EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Y EL SECTOR ASEGURADOR

Transcripción

1 EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Y EL SECTOR ASEGURADOR José Luis Piñar Mañas Catedrático de Derecho Administrativo Delegado de Protección de datos del Consejo General de la Abogacía Española Madrid, 24 de abril de 2018

2 PROTECCION DE DATOS: PRESUPUESTOS TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL PERSONAS FISICAS, INDIVIDUALIZADAS O INDIVIDUALIZABLES Personas fallecidas, personas jurídicas, tratamiento para uso personal o doméstico 2

3 PROTECCION DE DATOS COMO DERECHO FUNDAMENTAL CARTA EUROPEA DE DERECHOS HUMANOS SSTC 290 y 292/2000 OTRAS NORMAS PODER DE DISPOSICION SOBRE LOS PROPIOS DATOS DE CARÁCTER PERSONAL DISTINTO DEL DERECHO A LA INTIMIDAD 3

4 PROTECCION DE DATOS COMO DERECHO FUNDAMENTAL PRINCIPIOS INFORMACION (Art. 5 LOPD) CONSENTIMIENTO (Arts. 6 y 11 LOPD) FINALIDAD (Art. 4 LOPD) CALIDAD DEL DATO (Art. 4 LOPD) SEGURIDAD (Art. 9 LOPD) CONTROL INDEPENDIENTE (Arts. 35 y ss. LOPD) REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (CAPITULO II) PROYECTO DE LOPD (TITULO II) 4

5 MARCO NORMATIVO DE LA PROTECCION DE DATOS EN ESPAÑA ART CONSTITUCION ESTATUTOS DE AUTONOMIA LOPD LOPJ LEY 34/2002 (LSSI) LEY 9/2014 (LGT) LEYES AUTONOMICAS RD 1720/2007 ESTATUTO DE LA AGENCIA INSTRUCCIONES DE LA AEPD OTRAS NORMAS SECTORIALES REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UE NUEVA LOPD 5

6 OTRAS NORMAS SECTORIALES PROTECCIÓN DE DATOS Y SEGURO Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de la entidades aseguradoras y reaseguradoras (art. 99) Ley 26/2006, de 17 de julio, de mediación de seguros y reaseguros privados (arts. 62 y63) Ley 50/1980, de 8 de octubre, de Contrato de Seguro 6

7 ADAPTACIÓN DE LA LEGISLACIÓN ESPAÑOLA AL RGPD 25 de mayo de

8 Proyecto de nueva Ley Orgánica de Protección de Datos Título I. Disposiciones generales Título II. Principios de protección de datos Título III. Derechos de las personas CAPITULO I. Transparencia e información CAPITULO II. Ejercicio de los derechos Título IV. Disposiciones aplicables a tratamientos concretos Título V. Responsable y encargado del tratamiento CAPITULO I. Disposiciones generales. Medidas de responsabilidad activa. CAPITULO II. Encargado del tratamiento CAPITULO III. Delegado de protección de datos CAPITULO IV. Códigos de conducta y certificación Título VI. Transferencias internacionales de datos 8

9 Proyecto de nueva Ley Orgánica de Protección de Datos Título VII. Autoridades de protección de datos CAPITULO I. La Agencia Española de Protección de Datos SECCIÓN 1ª DISPOSICIONES GENERALES SECCIÓN 2ª POTESTADES DE INVESTIGACIÓN Y PLANES DE AUDITORÍA PREVENTIVA SECCIÓN 3ª OTRAS POTESTADES DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS CAPITULO II. Autoridades autonómicas de protección de datos SECCIÓN 1ª DISPOSICIONES GENERALES SECCIÓN 2ª COORDINACIÓN EN EL MARCO DE LOS PROCEDIMIENTOS ESTABLECIDOS EN EL REGLAMENTO (UE) 2016/679 Título VIII. Procedimientos en caso de reclamaciones tramitadas por la Agencia Española de Protección de Datos Título IX. Régimen sancionador Título X? Disposiciones adicionales Disposiciones transitorias Disposiciones finales 9

10 DE LA DIRECTIVA 95/46/CE AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE: Reglamento general de protección de datos (DOUE L 119, de ). 10

