GDPR y Nueva Ley de Contratación.

Transcripción

1 GDPR y Nueva Ley de Contratación

2 Contenido Aproximación a las leyes Regl. (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD) Proyecto de L.O. de Protección de Datos de Carácter Persona La Agencia Española de Protección de Datos Ley l 9/2017, de 8 de noviembre, de Contratos del Sector Público 2

3 01 Aproximación a las leyes

4 Aproximación a las leyes Substrato histórico, sociológico, cultural Las leyes son resultado de una historia y de un entorno económico, político, cultural, tecnológico Y tienen una finalidad

5 El cumplimiento de las Normas Administrativas aproxima a las Administraciones al cumplimiento del GDPR

6 En buena posición 6

7 02 Regl. (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD)

8 Reglamento (UE) 2016/679 GDPR El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y será aplicable a partir del 25 mayo de 2018 Directamente aplicable, no requiere de normas internas de trasposición ni de desarrollo o aplicación. 8

9 Reglamento (UE) 2016/679 GDPR. Datos Personales Personal Curricula Clientes Contactos Imágenes- Videovigilamcia Licitud del Tratamiento Consentimiento Finalidad Conservación Destinatarios Derechos de los Interesados Esquema DELEGADO DE PROTECCIÓN DE DATOS (DPD / DPO) Política de Información Transparencia del Tratamiento Información al interesado Comunicación al Interesado Política de Seguridad Desde el Diseño y por defecto Medidas de Seguridad Evaluación de Impacto Derechos de los Interesados Acceso Rectificación Supresión - Limitación - Oposición - Reclamación - Portabilidad - Perfiles Responsabilidad Encargados del tratamiento Destinatarios de Datos Personal Autorizado Mantenimiento Política de Información Derechos de los Interesados Responsabilidad Proactiva Documentación Informativa Garantías de Cumplimiento Mantenimiento Política de Seguridad Contratos de Responsabilidad Registro de Actividades Violación de Datos Evaluación de Impacto

10 Reglamento (UE) 2016/679 GDPR. Novedades Cambio de foco Fichero Datos Qué datos tengo Tratamiento Finalidad Riesgo Qué hago con los datos 10

11 Reglamento (UE) 2016/679 GDPR. Novedades Qué cambia el Reglamento? Nuevas obligaciones: Información Clara Notificación de violaciones de seguridad Facilitar el ejercicio de los derechos de los interesados Nuevos Sujetos: Delegado de Protección de datos Corresponsables Representantes Nuevos Derechos de los interesados: Olvido Portabilidad (Sólo si el tratamiento se basa en Consentimiento o Contrato) Nuevas sanciones: euros 4% del volumen de negocio total anual global del ejercicio financiero anterior Registro de Actividades (Las AAPP harán público un inventario accesible electrónicamente en la Sede elec.) (Art Proy LOPD) Evaluación de impacto previa. Limitación del tratamiento Decisiones Individualizadas Acceso a copias Notificaciones No hay sanción económica para las AAPP (Art. 77 Proy LOPD) Proactividad (Accountability) Nuevos Principios Análisis del Riesgo Evaluación de Impacto Verificación 11

12 Reglamento (UE) 2016/679 GDPR Políticas Control de plazos de conservación y de supresión Discovery Suite CONSERVACIÓN EVIDENCIAS ELECTRÓNICAS POLITICA DOCUMENTAL Rectificación de datos. Supresión de datos (Olvido) Políticas de retención CARPETA DE DATOS DEL INTERESADO POLÍTICA DE SEGURIDAD Decomisionado de aplicaciones REPOSITORIO UNIFICADO ECM POLÍTICA DE PROTECCIÓN DE DATOS Seguridad Acceso al contenido Microservicios Servicios web Notificación de Violaciones de Seguridad a la Autoridad y al interesado. PLAZO 72 HORAS Acreditar que se ha obtenido el consentimiento libre, específico, informado e inequívoco Informar sobre todos los extremos del tratamiento Auditorías Limitación del tratamiento Oposición Portabilidad Dar Acceso del Interesado a los datos y enviarle copias. 12

13 Qué hacer hasta el 25 de mayo... Y después IDENTIFICAR El Tratamiento Las Operaciones Los Ficheros de Datos Colectivos de Interesados Fines del Tratamiento Ficheros de Datos Sistemas de Tratamiento Obtención Acceso Operaciones Conservación - Supresión Responsabilidades (RT/ET) Categorías de Datos Categorías de Tratamiento Diseño del Tratamiento LEGITIMAR El Tratamiento Política de Información Política de Seguridad Consentimiento Interés Legítimo Categorías Especiales Categorías Penales Elaboración de Perfiles Información al Interesado Comunicación de la Información Derechos del Interesado Desde el diseño y por defecto Análisis de Riesgos Evaluación de Impacto Medidas de Seguridad

14 Qué hacer hasta el 25 de mayo... Y después Intervinientes en el Tratamiento Personal Autorizado Encargados del Tratamiento Subcontrataciones Destinatario de datos Corresponsables Transferencias Internacionales DOCUMENTAR Garantías de Protección de Datos Contratos con los intervinientes Contratación del DPO Consentimientos explícitos Cláusulas Informativas Iconos Informativos Cláusulas de la web e Internet Documentación del Tratamiento Responsabilidad Proactiva Política de Información Política de Seguridad Registro de Actividades Auditoría de Cumplimiento Protocolos de Protección de Datos Derechos del Interesado Violaciones de Seguridad Situaciones específicas de tratamiento GARANTIZAR Garantías de Cumplimiento Certificación del RT o ET Certificación de la AC Códigos de Conducta Normas Corporativas Vinculantes Autoridad de Control Notificación de violaciones Cláusulas tipo de contratos Cláusulas tipo de transferencias Evaluación de Impacto Consultas Previas

15 03 Proyecto de L.O. de Protección de Datos de Carácter Personal

16 El GDPR es de aplicación directa a fin de lograr una regulación uniforme, pero al mismo tiempo permite que sus normas sean especificadas por los Estados miembros en la medida en que sea necesario para facilitar su comprensión por los destinatarios La adaptación del GDPR Habilitación a los Estados Miembros 16

17 Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal 121/000013; 24/11/17 Artículo 18.4 de la Constitución española la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. El Tribunal Constitucional: el derecho a la protección facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquél que justificó su obtención. poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Proyecto de Ley Orgánica. Versión Española. 17

18 Proyecto. Novedades Medidas de Seguridad en el ámbito del Sector Público Disposición Adicional Primera El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos de carácter personal, para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679 ( *) ( *) Medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. (ISO en el Sector Privado)

19 Proyecto. Novedades. SANCIONES A LAS ADMINISTRACIONES PÚBLICAS Art GDPR: Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro. Artículo 77. LOPD Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento 2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 73 a 75 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

20 Sanciones al sector privado Procedimientos en caso de posible vulneración de la normativa de protección de datos Artículo 63. Régimen jurídico. Artículo 64. Clases de iniciación. Artículo 65. Admisión a trámite de las reclamaciones. Artículo 66. Determinación del alcance territorial. Artículo 67. Actuaciones previas de investigación. Artículo 68. Medidas provisionales. Artículo 69. Plazo de tramitación de los procedimientos. Artículo 70. Sujetos responsables. Artículo 71. Infracciones. Artículo 72. Infracciones consideradas muy graves. Artículo 73. Infracciones consideradas graves. Artículo 74. Infracciones consideradas leves. Artículo 75. Interrupción de la prescripción. Artículo 76. Sanciones y medidas correctivas. Artículo 77. Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento. Artículo 78. Prescripción de las sanciones. Sujetos responsables. a) Los responsables de los tratamientos. b) Los encargados de los tratamientos. c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea. d) Las entidades de certificación. e) Las entidades acreditadas de supervisión de los códigos de conducta. El régimen sancionador No será de aplicación al delegado de protección de datos el 20

21 Peor que las sanciones económicas? 21

22 Peor que las sanciones económicas? La Agencia Española de Protección de Datos (AEPD) ha hecho pública su Resolución en la que confirma que el Ministerio de Justicia ha cometido una infracción tipificada como grave en la Ley Orgánica de Protección de Datos (LOPD) a causa de la brecha de seguridad de la plataforma LexNET que permitió a los usuarios acceder a los buzones personales de terceros. También queda demostrado, que el fallo no afectó a ficheros jurisdiccionales ni a expedientes completos. 22

23 Quiebra y aviso 23

24 04 La Autoridades de Control

25 Hoja de Ruta de la AEPD (Sector Privado) Además

26 Hoja de Ruta de la AEPD (Sector PÚBLICO) Además

27 Guías AEPD

28 Herramientas AEPD Sector Privado

29 05 Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público

30 Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público Objetivos Transposición de las Directivas Directiva 2014/24/UE, sobre contratación pública. Directiva 2014/25/UE, relativa a la contratación por entidades que operan en los sectores del agua, la energía, los transportes y los servicios postales. Directiva 2014/23/UE, relativa a la adjudicación de contratos de concesión. Objetivos internos: Tramitación Electrónica Mayor transparencia. Incrementar los controles sobre la corrupción. Control de la morosidad. Favorecer la contratación con PYMES. Mejor relación calidad-precio. Simplificación de trámites. Sociales, laborales, medioambientales e innovadores millones de euros anuales, 20% del PIB.

