EL ESTADO Y SUS ELEMENTOS. CONCEPTO DE ESTADO Y DESCRIPCION DE SUS ELEMENTOS
Reglamento General de Protección de Datos
1. R E G L A M E N T O D E P R O T E C C I Ó N
D E D AT O S
¿ C U A L E S S O N L A S I M P L I C A C I O N E S
L E G A L E S Y O P E R A T I VA S PA R A L A S
E M P R E S A Y L A S I N S T I T U C I O N E S ?
M A R T I N A F. F E R R A C A N E
P H D S T U D E N T @ H A M B U R G U N I V E R S I T Y
F E L L O W @ C O L U M B I A U N I V E R S I T Y, U C D A V I S & E U R O P E A N U N I V E R S I T Y I N S T I T U T E
U N I V E R S I TA T D E VA L È N C I A - 1 7 . 0 5 . 2 0 1 8
3. O U T L I N E
1. C O N T E X T O
2. D E F I N I C I O N E S
3. L O S C A M B I O S M Á S S I G N I F I C A T I V O S
4. I M P L I C A C I O N E S PA R A L A I N V E S T I G A C I Ó N
5. C O N C L U S I O N E S
4. O U T L I N E
1. C O N T E X T O
2. D E F I N I C I O N E S
3. L O S C A M B I O S M Á S S I G N I F I C A T I V O S
4. I M P L I C A C I O N E S PA R A L A I N V E S T I G A C I Ó N
5. C O N C L U S I O N E S
5. C O N T E X T O
- NUEVOS ADVANCES TECNOLOGICOS
- TRATADO DE LISBOA
6. C O N T E X T O
- NUEVOS ADVANCES TECNOLOGICOS
- TRATADO DE LISBOA
- REVELACIONES DE SNOWDEN
- SCHREMS
- GOOGLE-SPAIN
- DIGITAL RIGHTS IRELAND
7. O U T L I N E
1. C O N T E X T O
2. D E F I N I C I O N E S
3. L O S C A M B I O S M Á S S I G N I F I C A T I V O S
4. I M P L I C A C I O N E S PA R A L A I N V E S T I G A C I Ó N
5. C O N C L U S I O N E S
8. D E F I N I C I O N E S
- DIRECTIVA vs REGLAMENTO
- INTERESADO & DATOS PERSONALES (Art. 4, Con. 26 y 30)
“Toda información sobre una persona física identificada o
identificable («el interesado»);
9. D E F I N I C I O N E S
“Toda información sobre una persona física identificada o
identificable («el interesado»); se considerará persona física
identificable toda persona cuya identidad pueda determinarse,
directa o indirectamente, en particular mediante un identificador,
como por ejemplo un nombre, un número de identificación, datos de
localización, un identificador en línea o uno o varios elementos
propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona” (Art. 4)
- DIRECTIVA vs REGLAMENTO
- INTERESADO & DATOS PERSONALES (Art. 4, Con. 26 y 30)
10. D E F I N I C I O N E S
“Toda información sobre una persona física identificada o
identificable («el interesado»); se considerará persona física
identificable toda persona cuya identidad pueda determinarse,
directa o indirectamente, en particular mediante un identificador,
como por ejemplo un nombre, un número de identificación, datos
de localización, un identificador en línea o uno o varios elementos
propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona” (Art. 4)
- DIRECTIVA vs REGLAMENTO
- INTERESADO & DATOS PERSONALES (Art. 4, Con. 26 y 30)
11. D E F I N I C I O N E S
“Los datos personales seudonimizados, que cabría atribuir a una
persona física mediante la utilización de información adicional,
deben considerarse información sobre una persona física
identificable.” (Considerando 26)
“Los principios de protección de datos no deben aplicarse a la
información anónima, es decir información que no guarda relación
con una persona física identificada o identificable, ni a los datos
convertidos en anónimos de forma que el interesado no sea
identificable, o deje de serlo.“ (Considerando 26)
- DIRECTIVA vs REGLAMENTO
- INTERESADO & DATOS PERSONALES (Art. 4, Con. 26 y 30)
12. D E F I N I C I O N E S
- DIRECTIVA vs REGLAMENTO
- INTERESADO & DATOS PERSONALES (Art. 4, Con. 26 y 30)
- RESPONSABLE DEL TRATAMIENTO (Art. 4.7)
“La persona física o jurídica, autoridad pública, servicio u otro
organismo que, solo o junto con otros, determine los fines y medios
del tratamiento (…)"
13. D E F I N I C I O N E S
- DIRECTIVA vs REGLAMENTO
- INTERESADO & DATOS PERSONALES (Art. 4, Con. 26 y 30)
- RESPONSABLE DEL TRATAMIENTO (Art. 4.7)
- ENCARGADO DEL TRATAMIENTO (Art. 4.8)
“La persona física o jurídica, autoridad pública, servicio u otro
organismo que trate datos personales por cuenta del responsable
del tratamiento”.
14. O U T L I N E
1. C O N T E X T O
2. D E F I N I C I O N E S
3. L O S C A M B I O S M Á S S I G N I F I C A T I V O S
4. I M P L I C A C I O N E S PA R A L A I N V E S T I G A C I Ó N
5. C O N C L U S I O N E S
15. Á M B I T O T E R R I T O R I A L D E A P L I C A C I Ó N ( A R T. 3 )
Tratamiento de datos personales en el contexto de las actividades de un
establecimiento del responsable o del encargado en la Unión,
independientemente de que el tratamiento tenga lugar en la Unión o no
Tratamiento de datos personales de interesados que residan en la
Unión por parte de un responsable o encargado no establecido en la
Unión, cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión,
independientemente de si a estos se les requiere su pago, o
b) el control de su comportamiento, en la medida en que este
tenga lugar en la Unión
16. - PRINCIPIO DE LICITUD, LEALTAD Y TRANSPARENCIA
- PRINCIPIO DE LIMITACIÓN DE LA FINALIDAD
- PRINCIPIO DE MINIMIZACIÓN DE DATOS
- PRINCIPIO DE EXACTITUD
- PRINCIPIO DE LIMITACIÓN DEL PLAZO DE CONSERVACIÓN
- PRINCIPIO DE INTEGRIDAD Y CONFIDENCIALIDAD
- PRINCIPIO DE RESPONSABILIDAD PROACTIVA
P R I N C I P I O S R E L A T I V O S A L T R A TA M I E N T O
( A R T. 5 )
17. - CONSENTIMIENTO DEL INTERESADO
- NECESARIO PARA LA EJECUCIÓN DE UN CONTRATO
- NECESARIO PARA EL CUMPLIMIENTO DE UNA OBLIGACIÓN
LEGAL
- INTERESES LEGÍTIMOS PERSEGUIDOS POR
EL RESPONSABLE DEL TRATAMIENTO
- NECESARIO PARA PROTEGER INTERESES VITALES DEL
INTERESADO O DE OTRA PERSONA FÍSICA
- INTERÉS PÚBLICO
- (…)
L I C I T U D D E L T R A TA M I E N T O ( A R T. 6 )
18. - SIGUE SIENDO UNA DE LAS CONDICIONES PARA LA LICITUD
DEL TRATAMIENTO (ART. 6 (1))
- NATURALEZA DEL CONSENTIMIENTO ESTÁ MÁS RESTRINGIDA
(ART. 4 (11), ART. 7)
“ «Consentimiento del interesado»: toda manifestación de voluntad
libre, específica, informada e inequívoca por la que el interesado
acepta, ya sea mediante una declaración o una clara acción
afirmativa, el tratamiento de datos personales que le conciernen”
ART. 4 (11))
C O N S E N T I M I E N T O
19. - SIGUE SIENDO UNA DE LAS CONDICIONES PARA LA LICITUD
DEL TRATAMIENTO (ART. 6 (1))
- NATURALEZA DEL CONSENTIMIENTO ESTÁ MÁS RESTRINGIDA
(ART. 4 (11), ART. 7)
- LIBREMENTE PRESTADO (CONSIDERANDO 42 Y 43)
C O N S E N T I M I E N T O
“(42) El consentimiento no debe considerarse libremente prestado
cuando el interesado no goza de verdadera o libre elección o no puede
denegar o retirar su consentimiento sin sufrir perjuicio alguno.”