11 Aplicable dos años después (artículo 99): 25 de mayo de 2018 Los Reglamentos de la Unión Europea tienen un alcance general y son obligatorios en todos sus elementos y directamente aplicables en cada Estado miembro (art. 288 del Tratado de Funcionamiento de la Unión Europea, versión consolidada de 2010) 11

12 RELACIÓN ENTRE EL REGLAMENTO Y LAS LEGISLACIONES NACIONALES DE PROTECCIÓN DE DATOS EFECTOS DEL REGLAMENTO SOBRE LA LOPD Considerando 8 NUEVA LEY ORGANICA DE PROTECCIÓN DE DATOS 12

13 REGLAMENTO 173 considerandos; 99 artículos I.- DISPOSICIONES GENERALES II.- PRINCIPIOS III.- DERECHOS DEL INTERESADO IV.- RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO V.- TRANSFERENCIAS DE DATOS PERSONALES A TERCEROS PAISES U ORGANIZACIONES INTERNACIONALES VI.- AUTORIDADES DE CONTROL INDEPENDIENTES VII.- COOPERACIÓN Y COHERENCIA VIII.- RECURSOS, RESPONSABILIDAD Y SANCIONES IX.- DISPOSICIONES RELATIVAS A SITUACIONES ESPECIFICAS DE TRATAMIENTO X.-ACTOS DELEGADOS Y ACTOS DE EJECUCIÓN XI.- DISPOSICIONES FINALES 13

14 NUEVO MODELO DE PRIVACIDAD De la gestión de los datos al gobierno responsable de la información. Protección de datos más allá del territorio UE Aproximación a la protección de datos basada en el riesgo Responsabilidad proactiva(art. 24) Privacidad desde el diseño (art. 25) Privacidad por defecto (art. 25) Registro de las actividades de tratamiento (art. 30) Nuevo modelo de seguridad (arts ) 14

15 NUEVO MODELO DE PRIVACIDAD Evaluación de impacto a la protección de datos (art. 35) Delegado de protección de datos (arts ) Autorregulación y certificación (arts ) Fortalecimiento de la posición de los titulares de los datos Consentimiento (arts. 4 y 6-8) Nuevos derechos (olvido art. 17-, portabilidad art. 20-) Derecho a indemnización (art. 82) Fortalecimiento de las autoridades de protección de datos. Modelo sancionador más severo 15

16 Responsabilidad (art. 24) 1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario. 2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos. 3. La adhesión a códigos de conducta o a un mecanismo de certificación podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento. 16

17 Privacidad desde el diseño (Art. 25.1) El responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. 17

18 Privacidad por defecto (Art. 25.2) El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas. 18

19 WP 29 GUIAS Y HERRAMIENTAS DE LA AEPD 19

20 RGPD: DISPOSICIONES GENERALES OBJETO El Reglamento protege el derecho a la protección de datos y garantiza la libre circulación de datos en la Unión (art. 1). APLICACIÓN MATERIAL Art. 2 APLICACIÓN TERRITORIAL Art. 3. Considerandos 22 a 25. Ver art. 27 DEFINICIONES Art. 4 20

21 LOS ACTORES TITULARES DE LOS DATOS RESPONSABLES Y ENCARGADOS TERCEROS AUTORIDADES DE PROTECCIÓN DE DATOS EUROPA: WP 29 (Comité Europeo de Protección de Datos) EDPS 21

22 RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO Corresponsables del tratamiento (art. 26). Representantes de responsables o encargados no establecidos en la Unión (art. 27). Encargado del tratamiento (art. 28) Contrato Subencargados PLOPD: Título V Encargado del tratamiento (art. 33) AEPD: Directrices para la elaboración de contratos entre responsables y encargados del tratamiento 22

