análisis de riesgos Obligación de todos los responsables de determinar las medidas técnicas y organizativas a adoptar atendiendo a los riesgos que el tratamiento puede producir en los derechos y libertades de los afectados. Posibles elementos de riesgo (artículo 28.2 del Proyecto) Posibles situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados Posible privación de derechos y libertades o del control sobre los datos Tratamiento de categorías especiales de datos Evaluación de aspectos personales de los afectados para creación de perfiles Afectados en situación de especial vulnerabilidad Tratamiento masivo de datos Transferencia internacional a Estados sin nivel adecuado de protección 29

30 Medidas de adaptación 6. Análisis de riesgos Necesidad de llevar a cabo un análisis de riegos para los derechos y libertades de los ciudadanos de todos los tratamientos de datos desarrollados por el responsable Este análisis deberá efectuarse Para tratamientos actuales, a fin de determinar las medidas que reemplacen a las existentes Para tratamientos futuros con anterioridad a su iniciación Necesario para Determinar las medidas técnicas y organizativas que habrán de imponerse sobre el tratamiento Medidas de seguridad Medidas de otra índole establecidas en el RGPD Actualmente en el ámbito público existen metodologías y herramientas de análisis de riesgos (MAGERIT, PILAR) para determinar las medidas de seguridad de la información Inclusión de módulos de cumplimiento de la legislación de protección de datos También existe una guía para la realización del análisis de riesgos elaborada por la AEPD, accesible en Guias/2018/AnalisisDeRiesgosRGPD.pdf 30

31 Medidas de adaptación 7. Registro de actividades de tratamiento El nuevo régimen de protección de datos implica la desaparición de dos exigencias Desaparece la obligación de notificar los tratamientos al registro general de protección de datos Desaparece igualmente la obligación de adoptar una disposición de creación de los ficheros En su lugar, el RGPD impone al responsable y al encargado la obligación de mantener un registro de actividades de tratamiento El RGPD establece un contenido mínimo en su artículo 30 El Proyecto de LOPD indica que puede estructurarse en torno a «conjuntos estructurados de datos», lo que lo vincula parcialmente con lo ya notificado a la AEPD Herramienta para la descarga de la información contenida en el Registro de la Agencia ( Además, las Administraciones Públicas deberán hacer público su «inventario de actividades de tratamiento» como obligación de transparencia conforme al Proyecto de LOPD 31

32 Medidas de seguridad Los responsables y encargados deben aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta Estado de la técnica y costes de aplicación Naturaleza, alcance, contexto y fines del tratamiento Riesgos para los derechos y libertades de las personas El Reglamento no establece listado estructurado de medidas ni prevé desarrollo o especificación Aunque establece algunas prevenciones, como la seudonimización o el cifrado La adhesión a un código de conducta o a un mecanismo de certificación podrá servir de elemento para demostrar cumplimiento Igualmente se establece el procedimiento para la notificación de quiebras de seguridad a las autoridades de control y, en su caso, a los afectados 32

33 Medidas de adaptación 8. Medidas de seguridad Procederán del resultado del análisis de riesgo, sin tener ya el carácter de lista tasada de mínimos exigibles, como en le modelo actual Puede no obstante existir una coincidencia con las medidas actuales, pero deberá proceder del análisis específico llevado a cabo y no del mero cumplimiento de la norma Las medidas diferirán en función de los riesgos de los tratamientos Según el Proyecto de LOPD se modificará el ENS, que ahora se remite al Reglamento de la LOPD, para incluir las medidas exigibles conforme a este nuevo enfoque 33

34 Medidas de adaptación 8. Notificación de quiebras de seguridad El RGPD impone la obligación de notificar las violaciones de seguridad, entendidas en un sentido amplio A las autoridades de protección de datos en un máximo de 72 horas desde que se tenga constancia de ellas, a menos que sea improbable que constituyan un riesgo para los derechos y libertades de las personas físicas Deberán documentarse la violación, los hechos producidos, sus efectos y las medidas correctoras Registro de incidentes de seguridad Deberá facilitarse gradualmente cualquier información adicional Al interesado Si es probable que se genere una situación de alto riesgo para sus derechos y libertades Por iniciativa propia o por exigencia de la autoridad de protección de datos 34

35 Medidas de adaptación 9. EIPD Deberá llevarse a cabo en caso de que el tratamiento por su naturaleza, alcance, contexto o fines entraña un alto riesgo para los derechos y libertades de las personas físicas No es análisis de riesgos, sino una evaluación más detallada y pormenorizada derivada del resultado del análisis previo Supuestos en que procede Previstos expresamente en el RGPD Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado e implique la adopción de decisiones Tratamiento a gran escala de las categorías especiales de datos Observación sistemática a gran escala de una zona de acceso público Además las autoridades de protección de datos Publicarán listas de tratamientos que la requieran Podrán publicar listas de tratamientos exentos de la EIPD En atención a si vienen ya desarrollándose Será obligatoria para todo nuevo tratamiento Para los actuales sólo procedería en caso de cambio significativo en las condiciones del tratamiento No será necesario realizar la EIPD cuando el tratamiento se base en una Ley que la incorpore como parte de la evaluación general de impacto (MAIN) Si no es posible la adopción de medidas para mitigar el riesgo deberá recabarse la opinión de la autoridad de protección de datos 35

36 Delegado de Protección de Datos (DPD) Qué organizaciones deben designar un DPD? El RGPD se refiere a tres supuestos específicos El tratamiento se realice por autoridad u organismo público en todo caso Las actividades principales de responsable o encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala Las actividades principales de responsable o encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales Además el Proyecto de LOPD incluye una serie de supuestos en que deberá procederse a esta designación La mayor parte realmente responden a supuestos que ya están incluidos en las tres categorías del RGPD 36

