SEGURIDAD COMO ELEMENTO GENERADOR DE CONFIANZA

Documentos relacionados
Reglamento Europeo de Protección de Datos: hacia un nuevo modelo europeo de privacidad Madrid, 17 de octubre de 2018

Dr. José Luis Piñar Mañas. Profesor de Derecho Administrativo Abogado

SECURE & IT Reglamento Europeo de Protección de Datos: hacia un nuevo modelo europeo de privacidad

Temario del curso online de Protección de Datos de Carácter Personal (Adaptado al RGPD de la UE)

La seguridad jurídica online

REGLAMENTO 2016/679 GENERAL DE PROTECCIÓN DE DATOS

PROGRAMA/TEMARIO DEL ESQUEMA CONTENIDO

CAMBIOS EN LA REGULACIÓN DE PROTECCIÓN DE DATOS

EL NUEVO REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD)

CURSO DE ESPECIALIZACIÓN EN PROTECCIÓN DE DATOS

Obligaciones de responsables y encargados. Rafael García Gozalo Jefe del Departamento Internacional

Andrés Calvo Medina Unidad de Evaluación y Estudios Tecnológicos. Agencia Española de Protección de Datos

Las 10 claves del Reglamento general de protección de datos

Precio Colectivos: 15 /Unidad IVA + Gastos de envío incluidos

Guía del Curso Nueva Normativa Europea sobre Protección de Datos

REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS y Proyecto LOPD

General Data Protection Regulation

Novedades Legislativas en materia de. Protección de Datos. Reglamento de Protección de Datos UE 2016/679

El nuevo Reglamento Europeo de Protección de Datos General Data Protection Regulation (GDPR) ya ha entrado en vigor.

El nuevo Reglamento Europeo de Protección de Datos

POLÍTICA DE PRIVACIDAD DEL SITIO WEB. I. POLITICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS

Reglamento General de Protección de Datos

REGLAMENTO (UE) 2016/679 - Principales novedades

RESPONSABILIDAD LEGAL DE LAS EMPRESAS ANTE EL NUEVO REGLAMENTO EUROPEO

LA LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS. RETOS Y ALCANCES

Nuevo marco europeo de protección de datos:

REGISTRO DE ACTIVIDADES DE TRATAMIENTO. Manuel Villaseca DPD- AEPD

El Reglamento General de Protección de Datos Personales de la UE (II)

CURSO UNIVERSITARIO DE ESPECIALIZACIÓN EN DELEGADO EN PROTECCION DE DATOS (DPD) EN MADRID

LOPD Y NUEVO REGLAMENTO UE 2016/679

una nueva regulación?

QUÉ ES UN DPO? QUÉ HACE?

ENTENDER EL NUEVO MARCO LEGAL. Fernando Cuatrecasas 14 de Febrero de 2018

Novedades legislativas en Protección de Datos: Estás preparado para adaptarte al Reglamento General de Protección de Datos?

DIRECTIVA (UE) DE PROTECCIÓN DE DATOS

Implicaciones del nuevo Reglamento Europeo de Protección de

MEDIAS DE SEGURIDAD EN EL NUEVO RGPD.

Política de Privacidad

IMPLANTACIÓN NUEVO REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS. Documento propiedad de BUFETE ESCURA Tel.

Eduard Chaveli Especialista en Privacidad. Marta Villanueva Directora General

Resumen de novedades del nuevo Reglamento general de protección de datos. RESUMEN DE NOVEDADES.

Reflexiones sobre el Reglamento Europeo de Protección de Datos, nuevos conceptos y obligaciones

Política de Privacidad

Formación para Delegado de Protección de Datos

REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS

ORIENTACIONES DEL GT29 EN RELACIÓN CON EL RGPD EL PAPEL DEL COMITÉ EUROPEO DE PROTECCIÓN DE DATOS

POLÍTICA DE PRIVACIDAD

Curso Superior de Delegado de Protección de Datos. 2ª Edición

Programa Superior DPD/DPO Recomendado para profesionales sin experiencia o inferior a dos años en la materia