23 Ley 26/2006, de 17 de julio, de mediación de seguros y reaseguros privados Artículo 62. Condición de responsable o encargado del tratamiento. 1. A los efectos previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal: a) Los agentes de seguros exclusivos y los operadores de banca-seguros exclusivos tendrán la condición de encargados del tratamiento de la entidad aseguradora con la que hubieran celebrado el correspondiente contrato de agencia, en los términos previstos en esta Ley. b) Los agentes de seguros vinculados y los operadores de banca-seguros vinculados tendrán la condición de encargados del tratamiento de las entidades aseguradoras con las que hubieran celebrado el correspondiente contrato de agencia, en los términos previstos en esta Ley. Cuando el cliente hubiera firmado un contrato de seguro, los agentes de seguros vinculados y los operadores de banca-seguros vinculados deberán tratar los datos del contrato de forma que únicamente puedan ser conocidos por la entidad aseguradora con la que se hubiera celebrado el contrato, sin que puedan tener acceso a dichos datos las restantes entidades aseguradoras por cuenta de las cuales actúen. 23

24 c) Los corredores de seguros y los corredores de reaseguros tendrán la condición de responsables del tratamiento respecto de los datos de las personas que acudan a ellos. d) Los auxiliares externos a los que se refiere el artículo 8 de esta Ley tendrán la condición de encargados del tratamiento de los agentes o corredores de seguros con los que hubieran celebrado el correspondiente contrato mercantil. En este caso, sólo podrán tratar los datos para los fines previstos en el apartado 1 de dicho artículo En los supuestos previstos en las letras a) y b) del apartado 1 anterior, en el contrato de agencia deberán hacerse constar los extremos previstos en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, y, en particular, la indicación de si el agente de seguros va a celebrar contratos mercantiles con los auxiliares externos, a los que se refiere el artículo 8 de esta Ley. Del mismo modo, en el supuesto previsto en el apartado 1.d) anterior deberán incluirse en el contrato mercantil celebrado con los auxiliares externos los extremos previstos en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre. 24

25 PRINCIPIOS Principios relativos al tratamiento (art. 5) - Licitud, lealtad, transparencia - Limitación de finalidad - Minimización de datos - Exactitud - Limitación del plazo de conservación - Integridad y confidencialidad - Responsabilidad proactiva Licitud del tratamiento (art. 6) Condiciones para el consentimiento (art. 7): definición: art. 4.11) Consentimiento del niño en relación con los servicios de la sociedad de la información (art. 8) Tratamientos de categorías especiales de datos (art. 9) Tratamiento de datos relativos a condenas e infracciones penales (art. 10): garantías adecuadas; control de las autoridades públicas. 25

26 Artículo 6 Licitud del tratamiento 1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones. 26

27 CONSENTIMIENTO Art. 4. Definiciones: 11. «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen; WP 29: Guidelines on Consent under Regulation 2016/ de noviembre de WP

28 (32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta. 28

29 Artículo 7 Condiciones para el consentimiento 1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales. 2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento. 3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo. 4. Al evaluar si el consentimiento se dio libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato. 29

30 (171) La Directiva 95/46/CE debe ser derogada por el presente Reglamento. Todo tratamiento ya iniciado en la fecha de aplicación del presente Reglamento debe ajustarse al presente Reglamento en el plazo de dos años a partir de la fecha de su entrada en vigor. Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento. Las decisiones de la Comisión y las autorizaciones de las autoridades de control basadas en la Directiva 95/46/CE permanecen en vigor hasta que sean modificadas, sustituidas o derogadas. 30

31 Artículo 9 Tratamiento de categorías especiales de datos personales 1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física. 2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes: a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado; 31

32 Artículo 9 Tratamiento de categorías especiales de datos personales b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado; c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;.. e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos; 32

33 Artículo 9 Tratamiento de categorías especiales de datos personales h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3; i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional, 33

34 INTERÉS LEGÍTIMO Art f): el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones. Considerandos 47 a WP 29: Dictamen 06/2014, sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE. Adoptado el 9 de abril de WP Sentencia del Tribunal de Justicia de 24 de noviembre de 2011, ASNEF y FECEMD, asuntos acumulados C 468/10 y C 469/10 34

35 INTERÉS LEGÍTIMO ALOPD Artículo 9. Tratamiento de datos amparado por la ley.. 3. La ley podrá considerar fundado un determinado tratamiento en la concurrencia de un interés legítimo del responsable del tratamiento o de un tercero que prevalece sobre los derechos del afectado, en los términos previstos en el artículo 6.1 f) del Reglamento (UE) 2016/679. En estos supuestos, la ley podrá exigir al responsable la adopción garantías adicionales. Lo dispuesto en el párrafo anterior no impide que el tratamiento de datos personales pueda considerarse lícito al amparo del artículo 6.1 f) del Reglamento (UE) 2016/679, aun cuando no exista una previsión legal específica. PLOPD Desaparece del PLOPD. Dictamen del Consejo de Estado. STJUE ASNEF 35

