rgpd reglamento general de protección de datos la nueva normativa para todos los estados miembros ue 2016/679

Transcripción

1 rgpd ue 2016/679 reglamento general de protección de datos la nueva normativa para todos los estados miembros

2 por qué un reglamento europeo? En la actualidad, y debido, en gran medida, a la velocidad a la que avanzan las nuevas tecnologías y el mercado interior, han aumentado sustancialmente los flujos transfronterizos, lo que ha provocado un incremento en toda la UE de intercambio de datos entre las personas físicas y jurídicas, ya que el Derecho de la Unión exige a los Estados miembros que cooperen e intercambien datos personales para poder desempeñar sus funciones o llevar a cabo tareas en nombre de una autoridad de otro estado miembro. armonizar estados miembros acorde con la era digital El exponencial avance tecnológico requiere un marco sólido para la protección de datos dentro de la Unión Europea, para generar la confianza que permita a la economía digital desarrollarse en todo el mercado interior. mayor control Los usuarios deben tener el control de sus propios datos personales y se debe reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las Autoridades Públicas. incremento intercambio de datos en la ue marco único común Para poder garantizar un nivel uniforme y elevado de protección de datos personales y eliminar los obstáculos a la circulación de estos dentro de la UE, debe existir un nivel de protección del tratamiento de dichos datos equivalente para todos los Estados miembros. protección de la esfera privada El marco legislativo de protección de datos necesitaba una renovación, puesto que actualmente existen nuevos dispositivos y desarrollos tecnológicos que afectan o pueden afectar a la esfera privada de las personas.

3 ventajas de disponer de un reglamento único homologa todas las actuaciones Ofrece a las personas físicas de todos los Estados miembros el mismo nivel de derechos, obligaciones y responsabilidades. unifica el nivel de protección Armoniza los tratamientos de datos personales de todos los ciudadanos de los Estados miembros mediante la aplicación de una norma única. equipara las sanciones Impone sanciones equivalentes para todos los Estados miembros. mayor cooperación institucional Favorece la cooperación efectiva de las correspondientes Autoridades de Control de los diversos Estados miembros. qué sucede con la lopd? Hasta que no sea de aplicación el Reglamento General de Protección de Datos, dos años después de la fecha de entrada en vigor, coexistirán ambas normas (LOPD y RGPD). Está previsto que el Reglamento General de Protección de Datos se vaya desarrollando en cuanto a cuestiones específicas, mediante los denominados Actos Delegados de la Comisión, a través de los cuales se establecerá, con mayor precisión, el marco jurídico aplicable según cada caso. Los Estados miembros deben observar el nuevo Reglamento como norma preeminente. Además, mientras se prolongue este proceso, deberán aplicar las Leyes nacionales mientras estas no sean modificadas, sustituidas o derogadas.

4 las 10 novedades más relevantes del nuevo reglamento La publicación definitiva del nuevo Reglamento ha dado paso a un escenario de novedades y cambios. En consecuencia, las empresas y entidades deben revisar obligatoriamente sus actuaciones en materia de protección de datos, para adaptarlas y adecuarlas a los nuevos requerimientos. Estas son algunas de las novedades más relevantes: 1. Nuevos derechos de los ciudadanos: derecho al olvido y derecho a la portabilidad de los datos de un usuario de un sistema de tratamiento electrónico a otro. 2. Creación de la figura del Delegado de Protección de Datos (DPO Data Protection Officer). 3. Obligación de realizar Análisis de Riesgos y Evaluaciones de Impacto para determinar el cumplimiento normativo. 4. Obligación de registrar documentalmente las operaciones de tratamiento, tanto por parte de los Responsables del Tratamiento como por los Encargados del Tratamiento. 5. Nuevas notificaciones a la Autoridad de Control: brechas de seguridad y autorización previa para determinados tipos de tratamiento. 6. Nueva recomendación de información al Interesado, mediante un sistema de iconos armonizado para todos los países de la UE. 7. Incremento muy significativo de la cuantía de las sanciones. 8. Aplicación del concepto Ventanilla Única, para que los ciudadanos Interesados puedan efectuar trámites, aunque estos afecten a autoridades en la materia de otros Estados miembros. 9. Establecimiento de obligaciones para nuevas categorías especiales de datos. 10. Nuevos principios en relación a las obligaciones de información: transparencia y minimización.

