Reglamento General de Protección de Datos (GDPR)

Transcripción

1 Reglamento General de Protección de Datos (GDPR) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Álvaro Gómez Vieites 1

2 Ponente: Álvaro Gómez Vieites Doctor en Economía y Admón. de Empresas Licenciado en Economía Licenciado en Admón. y Dirección de Empresas Ingeniero de Telecomunicación Ingeniero Informático de Gestión Executive MBA por la Escuela de Negocios Novacaixagalicia Profesor de varias Escuelas de Negocios y Universidades Consultor independiente sobre TICs, Innovación Tecnológica y Sistemas de Información Autor de 31 libros y de numerosos artículos sobre las TIC y los Sistemas de Información Álvaro Gómez Vieites 2

3 Protección de Datos Personales Cómo garantizar la protección de datos personales y la privacidad: Postura de la Unión Europea y otros países, partidarios de una estricta regulación Estatal, con fuertes sanciones para aquellas empresas y organizaciones que incumplan las normas ( hardlaw ) También en Latinoamérica se ha reconocido recientemente el derecho fundamental a la protección de los datos personales de los ciudadanos Países como EEUU que son mucho más permisivos con las actuaciones de las empresas, y que abogan por una autorregulación de la industria y la elaboración de códigos éticos de conducta, sin la intervención por parte de los Estados ( softlaw ) Fuertes presiones de las empresas y otros intereses económicos para impedir la intervención estatal Álvaro Gómez Vieites 3

4 Protección de Datos Personales Servicios de venta de datos personales en EEUU US Search ( Tiene el vecino antecedentes penales? Está involucrado mi nuevo compañero de trabajo en una quiebra? Dónde han vivido durante los últimos años los padres del nuevo amigo de mis hijos y qué propiedades tienen? Con quién ha estado casada la nueva niñera de mis hijos, quiénes son sus familiares y dónde ha vivido en los últimos 10 años? Álvaro Gómez Vieites 4

5 El nuevo contexto tecnológico El marco normativo vigente en Europa se había definido en 1995 Directiva Europea 46/1995 de 24/11/1995 Cambios a tener en cuenta desde entonces: Proliferación del uso de Internet, las nuevas tecnologías, el comercio electrónico y el marketing digital. Smartphones, tablets, wearables y geolocalización de usuarios. Redes sociales y difusión de datos personales. Cloud computing: utilización de data centers masivos. Herramientas de big data Álvaro Gómez Vieites 5

6 El Reglamento Europeo de 2016 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 Reglamento General de Protección de Datos (GDPR) Deroga la Directiva 95/46/CE. La UE reconoce que se había aplicado de manera fragmentada en los distintos Estados. Será aplicable a partir del 25 de mayo de 2018 Derecho fundamental en la UE: Se confirma que toda persona tiene derecho a la protección de los datos de carácter personal que le concierna. También se garantiza la libre circulación de los datos personales en la Unión Europea. Álvaro Gómez Vieites 6

7 El Reglamento Europeo de 2016 Ámbito de aplicación Se aplica al tratamiento (automatizado o no) de datos personales de personas físicas, independientemente de su nacionalidad o de su lugar de residencia Tratamiento de datos personales en el contexto de las actividades de un responsable ubicado en la UE, independientemente de que el tratamiento tenga lugar en la UE o no. Tratamiento de datos personales de interesados que residan en la UE por parte de un responsable o encargado no establecido en la UE, cuando las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichos interesados en la UE, independientemente de si a estos se les requiere su pago Álvaro Gómez Vieites 7

8 El Reglamento Europeo de 2016 Ámbito de aplicación No se aplica a personas jurídicas No se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica. Actividades personales o domésticas: correspondencia, llevanza de un repertorio de direcciones, actividad en las redes sociales No se aplica al tratamiento de datos personales por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales Álvaro Gómez Vieites 8

9 El Reglamento Europeo de 2016 Definiciones: Datos personales: toda información sobre una persona física identificada o identificable («el interesado») Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Álvaro Gómez Vieites 9

10 El Reglamento Europeo de 2016 Definiciones: Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como: Recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica Álvaro Gómez Vieites 10

11 El Reglamento Europeo de 2016 Definiciones: Consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Responsable del tratamiento: persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. Encargado del tratamiento: persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Álvaro Gómez Vieites 11

12 El Reglamento Europeo de 2016 Definiciones: Elaboración de perfiles: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física. En particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física. Violación de la seguridad de los datos personales: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Álvaro Gómez Vieites 12