36 ALOPD Artículo 10. Categorías especiales de datos. 1. A los efectos del artículo 9.2 a) del Reglamento (UE) 2016/679, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. 2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2. del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad. En particular, la ley podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, y de los seguros de asistencia sanitaria. 36

37 PLOPD Artículo 9. Categorías especiales de datos. 1. A los efectos del artículo 9.2 a) del Reglamento (UE) 2016/679, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679, cuando así proceda. 2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2. del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad. En particular, la ley podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, y de los seguros de asistencia sanitaria. o la ejecución de un contrato de seguro del que el afectado sea parte. 37

38 Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras. Artículo 99. Protección de datos de carácter personal. 1. Las entidades aseguradoras podrán tratar los datos de los tomadores, asegurados, beneficiarios o terceros perjudicados, así como de sus derechohabientes sin necesidad de contar con su consentimiento a los solos efectos de garantizar el pleno desenvolvimiento del contrato de seguro y el cumplimiento de las obligaciones establecidas en esta Ley y en sus disposiciones de desarrollo. El tratamiento de los datos de las personas antes indicadas para cualquier finalidad distinta de las especificadas en el párrafo anterior deberá contar con el consentimiento específico de los interesados. 38

39 2. Las entidades aseguradoras podrán tratar sin consentimiento del interesado los datos relacionados con su salud en los siguientes supuestos: a) Para la determinación de la asistencia sanitaria que hubiera debido facilitarse al perjudicado, así como la indemnización que en su caso procediera, cuando las mismas hayan de ser satisfechas por la entidad. b) Para el adecuado abono a los prestadores sanitarios o el reintegro al asegurado o sus beneficiarios de los gastos de asistencia sanitaria que se hubieran llevado a cabo en el ámbito de un contrato de seguro de asistencia sanitaria. El tratamiento de los datos se limitará en estos casos a aquellos que resulten imprescindibles para el abono de la indemnización o la prestación derivada del contrato de seguro. Los datos no podrán ser objeto de tratamiento para ninguna otra finalidad, sin perjuicio de las obligaciones de información establecidas en esta Ley. Las entidades aseguradoras deberán informar al asegurado, beneficiario o al tercero perjudicado acerca del tratamiento y, en su caso, de la cesión de los datos de salud, en los términos previstos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal salvo que, tratándose de seguros colectivos, tal obligación sea asumida contractualmente por el tomador. 39

40 3. Las entidades aseguradoras que formen parte de un grupo a los efectos previstos en el título V podrán intercambiar, sin necesidad de contar con el consentimiento del interesado, los datos de carácter personal que resulten necesarios para el cumplimiento de las obligaciones de supervisión establecidas en esta Ley. Los datos no podrán utilizarse para ninguna otra finalidad si no se contase con el consentimiento específico del interesado para ello (VER CONSIDERANDO 48 RGPD). 4. Las entidades aseguradoras, o en su caso, reaseguradoras, podrán comunicar a sus entidades reaseguradoras, sin consentimiento del tomador del seguro, asegurado, beneficiario o tercero perjudicado, los datos que sean estrictamente necesarios para la celebración del contrato de reaseguro en los términos previstos en el artículo 77 de la Ley 50/1980, de 8 de octubre, de Contrato de Seguro o la realización de las operaciones conexas, entendiéndose por tales la realización de estudios estadísticos o actuariales, análisis de riesgos o investigaciones para sus clientes, así como cualquier otra actividad relacionada o derivada de la actividad reaseguradora. La cesión de dichos datos para cualquier finalidad distinta de las establecidas en el párrafo anterior requerirá el consentimiento del interesado. 40

41 5. Las entidades que desarrollasen por cuenta de entidades aseguradoras actividades objeto de externalización tendrán la consideración de encargadas del tratamiento, debiendo sujetarse al régimen previsto para las mismas en la Ley Orgánica 15/1999, de 13 de diciembre, y su normativa de desarrollo. 6. En los supuestos de cesión de cartera previstos en esta Ley, así como en los de transformación, fusión o escisión de entidades aseguradoras a los que la misma se refiere, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre. 41

42 7. Las entidades aseguradoras podrán establecer ficheros comunes que contengan datos de carácter personal para la liquidación de siniestros y la colaboración estadístico actuarial con la finalidad de permitir la tarificación y selección de riesgos y la elaboración de estudios de técnica aseguradora. La cesión de los citados datos no requerirá el consentimiento previo del afectado, pero sí la comunicación a éste de la posible cesión de sus datos personales a ficheros comunes para los fines señalados, con expresa indicación del responsable, para que se puedan ejercitar los derechos de acceso, rectificación, cancelación y oposición previstos en la ley. También podrán establecerse ficheros comunes cuya finalidad sea prevenir el fraude en el seguro sin que sea necesario el consentimiento del afectado. No obstante, será necesaria en estos casos la comunicación al afectado, en la primera introducción de sus datos, de quién sea el responsable del fichero y de las formas de ejercicio de los derechos de acceso, rectificación, cancelación y oposición. En todo caso, los datos relativos a la salud sólo podrán ser objeto de tratamiento con el consentimiento expreso del afectado. 42

43 8. En la información que habrá de facilitarse al tomador del seguro conforme al artículo 96 deberá igualmente incorporarse la que, en relación con el tratamiento de sus datos personales, establece el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre. 9. Las entidades aseguradoras deberán proceder en el plazo de diez días a la cancelación de los datos que les hubieran sido facilitados con anterioridad a la celebración de un contrato si el mismo no llegara a celebrarse, a menos que contasen con el consentimiento específico del interesado que deberá ser expreso si se tratase de datos relacionados con la salud. 43

44 DERECHOS DE LOS INTERESADOS ACCESO (Art. 15 LOPD) RECTIFICACION (Art. 16 LOPD) CANCELACION (Art. 16 LOPD) OPOSICION (Arts. 6.4, 17 y 30.4 LOPD) (Arts. 23 a 36 del Reglamento) (RGPD, Capítulo III) DERECHO AL OLVIDO DERECHO A LA PORTABILIDAD (Arts. 17 y 20 RGPD) PLOPD: Título III 44

45 DERECHOS DEL INTERESADO Ejercicio manifiestamente infundado o excesivo (art. 12.5). Transparencia (información). Art. 12, 13 y 14 (incluido información sobre plazo de conservación) Acceso (art. 15) (incluidas las garantías en caso de transferencias; derecho a obtener una copia: art. 15.3) Rectificación (art. 16) Supresión (art. 17) Limitación del tratamiento (art. 18) Obligación de notificación (art. 19). Derecho a la portabilidad (art. 20) Derecho de oposición (art. 21) Decisiones individualizadas (art. 22) 45

46 Artículo 12 Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado Artículo 13 Información que deberá facilitarse cuando los datos personales se obtengan del interesado Artículo 14 Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado WP 29: Guidelines on transparency under Regulation 2016/679. WP 260 AEPD: Guía para el cumplimiento del deber de informar 46

47 PLOPD Artículo 11. Transparencia e información al afectado. 1. Cuando los datos de carácter personal sean obtenidos del afectado a través de redes de comunicaciones electrónicas o en el marco de la prestación de un servicio de la sociedad de la información, así como en aquellos otros supuestos expresamente establecidos por la ley o cuando así lo autorice la Agencia Española de Protección de Datos, el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica para acceder fácilmente a la restante información. 47

48 2. La información básica a la que se refiere el apartado anterior deberá contener al menos: a) La identidad del responsable del tratamiento o de su representante, en su caso. b) La finalidad del tratamiento. c) El modo en que el afectado podrá ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679. Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que pudieran producir efectos jurídicos sobre él o afectarle significativamente. 3. Cuando los datos de carácter personal no hubieran sido obtenidos del afectado el responsable podrá dar cumplimiento al deber de información establecido en el artículo 14 del Reglamento (UE) 2016/679 facilitando a aquél la información básica señalada en el apartado anterior, indicándole una dirección electrónica para acceder fácilmente a la restante información. En estos supuestos, la información básica incluirá también: a) Las categorías de datos objeto de tratamiento. b) Las fuentes de la que procedieran los datos. 48

49 Derecho de supresión (Derecho al olvido) art. 17 Sin dilación indebida; ante el responsable (STJUE ) Circunstancias en las que se tiene derecho al olvido El editor debe informar a los buscadores. Excepciones Art. 85 del Reglamento 49

50 Derecho a la portabilidad (art. 20) 1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando: a) el tratamiento esté basado en el consentimiento o en un contrato, y b) el tratamiento se efectúe por medios automatizados. 2. Al ejercer su derecho a la portabilidad de los datos el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible. ART. 29 WP: Directrices sobre el derecho a la portabilidad de los datos Adoptadas el 13 de diciembre de Revisadas por última vez y adoptadas el 5 de abril de 2017 WP 242 rev.01 50

51 Derecho a la portabilidad PLOPD Artículo 17. Derecho a la portabilidad. El derecho a la portabilidad se ejercerá de acuerdo con lo establecido en el artículo 20 del Reglamento (UE) 2016/679. ALOPD Artículo 27. Derecho a la portabilidad. 1. El derecho a la portabilidad regulado en el artículo 20 del Reglamento (UE) 2016/679 podrá ejercerse por el afectado respecto de los datos que hubiera facilitado al responsable del tratamiento y de los que se deriven directamente del uso por aquél de los servicios prestados por el responsable. 2. El derecho a la portabilidad no se extenderá a los datos que el responsable hubiere inferido a partir de aquellos a los que se refiere el apartado anterior. En todo caso, el afectado podrá ejercer respecto de estos datos los restantes derechos enumerados en este capítulo, particularmente el derecho de acceso contemplado en el artículo 15 del Reglamento (UE) 2016/

52 PLOPD BLOQUEO DE LOS DATOS Artículo 32. Bloqueo de los datos. 1. El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión. 2. Los datos bloqueados quedarán a disposición exclusiva de los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de las mismas. 3. Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior. 4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus respectivas competencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo, en los supuestos en que, atendida la naturaleza de los datos o el hecho de que se refieran a un número particularmente elevado de afectados, su mera conservación, incluso bloqueados, pudiera generar un riesgo elevado para los derechos de los afectados, así como en aquellos casos en los que la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento. 52

53 REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO DE LA CONCRECION DE LAS MEDIDAS DE SEGURIDAD (RD. 1720/2007) A LA SEGURIDAD BASADA EN EL RIESGO Y EN LA RESPONSABILIDAD PROACTIVA RGPD: Art Del responsable - Del encargado - Por escrito - A disposición de la Autoridad de Control - No es obligatorio para ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales 53

54 SEGURIDAD DE LOS DATOS Art. 5. Principios. 1. Los datos personales serán: f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»). 54

55 Artículo 32 Seguridad del tratamiento 1.Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. 55

56 2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. 3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo. 4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros. 56

57 NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD Art ) «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos; Notificación de violaciones de seguridad a la autoridad de control (art. 33) - En todo caso. - Sin dilación: a ser posible, antes de 72 horas - El encargado debe notificar al responsable (art. 33.2) Notificación de violaciones de seguridad al interesado (art. 34) - Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas - Excepciones (34.3) Guidelines on Personal data breach notification under Regulation 2016/679 Adopted on 3 October 2017 WP250 57

58 EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS Art. 35 Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Asesoramiento del DPO Supuestos en los que es obligatoria Contenido mínimo Valor de los códigos de conducta Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is likely to result in a high risk for the purposes of Regulation 2016/679 Adopted on 4 April 2017 As last Revised and Adopted on 4 October 2017 WP 248 rev.01 58

59 CONSULTA PREVIA Art El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo. - Consulta a las Autoridades en los procesos normativos - Los Estados miembros podrán obligar a los responsables del tratamiento a consultar a la autoridad de control y a recabar su autorización previa en relación con el tratamiento por un responsable en el ejercicio de una misión realizada en interés público, en particular el tratamiento en relación con la protección social y la salud pública. 59

60 DELEGADO DE PROTECCIÓN DE DATOS - Supuestos en los que es posible (u obligatorio) su nombramiento (art. 37). - Régimen (art. 37) - Posición (art. 38) - Funciones (art. 39) 60

61 Designación del DPO. Art El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales 2. Delegados de grupos empresariales. 3.Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño. 61

62 4.En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un DPO o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El DPO podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados. 5.El delegado de protección de datos será designado atendiendo a - sus cualidades profesionales y, - en particular, a sus conocimientos especializados del Derecho y - la práctica en materia de protección de datos y - a su capacidad para desempeñar las funciones indicadas en el artículo El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios. 7.El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control. 62

63 Designación del DPO PLOPD Artículo 34. Designación de un delegado de protección de datos. 1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades: g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras. 63

64 Posición del DPO: art Participar de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. - Con recursos necesarios para el desempeño de sus funciones. - No puede recibir ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por desempeñar sus funciones. Rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado. - Los interesados podrán ponerse en contacto con el delegado de protección de datos. - Obligación de mantener secreto o confidencialidad. - Podrá desempeñar otras funciones y cometidos que no den lugar a conflicto de intereses. 64

65 Funciones del DPO: art. 39 a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento. b) supervisar el cumplimiento de la normativa de protección de datos, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes; c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación. d) cooperar con la autoridad de control; e) actuar como punto de contacto de la autoridad de control. 65

66 DELEGADO DE PROTECCIÓN DE DATOS Art. 29 WP: Directrices sobre los delegados de protección de datos (DPD) Adoptadas el 13 de diciembre de Revisadas por última vez y adoptadas el 5 de abril de 2017 WP 243 rev.01 66

67 Arts. 34 a 37. DELEGADO DE PROTECCIÓN DE DATOS PLOPD Art. 37: Intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos. 1. Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos será posible, con carácter previo a la presentación de reclamaciones contra aquéllos ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, que el afectado se dirija al delegado de protección de datos de la entidad contra la que se reclame. En este caso, el delegado de protección de datos comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación. 2. Cuando el afectado presente una reclamación ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, sin haber hecho uso de la posibilidad a la que se refiere el apartado anterior, aquéllas podrán remitir la reclamación al delegado de protección de datos a fin de que por el mismo se dé respuesta a la misma en el plazo de un mes. Si transcurrido dicho plazo el delegado de protección de datos no hubiera comunicado a la autoridad de protección de datos competente la respuesta dada a la reclamación, dicha autoridad continuará el procedimiento con arreglo a lo establecido en el Título VII de esta ley orgánica y en sus normas de desarrollo. 67

68 CODIGOS DE CONDUCTA (arts ) - Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del Reglamento, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas. - Las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento podrán elaborar códigos de conducta o modificar o ampliar dichos códigos con objeto de especificar la aplicación del Reglamento 68

69 CODIGOS DE CONDUCTA Régimen Contenido Alcance Supervisión: - Autoridad de control - Organismo acreditado por la autoridad de control (régimen de la acreditación: art. 41) Artículo 38: Códigos de conducta PLOPD 69

70 CERTIFICACIÓN (arts ) - Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el Reglamento en las operaciones de tratamiento de los responsables y los encargados. Se tendrán en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas. - Voluntaria - Máximo tres años - Organismo de certificación - Debe estar acreditado - Régimen 70

71 TRANSFERENCIAS DE DATOS PERSONALES A TERCEROS PAISES U ORGANIZACIONES INTERNACIONALES Principio general (Arts ) Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el mismo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional 71

72 Transferencias basadas en una decisión de adecuación (art. 45) (las decisiones adoptadas en virtud de la Directiva 95/46/CE permanecerán en vigor). Transferencias mediante garantías adecuadas (art. 46) Normas corporativas vinculantes (art. 47) Transferencias o comunicaciones no autorizadas por el Derecho de la Unión (art. 48) Excepciones para situaciones específicas (art. 49) Cooperación internacional en el ámbito de la protección de datos personales (art. 50) 72

73 PLOPD Artículo 40. Régimen de las transferencias internacionales de datos. Artículo 41. Supuestos de adopción por la Agencia Española de Protección de Datos. Artículo 42. Supuestos sometidos a autorización previa de la Agencia Española de Protección de Datos. Artículo 43. Supuestos sometidos a información previa a la autoridad de protección de datos competente. 73