5 principios reglamento general de protección de datos Los tratamientos de datos deben ser justos, legales y transparentes. Los datos personales deben ser obtenidos para finalidades específicas, explícitas y legítimas, y no usados para finalidades incompatibles. Igualmente, deben ser adecuados, relevantes y limitados a las finalidades previstas, debiendo ser actualizados o eliminados cuando sean inexactos. 01 transparencia En la recogida de datos, el Responsable debe facilitar al Interesado toda la información que establece la normativa referente a la identidad del Responsable, finalidad, DPO y ejercicio de derechos. 02 privacidad por defecto El Responsable debe aplicar las medidas apropiadas para garantizar que, por defecto, solo sean objeto de tratamiento los datos personales necesarios para cada uno de los fines específicos de este. 03 minimización y limitación El Responsable del Tratamiento solo recabará los datos necesarios y limitados al mínimo para llevar a cabo la finalidad establecida. Los tratamientos de datos solo serán lícitos cuando el Interesado haya dado su consentimiento inequívoco para dicho tratamiento. El Responsable de dicho tratamiento debe poder demostrar este consentimiento inequívoco del Interesado. Asimismo, el Interesado tiene derecho a retirar el consentimiento en cualquier momento. El tratamiento de datos personales que revelen el origen étnico racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, el tratamiento de datos genéticos o relativos a la salud o a la vida sexual, solo será lícito con el consentimiento explícito del Interesado, puesto que se trata de categorías especiales de datos.

6 obligaciones responsable del tratamiento El Responsable del Tratamiento es la persona física y/o jurídica, privada o pública, que decide sobre el tratamiento de los datos. Esta responsabilidad debe desarrollarla durante toda la vida del dato, es decir, desde que este entra a formar parte del sistema de información hasta la eliminación del mismo. El Responsable del Tratamiento decide la creación del fichero, la finalidad del tratamiento, así como el contenido y el uso de los datos almacenados en ese fichero. Su condición de Responsable hace que esté sujeto a los requerimientos establecidos en la normativa y que, en consecuencia, tenga que observar cuantas obligaciones disponga el Reglamento. 05 gestión de brechas de seguridad adecuar el nivel de seguridad definición y aplicación de medidas 00 evaluación de impacto 03 registro de tratamiento 02 responsabilidad compartida

7 derechos de los interesados ejercicio de derechos Los derechos de los Interesados ofrecen a los ciudadanos un mayor control sobre sus datos, gracias a la exigencia de contar con el consentimiento inequívoco respecto al tratamiento de sus datos personales, un fácil acceso a estos, los derechos de rectificación, supresión y al olvido, el derecho de oponerse, incluso, al uso de datos personales a efectos de la elaboración de perfiles y el derecho a la portabilidad de los datos de un prestador de servicios a otro. nuevos derechos derecho a la limitación El Interesado puede solicitar la restricción del tratamiento de sus datos. En tal caso, los datos solo podrán ser objeto de tratamiento si se cuenta con su consentimiento. derecho a la portabilidad El Interesado tiene derecho a recibir los datos personales que desee, por parte de un Responsable del Tratamiento con el objetivo de transmitirlos a otro Responsable del Tratamiento. derecho a la supresión y olvido El titular de un dato personal puede solicitar que la información personal que se considere obsoleta o no relevante sea borrada, bloqueada o suprimida por parte del Responsable del Tratamiento. derechos existentes derecho de acceso derecho de rectificación derecho de oposición Permite al Interesado obtener información sobre si sus datos personales están siendo objeto de tratamiento, conocer la finalidad del mismo, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas. Permite que el Interesado pueda solicitar que sus datos personales se modifiquen cuando resulten inexactos o incompletos. Posibilita al Interesado decidir que no se lleve a cabo el tratamiento de sus datos o se ejecute el cese del mismo en caso que este se haya iniciado.

8 organismos de control En el entorno europeo, la protección de datos tiene la consideración de derecho fundamental, de ahí la relevancia que adquieren los diversos organismos, estructuras y grupos de cooperación existentes en este ámbito. El objetivo de estas entidades es disponer del marco jurídico e institucional adecuado que permita garantizar la protección de los datos de las personas, cuyo conocimiento o empleo por parte de terceros pueda afectar a sus derechos. 01 autoridad propia en cada estado miembro El RGPD confirma la obligación existente para los Estados miembros de crear una Autoridad de Control independiente a nivel nacional, que establezca mecanismos para lograr una aplicación coherente de la legislación sobre protección de datos en toda la UE. 02 actuación independiente Cada Autoridad de Control actúa con total independencia en el cumplimiento de las funciones que le hayan sido encomendadas y en el ejercicio de los poderes que se le hayan conferido, de conformidad con el RGPD, dentro del territorio del Estado miembro al que represente. 03 ventanilla única En el caso de tratamientos transnacionales, en que estén implicadas varias autoridades nacionales de control, se debe adoptar una única decisión de supervisión. Este principio conocido como ventanilla única significa que una empresa con filiales en varios Estados miembros solo tendrá que tratar con la autoridad de protección de datos del Estado miembro en el que se encuentre su establecimiento principal. El organismo de control a nivel europeo es el Consejo Europeo de Protección de Datos. En España la Autoridad de Control es la Agencia Española de Protección de Datos (AEPD).

9 infracciones y sanciones Con la entrada en vigor del Reglamento General de Protección de Datos, se ha producido un exponencial incremento en la cuantía de las sanciones impuestas por incumplimiento de la normativa. La diferencia respecto al baremo de sanciones establecido en la LOPD es más que sustancial: hasta o 2% volumen de negocio anual global del ejercicio financiero anterior * No aplicar medidas técnicas y organizativas por defecto No disponer del registro de actividades de tratamiento No notificar brechas de seguridad No realizar la Evaluación de Impacto No designar DPO lopd entre 900 y en caso de infracción leve hasta o 4% volumen de negocio anual global del ejercicio financiero anterior * No cumplir con los principios del RGPD No cumplir con los derechos de los Interesados No cumplir con los requisitos para transferencia internacional de datos No cumplir con la resolución de la Autoridad de Control lopd entre y en caso de infracción grave o muy grave Dependiendo del artículo del Reglamento General de Protección de Datos que haya sido vulnerado, y sin perjuicio del derecho de indemnización que el Interesado pudiera reclamar judicialmente, las sanciones impuestas sobre infracciones al RGPD pueden ascender de los 10 millones de euros (o el 2% como máximo del volumen de negocio total anual global) hasta los 20 millones de euros (o el 4% como máximo del volumen de negocio total anual global). *Conforme al texto publicado a fecha 8 de abril, sobre la posición del Consejo en primera lectura con vistas a la adopción de un Reglamento del Parlamento Europeo y del Consejo.

10 delegado de protección de datos El nuevo Reglamento General Europeo de Protección de Datos, entre sus novedades, establece la creación de la figura del Delegado de Protección de Datos (DPO), cuya misión es garantizar la correcta aplicación de la legislación en esta materia, así como controlar la adecuada gestión de los tratamientos de datos desarrollados en el seno de la organización en la que desempeñe dicho cargo. somos su dpo experto Desde Conversia le ofrecemos un asesoramiento constante y asumimos de forma integral las funciones y tareas propias de la figura del DPO, con el objetivo de garantizar la total adecuación y cumplimiento de la actividad de su empresa o entidad a la normativa. LLAVES EN MANO LABOR EXHAUSTIVA SEGUIMIENTO Le liberamos de la carga de trabajo y le ofrecemos un servicio de adecuación completo e integral para asegurar de forma permanente la efectividad de las actuaciones a desarrollar. Asumimos la revisión y actualización de toda la documentación, así como la definición de las medidas y procesos necesarios para garantizar el correcto cumplimiento del Reglamento. Nuestro sistema de trabajo está dotado de actuaciones periódicas de seguimiento, a través de las cuales le aportamos visibilidad sobre las acciones llevadas a cabo y el avance del proceso.

11 asumimos una gestión integral y permanente RIESGO E IMPACTO Supervisamos el resultado del Análisis de Riesgo y de la Evaluación de Impacto, necesarios para determinar el estado en el que se halla la entidad, así como las medidas que deban implantarse. ASESORAMIENTO Proporcionamos asesoramiento experto al Responsable del Tratamiento sobre las obligaciones de cumplimiento. COMUNICACIONES Realizamos las comunicaciones obligatorias a la Autoridad de Control: - Identificación del DPO - Notificar las brechas de seguridad - Consultar e informar sobre la Evaluación de Impacto COOPERACIÓN Asumimos la gestión de cooperación con la Autoridad de Control a solicitud de esta o por iniciativa propia. FORMACIÓN Formamos y concienciamos al personal que participa en las operaciones de tratamiento para que esté capacitado para desarrollar su labor conforme al Reglamento. AUDITORÍA Supervisamos las Auditorías que se realicen para velar por la correcta adecuación de la actividad de la empresa o entidad a la normativa vigente.

12 esquema de la adaptación El Servicio de Asesoramiento y Adaptación al Reglamento General de Protección de Datos de Conversia es una solución integral, que incluye un conjunto de actuaciones orientadas a lograr la máxima garantía de una verdadera adecuación a la normativa. Este proceso cuenta con el aval y la experiencia de una dilatada trayectoria en el sector, así como con el apoyo de una sólida estructura organizativa, que hacen que nuestra compañía sea la mejor alternativa de asesoramiento en materia de cumplimiento normativo. 01. análisis de riesgo Diagnosis inicial para la determinación de los riesgos, en materia de privacidad. EVALUACIÓN DE IMPACTO Evaluación del grado de cumplimiento de las obligaciones en materia de protección de datos MEDIDAS Y PROCEDIMIENTOS Determinación de las medidas y procedimientos a implantar, en función de la tipología de datos y tratamientos identificados. AUDITORÍA Inspección o verificación de las medidas implantadas en la entidad ACTUALIZACIONES Redacción de los cambios y/o modificaciones pertinentes que deban ser aplicados para mantener un adecuado cumplimiento. líderes en servicios de cumplimiento normativo para pymes y profesionales Tel info@conversia.es