31 Lo electrónico en la Ley 9/2017 La licitación Electrónica La presentación de ofertas y solicitudes de participación se llevará a cabo utilizando medios electrónicos (hay excepciones técnicas y de seguridad) Estándares Garantías de integridad; acceso controlado; NO acceso antes de los plazos fecha y hora de presentación y de acceso Posibilidad de detectar violaciones El envío por medios electrónicos de las ofertas podrá hacerse en dos fases: huella electrónica de la oferta, presentación válida la oferta propiamente dicha en un plazo máximo de 24 horas. Facturación Obligación de presentación de facturas en un registro administrativo e identificación de órganos Los subcontratistas deberán utilizar en su relación con el contratista principal la factura electrónica PLACE Integraciones 31

32 Requisitos específicos relativos a las herramientas y los dispositivos de recepción electrónica de documentos Deberán garantizar Hora y la fecha exactas de la recepción de las ofertas, de las solicitudes de participación, de la documentación asociada a estas y las del envío de los planos y proyectos. que nadie tenga acceso a los datos y documentos transmitidos antes de que finalicen los plazos especificados. Que únicamente las personas autorizadas puedan fijar o modificar las fechas de apertura de los datos y documentos recibidos. Que solo las personas autorizadas puedan acceder a la totalidad o a parte de los datos y documentos presentados. Que solo las personas autorizadas puedan dar acceso a los datos y documentos transmitidos, y solo después de la fecha especificada. Que los datos y documentos recibidos y abiertos en aplicación de los presentes requisitos solo sean accesibles a las personas autorizadas a tener conocimiento de los mismos. Que en caso de que se infrinjan o se intenten infringir las prohibiciones o condiciones de acceso pueda garantizarse razonablemente que las infracciones o tentativas sean claramente detectables. 32

33 Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público Novedades (I) PUBLICIDAD PYMES MOROSIDAD MENORES ADJUDICACIÓN EXPRÉS Se suprime la posibilidad de contratar sin publicidad (Excepto Artículo 168. Supuestos de aplicación del procedimiento negociado sin publicidad.) División de los contratos por lotes. Menos requisitos de Solvencia técnica. Criterio calidad precio Registro electrónico de facturas. Fra. Electrónica. Plazos legales. Posibilidad pago directo AAPP a proveedores. REDUCCIÓN DE LÍMITES OBRAS RESTO OBRAS RESTO

34 Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público Novedades (II) CLAUSULAS SOCIALES Y MEDIOAMBIENTALES INSERCIÓN LABORAL IMPAGO DE SALARIOS CORRUPCIÓN CONTROLES Incorporación en toda contratación de criterios sociales y medioambientales. Se reservará un porcentaje de contratos para empresas de inserción laboral y discapacidad. Posibilidad de rescindir los contratos por impago de salario a los trabajadores. No podrán ser contratistas de las Administraciones Públicas los condenados por corrupción entre particulares. OFICINA INDEPENDIENTE DE REGULACIÓN Y SUPERVISIÓN Ponencia Permanente en Las Cortes. Empleado Público RESPOSABLE DEL CONTRATO

35 Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público Novedades (III) PARTIDOS POLÍTICOS Y SINDICATOS PARAISOS FISCALES NUEVOS PROCEDIMIENTOS CONTRATACIÓN ELECTRÓNICA EXPECTATIVAS NO CUMPLIDAS Quedan sometidos a la nueva Ley Se adquiere el compromiso del Gobierno de actualizar la lista de países y territorios que tengan la calificación de paraíso fiscal, una vez publicadas la lista de paraísos fiscales de la UE y de la OCDE. Abierto simplificado Licitación con Negociación Asociación para la Innovación Obligatoria en todos los aspectos del proceso Indemnizaciones. Se prohíben las indemnizaciones por expectativas de mercado no cumplidas, lo que dificultará la asunción de responsabilidades patrimoniales por parte de la Administración ante proyectos fallidos como las radiales o el Proyecto Castor.

36 José Estañ Iniciativas Digitales & ECM Informática El Corte Inglés