LEY DE PROTECCIÓN DE DATOS PERSONALES - LOPD/RGPD

CONTRATO DE ENCARGADO DEL TRATAMIENTO DE DATOS POR CUENTA DE LA UNIVERSIDAD DE OVIEDO (ARTÍCULO 28 RGPD)

Polı tica De Privacidad

El nuevo Reglamento Europeo de Protección de Datos: una aproximación a la conformidad legal

EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

LOPD y NUEVO REGLAMENTO UE 2016/679

MANUAL BÁSICO PARA ADAPTARSE A LA LEY DE PROTECCIÓN DE DATOS EUROPEA

Cláusula informativa. Formulario de contacto

POLÍTICA DE PROTECCIÓN DE DATOS

NOTA INFORMATIVA SOBRE OBLIGACIONES EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES TRAS LA ENTRADA EN VIGOR DEL REGLAMENTO (UE) 2016/679

POLITICA DE PRIVACIDAD. Información relativa al tratamiento de los datos personales

La Ley Orgánica 4/1997 regula en sus artículos 5 los supuestos en que es posible la utilización de cámaras móviles estableciendo lo siguiente:

Adecuación al. Reglamento Europeo de Protección de Datos PLAN DE ACCIÓN (MARZO 2017-MAYO 2018) CSAI (SGTIC) MINISTERIO DE EMPLEO Y SEGURIDAD SOCIAL

HHH Guía del Reglamento General de Protección de Datos para responsables de tratamiento HHH INTRODUCCIÓN. El principio de responsabilidad proactiva

F.C. Obra Diocesana Santo Domingo de Silos Política de Privacidad

15/10/2016. Emprendiendo con seguridad. Los cambios más significativos de la futura regulación europea. RGPD. José Manuel Mulero Fernández

Novedades legislativas en Protección de Datos: Estás preparado para adaptarte al Reglamento General de Protección de Datos?

ANÁLISIS DE RIESGOS EVALUACIÓN IMPACTO BRECHAS DE SEGURIDAD. Andrés Calvo y Charo Heras Unidad de Evaluación y Estudios Tecnológicos

Adaptación de las AAPP al RGPD ADAPTACIÓN AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

Reglamento General de Protección de Datos (GDPR)

POLÍTICA DE PRIVACIDAD

El nuevo Reglamento Europeo de Protección de Datos

C. Mallorca Barcelona Tel

MODELO DE INFORMACIÓN POR CAPAS O NIVELES

Modificaciones Nuevo Reglamento de Protección de Datos Doc nº: APW_00003 rev. 0

EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Y EL SECTOR ASEGURADOR

Nuevas normas en materia de protección de datos - Reglamento Europeo de protección de datos

El Reglamento de Protección de Datos. Aspectos generales

CIRCULAR INFORMATIVA SOBRE EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS (RGPD) De la LOPD al RGPD, una transición obligada

Protocolo de privacidad y Protección de Datos (V018.1) RGPD.

PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DE LOS INTERESADOS

PACK FORMATIVO EN PROTECCIÓN DE DATOS 4 X 1

INFORMACIÓN DEL TRATAMIENTO DE DATOS PERSONALES. Art. 13 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo

RGPD, DPO, ENS y ANY Como encaja todo

LAS OBLIGACIONES INTRODUCIDAS POR EL NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

aplicación práctica de la ley de protección de datos personales

Trabajamos para hacer su trabajo más fácil. Luis Miguel Castro Socio de AlcaTic y experto en software de gestión SAGE

El encargado del tratamiento en el Reglamento General de Protección de Datos (RGPD)

Manuel Soler Hernandez Jefe del Servicio de Organizacion e Informacion

REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS. GRUPO FORMAPRIME Presentación para asociados de ACADE

CONTRATO DE ENCARGO DE TRATAMIENTO CON ACCESO A DATOS DE CARÁCTER PERSONAL

PROTECCIÓN DE DATOS. SIGNIFICADO

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos

1 La protección de datos de carácter personal 2 Funciones del Responsable de Seguridad 3 El nuevo Reglamento de Protección de Datos