37 Delegado de Protección de Datos (DPD) Es posible designar a DPD externo? El DPD puede ser un miembro del personal del responsable del tratamiento o del encargado del tratamiento (DPD interno) o «cumplir las tareas sobre la base de un contrato de servicios». Puede ejercerse sobre la base de un contrato de servicios celebrado con un individuo u organización Podrá designarse un equipo de personas bajo la responsabilidad del DPO designado en el contrato Cada miembro del equipo deberá cumplir los requisitos exigidos por el RGPD para ser DPD En las Administraciones Públicas es posible designar un DPD para varias entidades, órganos u organismos. Ejemplos Las Diputaciones podrían prestar este servicio a Ayuntamientos de pequeño tamaño Los Consejos Generales podrían prestárselo a todos o algunos de los colegios Los colegios podrían poner el servicio a disposición de los colegiados obligados a tenerlo obligados 37

38 Delegado de Protección de Datos (DPD) Cuáles son las funciones del DPD? Informar y asesorar el responsable o encargado, Asegurar la existencia y mantenimiento de toda la documentación obligatoria Supervisar la puesta en práctica de las políticas de protección de datos, incluidas asignación de responsabilidades concienciación y formación del personal las auditorías correspondientes Supervisar la aplicación de la normativa de protección de datos, en particular en lo referente a la PbD, PbDef y derechos de los interesados Supervisar la gestión de las violaciones de seguridad Supervisar y ofrecer asesoramiento en la realización de sobre EIPD cuando sea necesaria Supervisar las respuestas a los requerimientos que pueda formular la autoridad de protección de datos Cooperar con las autoridades de protección de datos en el marco de sus tareas 38

39 Delegado de Protección de Datos (DPD) Cuáles son las funciones del DPD? Actuar como punto de contacto para las autoridades de protección de datos y para los afectados Comunicar públicamente su identidad, que deberá incluirse en la información a facilitar a los afectados Posible atención de las reclamaciones que les dirijan los afectados Especialidades en el Proyecto de LOPD Reportar directamente al órgano de administración y dirección las cuestiones que sean necesarias en relación con los tratamiento En particular las infracciones que hubieran podido producirse Tiene que intervenir el DPD en caso de solicitudes de acceso a información pública que contengan datos personales? En general no existe ninguna norma que exija esta intervención En caso de duda podría solicitarse su asesoramiento, dado su conocimiento especializado 39

40 Delegado de Protección de Datos (DPD) Cuáles son las cualidades profesionales del DPD? El RGPD exige que el DPD «se designe sobre las base de cualidades profesionales y, en particular, conocimientos especializados sobre la legislación y las prácticas en materia de protección de datos y sobre la capacidad para cumplir las tareas a que se refiere el artículo 39» Qué habilidades serían necesarias? Experiencia en la legislación y práctica nacional y europea de protección de datos (incluyendo el conocimiento del RGPD) Compresión de las actividades de tratamiento de la entidad Comprensión de las TIC y de los principios y reglas de seguridad de los datos Conocimiento de la organización Capacidad de promover la cultura de protección de datos en las organización Se requiere una determinada titulación? El RGPD y el Proyecto no la exigen, aunque será posible demostrar las capacidades a través de mecanismos voluntarios de certificación 40

41 Delegado de Protección de Datos (DPD) Qué recursos deben facilitarse al DPD por la organización? Los recursos deberán facilitarse al DPD teniendo en cuenta la naturaleza de las operaciones de tratamiento y el tamaño de la organización Entre los recursos que deberán facilitarse se encuentran Apoyo activo de la función del DPD por la alta dirección Disponibilidad de tiempo para el adecuado cumplimiento de sus obligaciones Aportación de recursos financieros, personales y de infraestructura (locales, instalaciones y equipo) adecuados Comunicación de su designación Al personal A la autoridad de protección de datos, que mantendrá un registro actualizado de DPD, conforme al Proyecto de LOPD 41

42 Delegado de Protección de Datos (DPD) Qué recursos deben facilitarse al DPD por la organización? Entre los recursos que deberán facilitarse se encuentran Acceso a otros servicios dentro de la organización para que los DPD puedan recibir apoyo esencial, aportaciones o información de esos otros servicios Acceso a los tratamientos de datos que se estén llevando a cabo por la organización, sin que pueda oponerse ningún tipo de obligación de secreto Acceso a medios que garanticen su formación y perfeccionamiento continuo 42

43 Delegado de Protección de Datos (DPD) Cuáles son las salvaguardas que permiten al DPD realizar sus tareas de manera independiente? No están sometidos a instrucciones de los responsables o encargados en relación con el ejercicio de sus tareas No cabrá despido o sanción por parte del responsable o el encargado como consecuencia del desempeño de sus tareas Salvo que incurran en dolo o negligencia grave No puede existir conflicto de intereses con otras tareas u obligaciones que le pudieran corresponder No puede ocupar un puesto dentro de la organización que lo conduzca a determinar los fines y medios de los tratamientos. Cabrían conflictos con otros puestos de alta dirección, dirección de Recursos Humanos o del departamento de TIC, así como con otros puestos inferiores si pueden implicar la decisión acerca de los fines y medios del tratamiento 43

44 Delegado de Protección de Datos (DPD) Cuál es la responsabilidad del DPD? Los DPD no son personalmente responsables por el incumplimiento del RGPD. El RGPD deja claro que es el responsable o encargado del tratamiento quien debe garantizar y demostrar que el tratamiento se realiza de conformidad con el presente Reglamento. El artículo 70.2 del Proyecto de LOPD excluye expresamente la aplicación del régimen sancionador al DPD 44

45 Conclusión Medidas de adaptación 45

46 Conclusión Medidas de adaptación 46

47 Muchas Gracias por su atención! 47