Las empresas ante la nueva normativa de Protección de Datos

Transcripción

1 Las empresas ante la nueva normativa de Protección de Datos L FADE - OVIEDO 13 de febrero de 2018 Rafael García Gozalo Jefe del Departamento Internacional Agencia Española de Protección de Datos 1

2 Armonización El Reglamento 2016/679 sustituirá a la Directiva 95/46 Publicado 4 de mayo 2016 Entrada en vigor a los 20 días de publicación 2 años hasta inicio de aplicación Reglamento implica una máxima armonización Aplicación directa, sin necesidad de trasposición Desplaza normas nacionales en materias que regula Regulación de aplicación o desarrollo sólo posible cuando se prevea expresamente 2

3 Armonización En qué se pueden diferenciar los EEMM? Definición de conceptos Determinación de condiciones de tratamiento Ejecución de habilitaciones expresas Aplicación judicial Cómo se limita la diferenciación? Mecanismos de cooperación y coherencia Control Comisión Decisiones TJUE 3

4 Desarrollo en España Futura LOPD (Proyecto de Ley remitido a las Cortes en NOV. 2017) Adapta el derecho español al RGPD Deroga expresamente y reemplaza a la actual LOPD Incluye adaptaciones para la aplicación de los principios del RGPD Regula condiciones de tratamiento en ciertos sectores (archivo, estadística, videovigilancia, solvencia, etc.) Necesaria adaptación de las normas sectoriales que afectan a protección de datos Revisión por cada Departamento de su normativa Actualización al RGPD de las condiciones de tratamiento en determinados sectores a través de estas reformas 4

5 Aplicable a sector público y privado Establece nuevos derechos y reformula derechos ya existentes Establece nuevas obligaciones para las organizaciones que tratan datos personales Establece un enfoque de protección de datos desde el diseño y por defecto Establece régimen sancionador que afecta a todas las organizaciones que tratan datos, salvo que expresamente se excluyan las entidades públicas por decisión nacional 5

6 Principios y legitimación Derechos Medidas de cumplimiento Transferencias Internacionales Régimen sancionador 6

7 Principios Principios se mantienen similares a Directiva, con refuerzo en algunos matices Licitud, lealtad y transparencia Limitación de finalidad Minimización de datos Exactitud Limitación del plazo de conservación Integridad y confidencialidad Responsabilidad proactiva 7

8 Proyecto LOPD y principios Principio de exactitud en el tratamiento (art. 4) No imputabilidad al responsable por la inexactitud de los datos Facilitados por el propio afectado Facilitados por intermediarios legalmente previstos Recibidos como consecuencia del ejercicio del derecho a la portabilidad Principio de confidencialidad (art.5) Regla relativa al deber de secreto similar a la prevista en el artículo 10 LOPD Reconocimiento expreso del carácter complementario y añadido a los deberes de secreto profesional expresamente impuestos al responsable en atención a su profesión o actividad 8

9 Legitimación Art. 6.1 Consentimiento Ejecución de un contrato Cumplimiento de una obligación legal Intereses vitales del interesado o de otra persona física Misión realizada en interés público o en el ejercicio de poderes públicos Satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los interés o los derechos y libertades fundamentales del interesado que requieren la protección de los datos personales, en particular, cuando el interesado sea un niño. 9

10 Legitimación Consentimiento Libre, específico, informado e inequívoco A través de declaraciones o claras acciones afirmativas Salvaguardas en articulado y considerandos Situaciones de desequilibrio claro entre interesado y responsable Consentimiento conjunto necesario para varias operaciones Consentimiento no libre en tratamientos vinculados a ejecución de contrato, incluida prestación de servicio, cuando tratamiento no es necesario para esa ejecución o prestación Consentimiento de menores con autorización 16 años, pudiendo EEMM reducir hasta 13 (Opción PLOPD) Corresponde al responsable demostrar que cuenta con consentimiento 10

11 Legitimación Consentimientos tácitos o por omisión No conformes con RGPD No sería válido persistir en el tratamiento sobre su sola base a partir de 25 de mayo de 2018 (Cdo 171 a sensu contrario) El período transitorio de adaptación de los consentimientos sería el actual Los tratamientos basados en el consentimiento tácito deberán encontrar nueva causa de legitimación Mediante una nueva solicitud del consentimiento Mediante, en su caso, la aplicación de alguna otra causa de legitimación y, en particular, el interés legítimo del responsable Circunstancias de cada tratamiento concreto y, en particular, el origen de los datos, el alcance de la información tratada o la finalidad perseguida. Por ejemplo Envío de comunicaciones comerciales sobre los propios productos o servicios podría ser adecuada a la vista de la Directiva e-privacy y la LSSI Tratamiento de datos que el afectado hubiese hecho manifiestamente públicos 11

12 Interés legítimo Similar a Directiva 95/46 con especial referencia a tratamientos de niños y exclusión en el caso de autoridades públicas Algunas previsiones adicionales del otras normas del Reglamento Incluido en información al interesado Se vincula el ejercicio del derecho de oposición con la cláusula de equilibrio de intereses, invirtiéndose la carga de la prueba Algunos ejemplos de posibles intereses legítimos a valorar según el RGPD Prevención del fraude (si se cumple el principio de minimización) Marketing directo Transmisiones de datos dentro de Grupos empresariales para fines administrativos internos Transmisiones para garantizar la seguridad de las redes PLOPD recoge supuestos en los que se establece una presunción iuris tantum de existencia de un interés legítimo prevalente Vendrían a sustituir a las habilitaciones legales previstas en la LOPD Se complementan con otras habilitaciones que deberán interpretarse del mismo modo 12

13 Legitimación en datos sensibles Reglamento mantiene enfoque europeo clásico Lista cerrada de datos sensibles Prohibición de tratamiento salvo Consentimiento explícito Listado de excepciones Se requiere base legal para tratar datos en excepciones En la lista se incluyen dos nuevos tipos de datos Genéticos (diferenciados de datos de salud ) Datos biométricos dirigidos a identificar unívocamente a una persona física Se prevé expresamente que el registro completo de antecedentes sólo pueda mantenerse bajo control de poderes públicos 13

14 Transparencia y Derechos Lenguaje claro e inteligible (en particular, niños) Obligación de facilitar el ejercicio Respuesta 1 mes (ampliable 2 meses) Formas de ejercicio Posible vía electrónica Gratuidad, salvo solicitudes infundadas o excesivas, donde responsables podrá Exigir un canon Negarse a actuar Uso de iconos (COM) para proporcionar información 14

15 Información Datos obtenidos del interesado En todo caso Identidad y datos de contacto del responsable y, en su caso, de su representante Datos de contacto del DPD Fines del tratamiento y base jurídica Destinatarios o categorías de destinatarios Intención de transferencia internacional y existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas y a los medios para obtener una copia de ellas o al hecho de que se hayan prestado 15

16 Datos obtenidos del interesado Información la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente Plazo de conservación o criterios utilizados para determinarlo Intereses legítimos Existencia de derechos ARCO, de limitación y de portabilidad Derecho a retirar el consentimiento, en su caso Derecho a presentar una reclamación ante una APD Obligatoriedad de proporcionar datos y consecuencias de no hacerlo Existencia de decisiones automatizadas, incluida la elaboración de perfiles, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado 16

17 Información Datos obtenidos del interesado Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2 No será preciso proporcionar la información cuando, y en la medida que, el interesado ya disponga de ella 17

18 Datos no obtenidos del interesado Información Lista es idéntica a datos obtenidos directamente, salvo que se incluyen Categorías de datos Fuentes de que procedan los datos, con mención a si son fuentes de acceso público Momento de la comunicación En un plazo razonable, a más tardar un mes Si se utilizan para comunicar con interesado, al hacer la primera comunicación Si se van a comunicar a otro destinatario, en el momento de primera comunicación 18

19 Información Datos no obtenidos del interesado Tratamientos ulteriores Misma obligación que en datos obtenidos directamente Excepciones a información: Imposibilidad, esfuerzo desproporcionado o, para fines de archivística pública, estadísticos o de investigación científica o histórica, el que se haga imposible u obstaculice gravemente el logro de esos fines. Medidas adicionales de protección, incluida la divulgación pública de la información Obtención o comunicación previstas en Derecho nacional o de la Unión Datos confidenciales sometidos a secreto profesional según Derecho nacional o de la Unión 19

20 Derechos Catálogo tradicional con tres novedades Acceso Rectificación Derecho al borrado y al olvido Limitación del tratamiento Portabilidad Oposición 20

21 Acceso Derecho de derecho de acceso a los datos personales y a la siguiente información Fines del tratamiento Categorías de datos personales de que se trate Destinatarios o categorías de destinatarios Plazo de conservación o, de no ser posible, los criterios utilizados para determinar este plazo Existencia de derechos RCO y limitación Derecho a presentar una reclamación ante una APD Cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen Existencia de decisiones automatizadas, incluida la elaboración de perfiles, la lógica vinculada y sus consecuencias Garantías adecuadas en caso de TI 21

22 Acceso Responsable facilitará copia Copias adicionales sometidas a canon basado en costes Solicitud por medios electrónicos Acceso por los mismos medios, en formato común Posibilidad de ejercicio mediante acceso remoto seguro Responsable debe utilizar todas las medidas razonables para verificar identidad de interesado Derecho de acceso no puede perjudicar derechos de terceros, especialmente derechos de propiedad intelectual (Esta protección no debe conducir a una negativa a proporcionar toda la información) 22

23 Rectificación RGPD se limita a delimitar su naturaleza y alcance Derecho a obtener del responsable del tratamiento la rectificación de los datos personales que le conciernen cuando tales datos resulten inexactos Derecho a que se completen los datos personales cuando estos resulten incompletos, en particular mediante una declaración adicional Obligación de comunicación a los cesionarios de los datos (artículo 19) Salvo imposibilidad o esfuerzo desproporcionado Información al interesado de estos destinatarios, si lo solicita 23

24 Supresión ( olvido ) Derecho del interesado a la supresión y obligación del responsable de suprimir datos cuando Datos ya no son necesarios para los fines Interesado retira su consentimiento Interesado se opone al tratamiento y no prevalecen intereses del responsable Datos personales han sido tratados ilícitamente Datos deben suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros Datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo

25 Supresión ( olvido ) Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos Excepciones a la obligación de suprimir Libertad de expresión e información Obligación legal impuesta en Derecho nacional o UE, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable Razones de interés público en el ámbito de la salud pública 25

26 Limitación de tratamiento (Art. 18) Casos en que existe derecho a solicitar la limitación Mientras se verifica la exactitud de los datos en derecho de rectificación Mientras se verifican circunstancias en derecho de oposición Cuando el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales Cuando el interesado necesite que el responsable conserve los datos para la formulación, el ejercicio o la defensa de reclamaciones Limitación supone que los datos sólo podrán ser tratados para Conservación, Con el consentimiento del interesado, Para el ejercicio o defensa de reclamaciones 26

27 Portabilidad (Art. 20) El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando: a) el tratamiento esté basado en el consentimiento o en un contrato y b) el tratamiento se efectúe por medios automatizados Transmisión directa de responsable a responsable condicionada a que sea técnicamente posible PLOPOD Aplicación a datos facilitados directamente o resultado del funcionamiento, pero no a datos inducidos 27

28 Responsabilidad activa RGPD prevé que los responsables aplicarán las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el presente Reglamento RGPD establece un nuevo enfoque Considera insuficiente no incumplir Hace falta una gestión proactiva y responsable de los tratamientos Incluye medidas dirigidas a prevenir incumplimientos La no aplicación de estas medidas es sancionable 28

29 Responsabilidad activa Tipos de medidas Mantener registro de actividades de tratamiento Medidas de Protección de Datos desde el Diseño Medidas de Protección de Datos por Defecto Aplicar medidas de seguridad adecuadas Llevar a cabo Evaluaciones de Impacto Consultas previas con APD Designación Delegado Protección de Datos (DPD) Notificación de Quiebras de Seguridad Códigos de conducta y esquemas de certificación 29

30 Enfoque de riesgo Medidas aplicables en función del riesgo para los derechos y libertades de los interesados Alto riesgo vs. riesgo estándar El riesgo como criterio de ponderación El análisis de riesgos como requisito previo Herramientas AEPD Facilita Guía de análisis de riesgos Guía de Evaluación de Impacto 30

31 Registro de tratamientos Obligación para responsable y encargado Contenido (responsable) Identificación y datos contacto de responsable, corresponsable, representante y DPO Fines Descripción de categorías de interesados y datos personales Categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales) TID a terceros países u organizaciones internacionales y documentación de garantías para TID exceptuadas sobre base de intereses legítimos imperiosos Cuando sea posible, plazos previstos para supresión de datos Cuando sea posible, descripción general de medidas de seguridad 31

32 Medidas de seguridad Medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta Estado de la técnica y costes de aplicación Naturaleza, alcance, contexto y fines del tratamiento Riesgos para los derechos y libertades de las personas La adhesión a un código de conducta o a un mecanismo de certificación podrá servir de elemento para demostrar el cumplimiento de los requisitos de seguridad 32

33 Evaluación de impacto Deberá realizarse cuando sea probable que el tratamiento previsto presente un alto riesgo para los derechos y libertades de los interesados, entre otros casos, cuando: elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar; tratamiento a gran escala de las categorías especiales de datos observación sistemática a gran escala de una zona de acceso público Las APD deberán establecer listas adicionales de tratamientos de alto riesgo y podrán establecer listas que no requieren EIPD El RGPD prevé un contenido mínimo de la evaluación Como novedad, se prevé que habrá de recabarse cuando proceda la opinión de los interesados 33

34 DPD Deberá existir en responsables y encargados cuando tratamiento se realice por autoridad u organismo público las actividades principales de responsable o encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala las actividades principales de responsable o encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales También habrán de designarlo cuando así lo establezca el derecho de la Unión o de los Estados Miembro PLOPD especifica, no amplía, sectores obligatorios 34

35 DPD Nombramiento basado en Cualidades profesionales Conocimientos especializados del Derecho y la práctica en materia de protección de datos, que deberán evaluarse, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados Capacidad para desempeñar sus funciones Relación laboral o mediante contrato de servicios Podrá desempeñar otras funciones, si no hay conflicto de intereses 35

36 DPD Funciones de asesoramiento y supervisión No podrá recibir ninguna instrucción en lo que respecta al desempeño de dichas funciones No podrá ser destituido ni sancionado por desempeñar sus funciones Rendirá cuentas directamente al más alto nivel jerárquico Podrá ser contactado por interesados y APD Publicación de datos de contacto y comunicación a APD 36

37 Transferencias Internaciones de Datos Se mantiene aproximación europea clásica TID sólo posibles si: Se cumplen disposiciones de RGPD y Hay nivel de protección adecuado, o Se ofrecen garantías suficientes, o Concurre una causa excepcional 37

38 Transferencias Internaciones de Datos Principales novedades Exportador puede ser Responsable y Encargado Transferencias bajo responsabilidad de exportador Se incluyen por primera vez las Normas Corporativas Vinculantes (BCR) Se regulan TID por sentencia o disposición administrativa 38

39 Nivel adecuado de protección Declara la COM (con participación de CEPD) Puede afectar a país, territorio, sector de tratamiento u Organización Internacional Tiene en cuenta normativa, acuerdos internacionales, existencia de Autoridad Independiente y posibilidades de reacción para afectados Decisiones incluirán revisión, al menos cada 4 años Obligación para la COM de monitorizar situación en países adecuados Decisiones vigentes seguirán en vigor hasta que sean modificadas, sustituidas o derogadas por COM 39

40 Instrumentos de garantías Sin necesidad de autorización previa Instrumentos jurídicamente vinculantes y ejecutables entre autoridades u organismos públicos BCR (de responsables y de encargados) Cláusulas contractuales estándar aprobadas por COM Cláusulas contractuales estándar aprobadas por una APD nacional y aceptadas por la COM Códigos de Conducta y Esquemas de Certificación, que incluyan compromisos vinculantes y ejecutables del responsable o encargado en el tercer país para aplicar las salvaguardas apropiadas, incluidos los derechos del interesado 40

41 Instrumentos de garantías Con autorización previa Cláusulas ad hoc autorizadas por APD nacional TID con garantías que no se proporcionen en instrumento jurídicamente vinculante (MoU) Todos estos instrumentos han de contener derechos exigibles y acciones legales efectivas para los interesados Decisiones de APD tomadas sobre Directiva 95/46 siguen siendo válidas hasta que las APD las modifiquen, sustituyan o deroguen 41

42 BCR Han de ser jurídicamente vinculantes y deben aplicarse y ser cumplidas por todos los miembros del grupo empresarial o unión de empresas Han de conferir expresamente derechos exigibles a los interesados en relación con el tratamiento de sus datos personales, Han de incluir contenidos mínimo indicado en RGPD TI o conjuntos de TI incluidas, tipos de tratamientos, finalidades, interesados afectados Aplicación de los principios generales en materia de protección de datos, incluidos bases legales, calidad, periodos de retención Medidas de seguridad Derechos de los interesados y medios para ejercerlos Derecho a presentar una reclamación ante la autoridad de control competente y ante los tribunales competentes de los Estados miembros y a obtener una reparación Funciones de los DPD Mecanismos internos de supervisión 42

43 Excepciones Clásicas Consentimiento, interés público legalmente reconocido, relación contractual, registros Novedad (Art Segundo párrafo) Excepción cuando no sea aplicable ninguna otra opción Transferencias basadas en interés legítimo imperioso del responsable no repetitivas y que afecten a un número limitado de interesados Necesidad de ponderar derechos e intereses, evaluar riesgos y aportar garantías Necesidad de documentar evaluación y garantías Necesidad de informar a interesados y a APD 43

44 Modelo de supervisión Medidas correctivas que pueden adoptar APD Acordar una advertencia cuando las operaciones de tratamiento previstas puedan infringir el RGPD Acordar un apercibimiento cuando las operaciones de tratamiento hayan infringido el RGPD Ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del RGPD Ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del RGPD, cuando proceda, de una determinada manera y dentro de un plazo especificado Ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales / 44

45 Medidas correctivas APD Medidas correctivas que pueden adoptar APD Imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición Ordenar la rectificación o supresión de datos personales o la limitación de tratamiento Retirar una certificación u ordenar al organismo de certificación que retire una certificación, u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación Imponer una multa administrativa, además o en lugar de las otras medidas correctivas, según las circunstancias de cada caso particular Ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional 45

46 Multas Cantidad deberá modularse atendiendo a circunstancias del caso Aplicables a responsables y encargados Esquema básico de infracciones y sanciones Multa hasta 10 M o para empresas, optándose por la de mayor cuantía, hasta el 2 % de volumen de negocio anual a nivel mundial Obligaciones de responsable o encargado Obligaciones de organismos de certificación Obligaciones de organismos de supervisión de códigos de conducta Multa hasta 20 M o hasta el 4% Principios básicos Derechos Transferencias internacionales Incumplimiento de resoluciones de APD 46

47 Modelo de supervisión Aspectos positivos Potestad sancionadora armonizada para APD Insuficiente claridad y precisión Definición de infracciones Cuantía de sanciones Naturaleza de las otras medidas correctivas (apercibimientos, amonestaciones, ) Prescripción Positiva la posibilidad de adecuar sanciones al tamaño de la empresa, pero Dudas sobre criterios para fijar límites máximos Dudas sobre clasificación de infracciones 47

48 Muchas gracias por su atención! es 48

49 49