Aproximación legal al RGPD

POLÍTICA DE PRIVACIDAD

Transcripción:

FORO DE LA SEGURIDAD La seguridad de la información en el Reglamento Europeo de Protección de Datos LA SEGURIDAD COMO ELEMENTO GENERADOR DE CONFIANZA Barcelona, 22 de noviembre de 2016 José Luis Piñar Mañas Abogado. Catedrático de Derecho Administrativo Director del Master de Protección de Datos y transparencia. Universidad CEU San Pablo 1

1. DE LA DIRECTIVA AL REGLAMENTO 2. HACIA UN NUEVO MODELO EUROPEO DE PROTECCIÓN DE DATOS: GOBIERNO RESPONSABLE DE LA INFORMACION. GESTIÓN DEL RIESGO Y SEGURIDAD DE LA INFORMACIÓN. 3. LA ADECUACIÓN DE LA NORMATIVA ESPAÑOLA AL RGPD 2

DE LA DIRECTIVA 95/46/CE AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE: Reglamento general de protección de datos. 3

Aplicable dos años después (artículo 99): 25 de mayo de 2018 Los Reglamentos de la Unión Europea tienen un alcance general y son obligatorios en todos sus elementos y directamente aplicables en cada Estado miembro (art. 288 del Tratado de Funcionamiento de la Unión Europea, versión consolidada de 2010) Principio de Lealtad comunitaria (no adoptar medidas que puedan ser contrarias a la efectividad del Reglamento) 4

RELACIÓN ENTRE EL REGLAMENTO Y LAS LEGISLACIONES NACIONALES DE PROTECCIÓN DE DATOS EFECTOS DEL REGLAMENTO SOBRE LA LOPD Art. 2.2.a): el Reglamento no se aplica al tratamiento de datos en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión Considerando 8 COMISION GENERAL DE CODIFICACIÓN AEPD 5

DIRECTIVA 72 considerandos; 34 artículos I. Disposiciones generales II. Condiciones generales para la licitud del tratamiento de datos personales. III. Recursos judiciales, responsabilidad, sanciones IV. Transferencia de datos personales a países terceros V. Códigos de Conducta VI. Autoridad de control y grupo de protección de las personas en lo que respecta al tratamiento de datos personales. 6

REGLAMENTO 173 considerandos; 99 artículos I. DISPOSICIONES GENERALES II. PRINCIPIOS III. DERECHOS DEL INTERESADO IV. RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO V. TRANSFERENCIAS DE DATOS PERSONALES A TERCEROS PAISES U ORGANIZACIONES INTERNACIONALES VI. AUTORIDADES DE CONTROL INDEPENDIENTES VII. COOPERACIÓN Y COHERENCIA VIII. RECURSOS, RESPONSABILIDAD Y SANCIONES IX. DISPOSICIONES RELATIVAS A SITUACIONES ESPECIFICAS DE TRATAMIENTO X. ACTOS DELEGADOS Y ACTOS DE EJECUCIÓN XI. DISPOSICIONES FINALES 7

I. DISPOSICIONES GENERALES OBJETO El Reglamento protege el derecho a la protección de datos y garantiza la libre circulación de datos en la Unión (art. 1). APLICACIÓN MATERIAL Art. 2 APLICACIÓN TERRITORIAL Art. 3. Considerandos 22 a 25. Ver art. 27 HACIA UNA CONFIANZA GLOBAL EN MATERIA DE SEGURIDAD. DEFINICIONES Art. 4 12) «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos; 8

II. PRINCIPIOS Principios relativos al tratamiento (art. 5) Licitud, lealtad, transparencia; Limitación de finalidad; Minimización de datos; Exactitud; Limitación del plazo de conservación Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»). Responsabilidad proactiva Licitud del tratamiento (art. 6) Condiciones para el consentimiento (Considerando 32; art. 7), definición (art. 4.11) Consentimiento del niño en servicios de la sociedad de la información (art. 8) Tratamientos de categorías especiales de datos (art. 9) Tratamiento de datos relativos a condenas e infracciones penales (art. 10): garantías adecuadas; control de las autoridades públicas. 9

