Aproximación legal al RGPD

Transcripción

1 Aproximación legal al RGPD Xavier Ribas

2 PUNTOS CLAVE Prioridades a tener en cuenta 1 CONSENTIMIENTO 2 EIPD - PIA 3 DPD - DPO 4 INTERÉS LEGÍTIMO 5 VIOLACIONES DE DATOS 6 OTRAS MATERIAS

3 20 M 20 M Los resultados de este proyecto tendremos que reportarlos al Consejo de Administración debido a la cuantía del riesgo." 4% Cliente del despacho, 2017

4 CONSENTIMIENTO Antes y después del 25/05/2018

5 Evolución del consentimiento El consentimiento antes y después del 25/05/2018

6 Evolución del consentimiento El consentimiento antes y después del 25/05/2018

7 EIPD - PIA Evaluación de impacto

8 EIPD - PIA Evaluación de impacto

9

10

11 Evaluación de impacto Fase final

12 Tratamiento en la nueva LOPD Las evaluaciones de impacto en el anteproyecto de LOPD Infracción grave (10M) Artículo 73.r El tratamiento de datos de carácter personal sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.

13 DPO Delegado de protección de datos

14 DPO - DPD Supuestos en los que es obligatoria su designación 1. Organismo público 2. Observación a gran escala 3. Categorías especiales a gran escala 15 supuestos. Prácticamente cualquier empresa que tenga una página web. Limitación a los tratamientos a gran escala. 1. Volumen de interesados 2. Volumen de datos 3. Ámbito geográfico Tres únicos supuestos 15 supuestos Tres únicos supuestos

15 DPO - DPD Cualificación Cualificación del DPD 1. Conocimientos especializados del Derecho 2. Práctica en materia de protección de datos 3. Capacidad para desempeñar las funciones asignadas en el RGPD 4. Certificación voluntaria

16 DPO - DPD Cualificación Certificación de la AEPD 1. Emitida por entidades de certificación como AENOR. 2. Previa superación de un examen 3. Cinco años de experiencia o 180 horas de formación (Escala de niveles de experiencia inferiores)

17 DPO - DPD Responsabilidad Responsabilidad del DPD 1. Obligación de denuncia interna al órgano de administración (Anteproyecto) 2. Posición similar a la del Compliance Officer 3. Diferencia: No puede ser despedido ni sancionado (RGPD y anteproyecto)

18 INTERÉS LEGÍTIMO Protocolo de actuación

19 INTERÉS LEGÍTIMO Supuestos Datos de contacto 1. Personas físicas que presten servicios en una persona jurídica. 2. Datos imprescindibles para su localización profesional 3. Única finalidad de mantener relaciones de cualquier índole con la persona jurídica

20 INTERÉS LEGÍTIMO Tratamientos declarados lícitos por ley Datos de empresarios individuales 1. Tratamiento referido a su condición de empresarios. 2. Tratamiento no dirigido a entablar una relación con los mismos como personas físicas.

21 INTERÉS LEGÍTIMO Tratamientos declarados lícitos por ley Datos hechos manifiestamente públicos por el afectado 1. Fuentes de acceso público. 2. Redes sociales - No las menciona. 3. Deber de información - Dificultad para cumplirlo 4. Salvo en el caso de menores de edad y discapacitados con medidas de apoyo.

22 INTERÉS LEGÍTIMO Tratamientos declarados lícitos por ley Videovigilancia 1. Finalidad de preservar la seguridad de personas, bienes e instalaciones. 2. Imágenes de la vía pública: sólo en la medida en que resulte imprescindible. 3. Extensión superior en el caso de bienes o instalaciones estratégicas e infraestructuras de transporte. 4. Supresión de los datos en el plazo de un mes. 5. Salvo para acreditar la comisión de actos contra la integridad de personas, bienes o instalaciones. 6. No será de aplicación la obligación de bloqueo. 7. Deber de información mediante dispositivo informativo + hojas a disposición de los afectados. 8. Tratamiento para funciones de control de trabajadores según artículo 20.3 ET, previa información.

23 INTERÉS LEGÍTIMO Tratamientos declarados lícitos por ley Canales de denuncia 1. Posibilidad de presentar denuncias anónimas. 2. Información obligatoria de la existencia de estos canales. 3. Acceso limitado al personal de Compliance durante la fase de investigación. 4. Acceso limitado al personal de RRHH en el caso de medidas disciplinarias. 5. Medidas orientadas a preservar la confidencialidad de los datos. 6. Conservación de los datos durante el tiempo imprescindible para la investigación. 7. En tres meses: supresión o cambio de entorno para continuar la investigación. (Innecesario) 8. No será de aplicación la obligación de bloqueo.

24 INTERÉS LEGÍTIMO Tratamientos declarados lícitos por ley Operaciones mercantiles 1. Modificación de la estructura societaria. 2. Aportación o transmisión de negocio o rama de actividad. 3. Tratamientos necesarios para el buen fin de la operación. 4. Y para garantizar la continuidad en la prestación de los servicios.

25 INTERÉS LEGÍTIMO Protocolo de actuación

26 VIOLACIONES DE DATOS Protocolo de actuación

27 CONFIRMACIÓN DE LA VIOLACIÓN Diferencia entre incidente y violación de la seguridad Security breach = Data breach

28 CONFIRMACIÓN DE LA VIOLACIÓN Diferencia entre incidente y violación de la seguridad Incidente de seguridad = Violación de la seguridad de los datos personales

29 Incidentes de seguridad Protocolo de actuación

30 Evaluación de la violación de datos Protocolo de actuación

31 TIPOS DE VIOLACIONES DE SEGURIDAD Comprobación del tipo de violación de seguridad que se ha producido VALORACIÓN DEL TIPO DE VIOLACIÓN DE LA SEGURIDAD VIOLACIÓN DE LA CONFIDENCIALIDAD Comunicación o acceso no autorizados a los datos VIOLACIÓN DE LA DISPONIBILIDAD Pérdida de acceso o destrucción de los datos VIOLACIÓN DE LA INTEGRIDAD Alteración no autorizada de los datos

32 NOTIFICACIÓN Cuándo hay que notificar la brecha de seguridad

33 OTRAS MATERIAS Previstas para la nueva LOPD

34 Prioridad 1: prevenir infracciones muy graves Infracciones más relevantes con sanciones de hasta 20 millones Vulneración de los principios básicos Omisión del deber de información Tratamiento ilícito Vulneración del deber de confidencialidad Consentimiento inválido Respuesta inadecuada al ejercicio de derechos Finalidad distinta Transferencia a un tercer país sin garantías Tratamiento inadecuado de datos sensibles Incumplimiento de la obligación de bloqueo

35 Prioridad 2: prevenir infracciones graves Infracciones más relevantes con sanciones de hasta 10 millones Tratamiento inadecuado datos de menores No realización de la evaluación del impacto Medidas técnicas y organizativas inadecuadas No notificación de una violación de datos Contratación de ET sin garantías suficientes No designación de un DPO Subcontratación de ET sin autorización Apoyo insuficiente al DPO Inexistencia de registro de tratamientos Otras infracciones graves

36 Prioridad 3: Accountability Responsabilidad proactiva y evidencias de cumplimiento 36 Ribas y Asociados

37