13 El Reglamento Europeo de 2016 Definiciones: Seudonimización: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. Álvaro Gómez Vieites 13

14 Principios fundamentales Tratamiento de datos personales: De manera lícita, leal y transparente. Recogidos con fines determinados, explícitos y legítimos. Datos adecuados, pertinentes y limitados en relación con la finalidad del tratamiento. Exactos y, si fuera necesario, actualizados. Se deberán adoptar medidas razonables para suprimir o rectificar los datos personales que sean inexactos con respecto a los fines para los que se tratan. Conservación durante no más tiempo del necesario para los fines del tratamiento. Tratados garantizando su seguridad. Álvaro Gómez Vieites 14

15 Principios fundamentales Licitud del tratamiento de datos personales: Se cuenta con el consentimiento del interesado para el tratamiento de sus datos personales para uno o varios fines específicos. El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte. El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física. El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Álvaro Gómez Vieites 15

16 Principios fundamentales Consentimiento del interesado: Ha de ser libre, específico, informado e inequívoco El responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. Ya no es válido el consentimiento tácito Álvaro Gómez Vieites 16

17 Principios fundamentales Tratamiento de datos de menores: El tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño. El Reglamento establece que los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13. En España actualmente es de 14 años. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible. Álvaro Gómez Vieites 17

18 Principios fundamentales Categorías especiales de datos personales Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física. Excepciones a la prohibición del tratamiento de estos datos: El interesado dio consentimiento explícito para los fines especificados El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física Álvaro Gómez Vieites 18

19 Principios fundamentales Categorías especiales de datos personales Excepciones a la prohibición del tratamiento de estos datos: El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos. El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social. El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los estos servicios. Álvaro Gómez Vieites 19

20 Derechos del interesado Derecho de información El responsable del tratamiento deberá facilitar la siguiente información en el momento en que se obtengan los datos: La identidad y los datos de contacto del responsable. Los datos de contacto del delegado de protección de datos, en su caso. Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento. Los destinatarios o las categorías de destinatarios de los datos personales, en su caso. Si fuera el caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional. El plazo durante el cual se conservarán los datos personales. Cuando los datos personales no se hayan obtenido del interesado, se deberá informar sobre la categoría de datos de que se trate y la fuente de la que éstos proceden. Álvaro Gómez Vieites 21

21 Derecho de acceso Derechos del interesado El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen, y en su caso la siguiente información: Los fines del tratamiento. Las categorías de datos personales de que se trate. Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales. De ser posible, el plazo previsto de conservación de los datos personales. Cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. Álvaro Gómez Vieites 22

22 Derechos del interesado Derecho de rectificación y de supresión ( derecho al olvido ). El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan. Cuando haya hecho públicos los datos personales y esté obligado a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos. Álvaro Gómez Vieites 23

23 Derechos del interesado Derecho de rectificación y de supresión ( derecho al olvido ). No será de aplicación el derecho de supresión: Para ejercer el derecho a la libertad de expresión e información. Para el cumplimiento de una obligación legal que requiera el tratamiento de datos que se aplique al responsable del tratamiento. Por razones de interés público en el ámbito de la salud pública de conformidad. Con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. El responsable del tratamiento comunicará cualquier rectificación o supresión de datos personales a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. Álvaro Gómez Vieites 24

24 Derechos del interesado Derecho a la portabilidad de los datos. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado. El interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible. Álvaro Gómez Vieites 25

25 Derechos del interesado Derecho a la limitación del tratamiento. Se aplica cuando lo solicite el interesado y éste haya impugnado la exactitud de los datos personales, o el tratamiento sea ilícito y el interesado se oponga a la supresión y solicite la limitación del uso. Derecho de oposición al tratamiento. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado. Álvaro Gómez Vieites 26

26 Responsable del tratamiento Responsabilidad del responsable del tratamiento El responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento cumple con el Reglamento Protección de datos desde el diseño y por defecto El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Ya no se requiere inscribir previamente los ficheros Álvaro Gómez Vieites 28

27 Tratamientos encargados a terceros Tratamiento de datos encargados a un tercero Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento cumpla con los requisitos del Reglamento y garantice la protección de los derechos del interesado. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. El tratamiento por el encargado se regirá por un contrato Álvaro Gómez Vieites 29

28 Tratamientos encargados a terceros Contenido de un contrato de tratamiento de datos: Objeto del contrato, duración, naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. En particular, en el contrato se estipulará que el encargado: Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable. Garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. Adoptará las medidas de seguridad para proteger los datos personales. Álvaro Gómez Vieites 30

29 Tratamientos encargados a terceros Registro de las actividades de tratamiento Cada responsable llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener la siguiente información: El nombre y los datos de contacto del responsable. Los fines del tratamiento. Una descripción de las categorías de interesados y de las categorías de datos personales. Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales. Una descripción general de las medidas técnicas y organizativas de seguridad. Álvaro Gómez Vieites 31

30 Tratamientos encargados a terceros Registro de las actividades de tratamiento A su vez, cada encargado llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga: El nombre y los datos de contacto del encargado y de cada responsable por cuenta del cual actúe el encargado. Las categorías de tratamientos efectuados por cuenta de cada responsable. En su caso, las transferencias de datos personales a un tercer país u organización internacional. Una descripción general de las medidas técnicas y organizativas de seguridad. Álvaro Gómez Vieites 32

31 Tratamientos encargados a terceros Registro de las actividades de tratamiento Los registros deberán constar por escrito. El responsable o el encargado del tratamiento pondrán el registro a disposición de la autoridad de control que lo solicite. La obligación de registro no se aplicará a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales. Álvaro Gómez Vieites 33

32 Medidas de seguridad Medidas de Seguridad El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que incluyan: La seudonimización y el cifrado de datos personales. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Álvaro Gómez Vieites 34

33 Evaluación de riesgos: Medidas de Seguridad Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Violación de la seguridad de los datos personales: El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas Álvaro Gómez Vieites 35

34 Medidas de Seguridad Notificación de una violación de la seguridad de los datos personales a la autoridad de control. La notificación se producirá sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, indicando: La naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información Describir las posibles consecuencias de la violación de la seguridad. Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los efectos negativos. Álvaro Gómez Vieites 36

35 Medidas de Seguridad Comunicación de una violación de la seguridad de los datos personales al interesado Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida, utilizando un lenguaje claro y sencillo, indicando: El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. Las posibles consecuencias de la violación de la seguridad. Las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Álvaro Gómez Vieites 37

36 Medidas de Seguridad Evaluación de impacto relativa a la protección de datos Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales (PIA: Privacy Impact Assessment). Se requerirá en particular en caso de: Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar. Tratamiento a gran escala de categorías especiales de datos o datos penales. Álvaro Gómez Vieites 38

37 Medidas de Seguridad Evaluación de impacto relativa a la protección de datos La evaluación deberá incluir como mínimo: Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento. Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad. Una evaluación de los riesgos para los derechos y libertades de los interesados. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos. Álvaro Gómez Vieites 39

38 Medidas de Seguridad Delegado de Protección de Datos: El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial. Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala. Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales. Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento. Álvaro Gómez Vieites 40

39 Medidas de Seguridad Delegado de Protección de Datos: El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control. Álvaro Gómez Vieites 41

40 Medidas de Seguridad Delegado de Protección de Datos: El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos. Álvaro Gómez Vieites 42

41 Medidas de Seguridad Delegado de Protección de Datos - Funciones: Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben. Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación. Cooperar con la autoridad de control. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento. Álvaro Gómez Vieites 43

42 Códigos de conducta y certificación Códigos de conducta Los Estados miembros, las autoridades de control, el Comité Europeo de Protección de Datos y la Comisión promoverán la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del presente Reglamento. Certificación Los Estados miembros, las autoridades de control, el Comité Europeo de Protección de Datos y la Comisión promoverán la creación de mecanismos de certificación en materia de protección de datos, así como sellos y marcas de protección de datos, a fin de demostrar el cumplimiento del Reglamento en las operaciones de tratamiento de responsables y encargados. La certificación será voluntaria y estará disponible a través de un proceso transparente. Álvaro Gómez Vieites 44

43 Transferencias internacionales de datos Principio general de las transferencias Sólo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el Reglamento. Transferencias basadas en una decisión de adecuación Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica. Álvaro Gómez Vieites 45

44 Transferencias internacionales de datos Transferencias mediante garantías adecuadas Si no estamos en el caso de una transferencia basada en una decisión de adecuación de la Comisión, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas. Instrumentos jurídicos vinculantes. Normas corporativas vinculantes. Cláusulas tipo de protección de datos. Código de conducta o mecanismo de certificación con compromisos vinculantes. Álvaro Gómez Vieites 46

45 Transferencias internacionales de datos Excepciones para situaciones específicas En ausencia de una decisión de adecuación de conformidad o de garantías adecuadas de conformidad, una transferencia de datos personales a un tercer país u organización internacional únicamente se realizará si se cumple alguna de las condiciones: El interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas. La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento. La transferencia sea necesaria por razones importantes de interés público. La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas. Álvaro Gómez Vieites 47

46 Autoridades de control independientes Autoridad de control Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante autoridad de control ) supervisar la aplicación del Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión. Cada autoridad de control actuará con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes: Controlar la aplicación del Reglamento, promover la sensibilización del público y los responsables y encargados de tratamiento, asesoramiento sobre medidas legislativas y administrativas, tratar reclamaciones, llevar a cabo inspecciones, sancionar por incumplimiento del Reglamento, etc. Álvaro Gómez Vieites 48

47 Comité Europeo de Protección de Datos Comité Europeo de Protección de Datos Se crea este nuevo organismo de la Unión Europea, que gozará de personalidad jurídica propia y que estará representado por su presidente. El Comité estará compuesto por el director de una autoridad de control de cada Estado miembro y por el Supervisor Europeo de Protección de Datos o sus representantes respectivos. El Comité actuará con total independencia en el desempeño de sus funciones o el ejercicio de sus competencias: Supervisar y garantizar la correcta aplicación del Reglamento, asesoramiento a la Comisión, elaboración de directrices, buenas prácticas y recomendaciones, impulso de la cooperación entre las autoridades de control, etc. Álvaro Gómez Vieites 49

48 Indemnizaciones y sanciones Derecho a la reclamación, la tutela efectiva y la indemnización Todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento. Todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos han sido vulnerados como consecuencia de un tratamiento de sus datos personales. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. Álvaro Gómez Vieites 50

49 Indemnizaciones y sanciones Condiciones generales para la imposición de multas administrativas Cada autoridad de control garantizará que la imposición de las multas administrativas por las infracciones del Reglamento sean efectivas, proporcionadas y disuasorias. Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta: La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido. La intencionalidad o negligencia en la infracción. Álvaro Gómez Vieites 51

50 Indemnizaciones y sanciones Condiciones generales para la imposición de multas administrativas Criterios para definir la cuantía de multa administrativa (cont.): El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas. Toda infracción anterior cometida por el responsable o el encargado del tratamiento. El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos de la infracción. Las categorías de los datos de carácter personal afectados por la infracción. La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida. Álvaro Gómez Vieites 52

51 Indemnizaciones y sanciones Cuantía de las multas Multas administrativas de EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, por las siguientes infracciones de: Los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento. Los derechos de los interesados. Las transferencias de datos personales a un destinatario en un tercer país o una organización internacional. El incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento. El incumplimiento de las resoluciones de la autoridad de control. Cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro. Álvaro Gómez Vieites 53

52 Resumen aspectos clave Álvaro Gómez Vieites 54

53 Resumen aspectos clave Álvaro Gómez Vieites 55

54 Safe Harbour Álvaro Gómez Vieites 56

55 Safe Harbour Álvaro Gómez Vieites 57

56 Safe Harbour Álvaro Gómez Vieites 58

57 Autorizaciones de la AEPD Álvaro Gómez Vieites 59

58 Safe Harbour Álvaro Gómez Vieites 60

59 Safe Harbour Anulación del acuerdo Safe Harbour: El Tribunal de Justicia de la Unión Europea (TJUE), el 6 de octubre de 2015, declaró nula la Decisión de la Comisión 2000/520/CE que determina el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EE.UU El sistema Safe Harbour consistía en un sistema autorregulado para las empresas norteamericanas al que se podían adherir de forma voluntaria mediante una declaración pública, y por la que se entendía una presunción de adecuación» respecto al nivel de protección exigido por la UE Álvaro Gómez Vieites 61

60 Data centers en la Unión Europea 11-nov-2015 Álvaro Gómez Vieites 62

61 Privacy Shield El Privacy Shield, negociado durante más de dos años entre Bruselas y Washington, "protegerá los datos de carácter personal de los europeos y ofrece seguridad jurídica a las empresas" Álvaro Gómez Vieites 63

62 Privacy Shield Álvaro Gómez Vieites 64

63 Privacy Shield Álvaro Gómez Vieites 65

64 Privacy Shield Álvaro Gómez Vieites 66

65 Privacy Shield Álvaro Gómez Vieites 67

66 Privacy Shield Álvaro Gómez Vieites 68

67 Privacy Shield Álvaro Gómez Vieites 69

68 Otra normativa a considerar Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave Las compañías aéreas deben facilitar los datos de los pasajeros a las autoridades de los Estados miembros, en los vuelos internacionales con salida o destino a la Unión Europea Álvaro Gómez Vieites 70

69 Comentarios, cuestiones, sugerencias... Álvaro Gómez Vieites 71