20. - SIGUE SIENDO UNA DE LAS CONDICIONES PARA LA LICITUD
DEL TRATAMIENTO (ART. 6 (1))
- NATURALEZA DEL CONSENTIMIENTO ESTÁ MÁS RESTRINGIDA
(ART. 4 (11), ART. 7)
- LIBREMENTE PRESTADO (CONSIDERANDO 42 Y 43)
“CONSIDERANDO (43) Se presume que el consentimiento no se ha
dado libremente cuando no permita autorizar por separado las
distintas operaciones de tratamiento de datos personales pese a ser
adecuado en el caso concreto (…)”
C O N S E N T I M I E N T O
21. - SIGUE SIENDO UNA DE LAS CONDICIONES PARA LA LICITUD
DEL TRATAMIENTO (ART. 6 (1))
- NATURALEZA DEL CONSENTIMIENTO ESTÁ MÁS RESTRINGIDA
(ART. 4 (11), ART. 7)
- LIBREMENTE PRESTADO (CONSIDERANDO 42 Y 43)
“(43) Para garantizar que el consentimiento se haya dado libremente,
este no debe constituir un fundamento jurídico válido para el
tratamiento de datos de carácter personal en un caso concreto en el que
exista un desequilibro claro entre el interesado y el responsable del
tratamiento, en particular cuando dicho responsable sea una autoridad
pública (…)”
C O N S E N T I M I E N T O
22. - SIGUE SIENDO UNA DE LAS CONDICIONES PARA LA LICITUD
DEL TRATAMIENTO (ART. 6 (1))
- NATURALEZA DEL CONSENTIMIENTO ESTÁ MÁS RESTRINGIDA
(ART. 4 (11), ART. 7)
- LIBREMENTE PRESTADO (CONSIDERANDO 42 Y 43)
- INFORMADO (CONSIDERANDO 42)
C O N S E N T I M I E N T O
“ (…) debe proporcionarse un modelo de declaración de consentimiento (…)
con una formulación inteligible y de fácil acceso que emplee un lenguaje
claro y sencillo, y que no contenga cláusulas abusivas.”
23. “Quedan prohibidos el tratamiento de datos personales que revelen el
origen étnico o racial, las opiniones políticas, las convicciones religiosas o
filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos,
datos biométricos dirigidos a identificar de manera unívoca a una persona
física, datos relativos a la salud o datos relativos a la vida sexual o las
orientación sexuales de una persona física.”
T R A TA M I E N T O D E C A T E G O R Í A S E S P E C I A L E S
D E D A T O S P E R S O N A L E S ( A R T. 9 )
24. T R A TA M I E N T O D E C A T E G O R Í A S E S P E C I A L E S
D E D A T O S P E R S O N A L E S ( A R T. 9 )
EXCEPCIONES:
- CONSENTIMIENTO EXPLÍCITO
- DERECHO LABORAL Y PROTECCIÓN SOCIAL
- NECESARIO PARA PROTEGER INTERESES VITALES DEL INTERESADO
- DATOS PÚBLICOS
- SALUD PÚBLICA
- ARCHIVO EN INTERÉS PÚBLICO
- (…)
25. —> EXPANDIDO:
- El plazo previsto de conservación de los datos personales o, de no ser
posible, los criterios utilizados para determinar este plazo;
- La existencia del derecho a solicitar del responsable la rectificación o
supresión de datos personales o la limitación del tratamiento de datos
personales relativos al interesado, o a oponerse a dicho tratamiento;
- El derecho a presentar una reclamación ante una autoridad de control;
- Cuando los datos personales no se hayan obtenido del interesado, cualquier
información disponible sobre su origen;
- La existencia de decisiones automatizadas, incluida la elaboración de
perfiles, y información significativa sobre la lógica aplicada, así como la
importancia y las consecuencias previstas de dicho tratamiento para el
interesado.
D E R E C H O D E A C C E S O D E L I N T E R E S A D O ( A R T. 1 5 )
26. “El interesado tendrá derecho a
oponerse en cualquier momento (…) a
que datos personales que le
conciernan sean objeto de un
tratamiento (…). El responsable del
tratamiento dejará de tratar los datos
personales, salvo que acredite
motivos legítimos imperiosos para el
tratamiento que prevalezcan sobre los
intereses, los derechos y las libertades
del interesado, o para la formulación,
el ejercicio o la defensa de
reclamaciones. “
D E R E C H O D E O P O S I C I Ó N ( A R T. 2 1 )
27. “Todo interesado tendrá derecho a no ser objeto de una decisión
basada únicamente en el tratamiento automatizado, incluida la
elaboración de perfiles, que produzca efectos jurídicos en él o le
afecte significativamente de modo similar. (…)”
D E C I S I O N E S I N D I V I D U A L E S A U T O M A T I Z A D A S
( A R T. 2 2 )
28. D E R E C H O D E E X P L I C A C I Ó N ( ? )
A R T. 1 3 , 1 5 , 2 1 Y 2 2 , C O N S I D E R A N D O 7 1
Considerando 71: “(…) Dicho tratamiento debe estar sujeto a las
garantías apropiadas, entre las que se deben incluir la información
específica al interesado y el derecho a obtener intervención humana, a
expresar su punto de vista, a recibir una explicación de la decisión
tomada después de tal evaluación y a impugnar la decisión (…)”
—> IMPLICACIONES PARA AI
- HAY UN DERECHO A LA EXPLICACIÓN?
29.
30. - CONSIDERABLEMENTE EXPANDIDO
“El interesado tendrá derecho a obtener sin dilación indebida del
responsable del tratamiento la supresión de los datos personales que le
conciernan (…) cuando (…):
- los datos personales ya no sean necesarios (…)
- el interesado retire el consentimiento (…)
- el interesado se oponga al tratamiento (…)
- (…)”
- ALGUNAS EXCEPCIONES: la libertad de expresión e información;
cumplimiento de una obligación legal; interés público o en el ejercicio de
poderes públicos; salud pública; archivo en interés público, fines de
investigación científica o histórica o fines estadísticos, (…)
D E R E C H O A L O LV I D O ( A R T. 1 7 )
31. P R O T E C C I Ó N D E D A T O S D E S D E E L D I S E Ñ O Y
P O R D E F E C T O ( A R T. 2 5 )
Medidas técnicas y
organizativas apropiadas
concebidas para aplicar de
forma efectiva los
principios de protección
de datos e integrar las
garantías necesarias en el
tratamiento de datos +
garantizar que solo sean
objeto de tratamiento los
datos personales que sean
necesarios.
33. D E R E C H O A L A P O R TA B I L I D A D D E L O S D A T O S
( A R T. 2 0 )
“El interesado tendrá derecho a
recibir los datos personales que le
incumban, que haya facilitado a un
responsable del tratamiento, en un
formato estructurado, de uso
común y lectura mecánica, y a
transmitirlos a otro responsable del
tratamiento (…)”
34. N O T I F I C A C I Ó N D E U N A V I O L A C I Ó N D E L A S E G U R I D A D
D E L O S D A T O S P E R S O N A L E S A L A A U T O R I D A D D E
C O N T R O L ( A R T. 3 3 ) Y A L I N T E R E S A D O ( A R T. 3 4 )
35. “Cuando sea probable que un tipo de
tratamiento, en particular si utiliza
nuevas tecnologías, por su naturaleza,
alcance, contexto o fines, entrañe un
alto riesgo para los derechos y
libertades de las personas físicas, el
responsable del tratamiento realizará,
antes del tratamiento, una evaluación
del impacto de las operaciones de
tratamiento en la protección de datos
personales.”
E VA L U A C I Ó N D E I M PA C T O R E L A T I VA A L A
P R O T E C C I Ó N D E D A T O S ( A R T. 3 5 )
36. 3 CASOS:
- AUTORIDAD U ORGANISMO
PÚBLICO
- OBSERVACIÓN HABITUAL Y
SISTEMÁTICA DE
INTERESADOS A GRAN
ESCALA
- CATEGORIAS ESPECIALES DE
DATOS Y DATOS RELATIVO A
CONDENAS O INFRACCIONES
D E S I G N A C I Ó N D E L D E L E G A D O D E
P R O T E C C I Ó N D E D A T O S ( A R T. 3 7 )
37. T R A N S F E R E N C I A S D E D A T O S P E R S O N A L E S A
T E R C E R O S PA Í S E S ( C A P Í T U L O V - A R T. 4 4 - 5 0 )
38. DECISIÓN DE ADECUACIÓN (ART. 45)
- 11 PAÍSES CON UN NIVEL ADECUADO DE PROTECCIÓN:
SUIZA; CANADÁ; ARGENTINA; GUERNSEY; ISLA DE MAN;
JERSEY; ISLAS FEROE; ANDORRA; ISRAEL; URUGUAY; NUEVA
ZELANDA;
- ESCUDO DE PRIVACIDAD UE-EE.UU
T R A N S F E R E N C I A S D E D A T O S P E R S O N A L E S A
T E R C E R O S PA Í S E S
39. 2. TRANSFERENCIAS MEDIANTE GARANTÍAS ADECUADAS (ART. 46):
- NORMAS CORPORATIVAS VINCULANTES
- CLÁUSULAS CONTRACTUALES TIPO DE PROTECCIÓN DE DATOS
- UN CÓDIGO DE CONDUCTA
- UN MECANISMO DE CERTIFICACIÓN APROBADO
- (…)
T R A N S F E R E N C I A S D E D A T O S P E R S O N A L E S A
T E R C E R O S PA Í S E S
40. 3. EXCEPCIONES PARA SITUACIONES ESPECÍFICAS (ART. 49):
- CONSENTIMIENTO DEL INTERESADO
“El interesado haya dado explícitamente su consentimiento a la
transferencia propuesta, tras haber sido informado de los posibles
riesgos para él de dichas transferencias debido a la ausencia de una
decisión de adecuación y de garantías adecuadas”
T R A N S F E R E N C I A S D E D A T O S P E R S O N A L E S A
T E R C E R O S PA Í S E S
41. 3. EXCEPCIONES PARA SITUACIONES ESPECÍFICAS (ART. 49):
- CONSENTIMIENTO DEL INTERESADO
- LA TRANSFERENCIA SEA NECESARIA PARA:
- LA EJECUCIÓN DE UN CONTRATO ENTRE EL INTERESADO
Y EL RESPONSABLE
- POR RAZONES IMPORTANTES DE INTERÉS PÚBLICO
- PROTEGER LOS INTERESES VITALES DEL INTERESADO
- (…)
- (…)
T R A N S F E R E N C I A S D E D A T O S P E R S O N A L E S A
T E R C E R O S PA Í S E S
42. - “EFECTIVAS, PROPORCIONADAS
Y DISUASORIAS”
- MAYOR CUANTÍA ENTRE:
➡ 20 000 000 EUROS
➡ CUANTÍA EQUIVALENTE
AL 4 % DEL VOLUMEN
DE NEGOCIO TOTAL
ANUAL GLOBAL
M U LTA S A D M I N I S T R A T I VA S ( A R T. 8 3 )
43. O U T L I N E
1. C O N T E X T O
2. D E F I N I C I O N E S
3. L O S C A M B I O S M Á S S I G N I F I C A T I V O S
4. I M P L I C A C I O N E S PA R A L A I N V E S T I G A C I Ó N
5. C O N C L U S I O N E S
44. I M P L I C A C I O N E S PA R A L A I N V E S T I G A C I Ó N
A R T. 5 , 6 , 9 , 1 7 , 2 1 , 8 9 C O N S I D E R A N D O 5 0 , 1 5 7 , 1 5 9
- DEFINICIÓN DE INVESTIGACIÓN AMPLIA (CONSIDERANDO 159)
- Art. 89: garantías adecuadas para los derechos y las libertades de los
interesados — > medidas técnicas y organizativas incluido la
seudonimización.
- ART.12: TRANSPARENCIA DE LA INFORMACIÓN
45. - ART.5: “El tratamiento ulterior de los datos personales con fines de
archivo en interés público, fines de investigación científica e histórica
o fines estadísticos no se considerará incompatible con los fines
iniciales” (—> relajamiento del principio de limitación de la
finalidad)
- ART. 5: RELAJAMIENTO DEL PRINCIPIO DE LIMITACIÓN DEL PLAZO
DE CONSERVACIÓN
- ART. 9: TRATAMIENTO DE CATEGORÍAS ESPECIALES DE DATOS
PERSONALES —> INVESTIGACIÓN ES UNA DE LAS EXCEPCIONES
- ART. 17: RELAJAMIENTO DEL DERECHO AL OLVIDO
- ART. 21: EXENCIÓN POR INTERÉS PÚBLICO
I M P L I C A C I O N E S PA R A L A I N V E S T I G A C I Ó N
A R T. 5 , 6 , 9 , 1 7 , 2 1 , 8 9 C O N S I D E R A N D O 5 0 , 1 5 7 , 1 5 9
46. O U T L I N E
1. C O N T E X T O
2. D E F I N I C I O N E S
3. L O S C A M B I O S M Á S S I G N I F I C A T I V O S
4. I M P L I C A C I O N E S PA R A L A I N V E S T I G A C I Ó N
5. C O N C L U S I O N E S
47. C O N C L U S I O N E S
- CAMBIOS SUSTANCIALES EN TÉRMINOS DE TRASPARENCIA Y
OBILGACIONES PARA RESPOSABLE Y ENCARGADO
- MAYOR VISIBILIDAD/ATENCION AL TEMA DE LA PROTECCIÓN DE
DATOS
- LA IMPLEMENTACIÓN VA A TARDAR
- LA APLICACIÓN VA A SER COMPLICADA
- COSTES ALTOS PARA LAS PYMES
- QUEDAN SERIOS PROBLEMAS DE COMPETENCIA Y ÉTICOS
- APLICACIÓN EXTRA-TERRITORIAL PUEDE CREAR CONFLICTOS
ENTRE JURISDICCIONES
- FUTURO DEL INTERNET
48. R E F E R E N C E S
Burri, M. & R. Schär (2016), The Reform Of The EU Data Protection Framework:
Outlining Key Changes And Assessing Their Fitness For A Data-Driven
Economy, Journal Of Information Policy, Vol. 6 (2016), PP. 479-511
Maldoff, G, How GDPR Changes The Rules For Research, IAPP website, April
2016.
Reglamento general de protección de datos, REGLAMENTO (UE) 2016/679
DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016.
White & Case, Unlocking the EU General Data Protection Regulation: A
practical handbook on the EU's new data protection law, September 2017.
Sitio web de la Agencia Española de Protección de Datos: www.agpd.es
49. M A R T I N A F R A N C E S C A F E R R A C A N E
E M A I L : M A R T I N A . F E R R A C A N E @ G M A I L . C O M
GRACIAS!