NUEVO MODELO DE PRIVACIDAD De la gestión de los datos al gobierno responsable de la información. Protección de datos más allá del territorio UE Aproximación a la protección de datos basada en el riesgo Responsabilidad proactiva(art. 24) Privacidad desde el diseño (art. 25) Privacidad por defecto (art. 25) Registro de las actividades de tratamiento (art. 30) Nuevo modelo de seguridad (arts. 32 34) 10

NUEVO MODELO DE PRIVACIDAD Evaluación de impacto a la protección de datos (art. 35) Delegado de protección de datos (arts. 37 39) Autorregulación y certificación (arts. 40 43) Fortalecimiento de la posición de los titulares de los datos Consentimiento (arts. 4 y 6 8) Nuevos derechos (olvido art. 17, portabilidad art. 20 ) Derecho a indemnización (art. 82) Fortalecimiento de las autoridades de protección de datos. Modelo sancionador más severo 11

Responsabilidad (art. 24) 1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario. 2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos. 3. La adhesión a códigos de conducta o a un mecanismo de certificación podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento. 12

Privacidad desde el diseño Art. 25.1 El responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. 13

Privacidad por defecto Art. 25.2 El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas. 14

III. DERECHOS DEL INTERESADO (de ARCO a ARSLPO) Ejercicio manifiestamente infundado o excesivo (art. 12.5). Transparencia (información). Art. 12, 13 y 14 (incluido información sobre plazo de conservación) Acceso (art. 15) (incluidas las garantías en caso de transferencias; derecho a obtener una copia: art. 15.3) Rectificación (art. 16) Supresión (art. 17) Limitación del tratamiento (art. 18) Obligación de notificación (art. 19). Derecho a la portabilidad (art. 20) Derecho de oposición (art. 21) Decisiones individualizadas (art. 22) 15

Derecho de supresión (Derecho al olvido) art. 17 Sin dilación indebida; ante el responsable (STJUE 13 5 2014) Circunstancias en las que se tiene derecho al olvido El editor debe informar a los buscadores. Excepciones Art. 85 del Reglamento 16

Derecho a la portabilidad (art. 20) 1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando: a) el tratamiento esté basado en el consentimiento o en un contrato, y b) el tratamiento se efectúe por medios automatizados. 2. Al ejercer su derecho a la portabilidad de los datos el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible. 17

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO Corresponsables del tratamiento (art. 26). Representantes de responsables o encargados no establecidos en la Unión (art. 27). Encargado del tratamiento (art. 28) Contrato Subencargados 18

REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO Art. 30 Del responsable Del encargado Por escrito A disposición de la Autoridad de Control No es obligatorio para ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales 19

SEGURIDAD DE LOS DATOS (Arts. 32 34) 1. Medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (art. 32). Entre otras: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. 20

SEGURIDAD DE LOS DATOS (Arts. 32 34) 2.Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. 3.La adhesión a un código de conducta o a un mecanismo de certificación podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo. 4.El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros. 21

NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD Notificación de violaciones de seguridad a la autoridad de control (art. 33) En todo caso. Sin dilación: a ser posible, antes de 72 horas El encargado debe notificar al responsable (art. 33.2) Notificación de violaciones de seguridad al interesado (art. 34) Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas Excepciones (34.3) 22

EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS Art. 35 Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Asesoramiento del DPO Supuestos en los que es obligatoria Contenido mínimo Valor de los códigos de conducta 23

CONSULTA PREVIA Art. 36 El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo. Consulta a las Autoridades en los procesos normativos Los Estados miembros podrán obligar a los responsables del tratamiento a consultar a la autoridad de control y a recabar su autorización previa en relación con el tratamiento por un responsable en el ejercicio de una misión realizada en interés público, en particular el tratamiento en relación con la protección social y la salud pública. 24

DELEGADO DE PROTECCIÓN DE DATOS Arts. 37 39 El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales Delegados de grupos empresariales, autoridades públicas u organismos públicos 25