74 AUTORIDADES DE CONTROL INDEPENDIENTES INDEPENDENCIA (arts ) COMPETENCIAS, FUNCIONES Y PODERES Las autoridades de control no serán competentes para controlar las operaciones de tratamiento efectuadas por los tribunales en el ejercicio de su función judicial. La autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento será competente para actuar como autoridad de control principal para el tratamiento transfronterizo realizado por parte de dicho responsable o encargado 74

75 COOPERACIÓN Y COHERENCIA (Arts ) Autoridad de control principal: la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento será competente para actuar como autoridad de control principal para el tratamiento transfronterizo realizado por parte de dicho responsable o encargado (art. 56). Autoridad de control interesada (art. 4.22): la autoridad de control a la que afecta el tratamiento de datos personales debido a que: a) el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control; b) los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento, o c) se ha presentado una reclamación ante esa autoridad de control; 75

76 PLOPD TÍTULO VII. Autoridades de protección de datos CAPÍTULO I. La Agencia Española de Protección de Datos SECCIÓN 1.ª DISPOSICIONES GENERALES Artículo 44. Disposiciones generales. Artículo 45. Régimen jurídico. Artículo 46. Régimen económico presupuestario y de personal. Artículo 47. Funciones y potestades de la Agencia Española de Protección de Datos. Artículo 48. El Presidente de la Agencia Española de Protección de Datos. Artículo 49. Consejo Consultivo de la Agencia. Artículo 50. Publicidad. SECCIÓN 2.ª POTESTADES DE INVESTIGACIÓN Y PLANES DE AUDITORÍA PREVENTIVA Artículo 51. Ámbito y personal competente. Artículo 52. Deber de colaboración. Artículo 53. Alcance de la actividad de investigación. Artículo 54. Planes de auditoría preventiva. SECCIÓN 3.ª OTRAS POTESTADES DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Artículo 55. Potestades de regulación. Circulares de la Agencia Española de Protección de Datos. Artículo 56. Acción exterior. 76

77 CAPÍTULO II. Autoridades autonómicas de protección de datos SECCIÓN 1.ª DISPOSICIONES GENERALES Artículo 57. Autoridades autonómicas de protección de datos. Artículo 58. Cooperación institucional. Artículo 59. Tratamientos contrarios al Reglamento (UE) 2016/679 y la presente ley orgánica. SECCIÓN 2.ª COORDINACIÓN EN EL MARCO DE LOS PROCEDIMIENTOS ESTABLECIDOS EN EL REGLAMENTO (UE) 2016/679 Artículo 60. Coordinación en caso de emisión de dictamen por el Comité Europeo de Protección de Datos. Artículo 61. Intervención en caso de tratamientos transfronterizos. Artículo 62. Coordinación en caso de resolución de conflictos por el Comité Europeo de Protección de Datos. 77

78 COMITÉ EUROPEO DE PROTECCIÓN DE DATOS (Arts. 68 a 76) Composición Independencia Funciones Funcionamiento Presidente Secretaría (EDPS) 78

79 DERECHO A INDEMNIZACIÓN Y RESPONSABILIDAD (art. 82) Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. 79

80 REGIMEN SANCIONADOR Poderes correctivos de las autoridades de control (art. 58.2) Multas: - Circunstancias concurrentes (art y 3) - Cuantía de las multas (art. 83.4, 5 y 6) - Hasta o, tratándose de empresas, hasta 2% volumen de negocio total anual global - Hasta o, tratándose de empresas, 4 % volumen de negocio total anual global - Posible multa a las AAPP (art. 83.7): decisión de cada Estado Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679 3 de octubre de 2017 WP

81 REGIMEN SANCIONADOR PLOPD TÍTULO IX. Régimen sancionador Artículo 70. Sujetos responsables. Artículo 71. Infracciones. Artículo 72. Infracciones consideradas muy graves. Artículo 73. Infracciones consideradas graves. Artículo 74. Infracciones consideradas leves. Artículo 75. Interrupción de la prescripción. Artículo 76. Sanciones y medidas correctivas. Artículo 77. Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento. Artículo 78. Prescripción de las sanciones. 81

82 82