DELEGADO DE PROTECCIÓN DE DATOS Supuestos en los que es posible (u obligatorio) su nombramiento (art. 37). Régimen (art. 37) Posición (art. 38) Funciones (art. 39) 26

CODIGOS DE CONDUCTA (arts. 40 41) Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del Reglamento, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas. Las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento podrán elaborar códigos de conducta o modificar o ampliar dichos códigos con objeto de especificar la aplicación del Reglamento 27

CODIGOS DE CONDUCTA Régimen Contenido Alcance Supervisión: Autoridad de control Organismo acreditado por la autoridad de control (régimen de la acreditación: art. 41) 28

CERTIFICACIÓN (arts. 42 43) Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el Reglamento en las operaciones de tratamiento de los responsables y los encargados. Se tendrán en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas. Voluntaria Máximo tres años Organismo de certificación Debe estar acreditado Régimen 29

TRANSFERENCIAS DE DATOS PERSONALES A TERCEROS PAISES U ORGANIZACIONES INTERNACIONALES (Arts. 44 50) 30

RECURSOS, RESPONSABILIDAD Y SANCIONES (arts. 77 a 84) Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el Reglamento (art. 77). Las acciones contra un responsable o encargado del tratamiento deberán ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento. Alternativamente, tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos (art. 79.2). 31

DERECHO A INDEMNIZACIÓN Y RESPONSABILIDAD (art. 82) Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. 32

REGIMEN SANCIONADOR Poderes correctivos de las autoridades de control (art. 58.2) Multas: Circunstancias concurrentes (art. 83.2 y 3) Cuantía de las multas (art. 83.4, 5 y 6) Hasta 10.000.000 o, tratándose de empresas, hasta 2% volumen de negocio total anual global Hasta 20.000.000 o, tratándose de empresas, 4 % volumen de negocio total anual global Posible multa a las AAPP (art. 83.7): decisión de cada Estado 33

ADAPTACIÓN DE LA LEGISLACIÓN ESPAÑOLA AL RGPD 25 de mayo de 2018 34

MULTIPLES PROBLEMAS DE INTERPRETACIÓN Y APLICACIÓN Aplicación territorial Licitud del tratamiento: Consentimiento explícito (marketing directo; videovigilancia;..). No se prevé la legitimación legal (hoy, arts. 6 y 11 LOPD. fuentes accesibles al público? Ficheros de solvencia?). Interés legítimo Consentimiento de los menores 35

MULTIPLES PROBLEMAS DE INTERPRETACIÓN Y APLICACIÓN Derechos de los afectados Información Olvido Portabilidad Registro de actividades del tratamiento Medidas de seguridad ( RD 1720/2007? Estándares internacionales?) Régimen de las notificaciones de seguridad ( autoinculpación?) 36

MULTIPLES PROBLEMAS DE INTERPRETACIÓN Y APLICACIÓN Certificación Delegado de Protección de datos Transferencias internacionales Régimen sancionador One stop shop Tipificación de infracciones y sanciones Plazos de prescripción Derecho a indemnización 37

MULTIPLES PROBLEMAS DE INTERPRETACIÓN Y APLICACIÓN Situaciones específicas de tratamiento Libertad de expresión y protección de datos ( necesidad de una le de conciliación de ambos derechos?: art. 85). Tratamiento en el ámbito laboral (disposiciones legales o convenios colectivos: art. 88) Investigación científica (anonimización; datos de salud ) Ficheros de solvencia; publicidad y prospección comercial? 38

MULTIPLES PROBLEMAS DE INTERPRETACIÓN Y APLICACIÓN Adecuación de otras normas nacionales: Ley de Servicios de la Sociedad de la Información Ley General de Telecomunicaciones Ley de Autonomía del paciente. Regulación de los Registros. Incidencia de otras normas comunitarias. P. ej. Directiva (UE) 2016/1148, de 6 de julio de 2016, sobre seguridad de las redes y sistemas de información (Directiva NIS) 39

MUCHAS GRACIAS jlpinar@pmasociados.com jlpinarm@gmail.com jlpinar@ceu.es José Luis Piñar Mañas. Permitida la cita indicando la fuente 40

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback