O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Novedades y aspectos relevantes del nuevo Reglamento de Protección de Datos (RGPD)

376 visualizações

Publicada em

Presentación sobre las novedades y aspectos relevantes del nuevo Reglamento General de Protección de Datos (RGPD) que entrará en vigor el próximo 25 de mayo.

Publicada em: Internet
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Novedades y aspectos relevantes del nuevo Reglamento de Protección de Datos (RGPD)

  1. 1. Novedades y Aspectos Relevantes del nuevo Reglamento de Protección de Datos (RGPD)
  2. 2. • MARCO HASTA EL 25 MAYO • Ley Orgánica 15/1999 de protección de datos de carácter personal. • Real Decreto 1720/2007 Reglamento de desarrollo de la Ley orgánica 15/1999. • MARCO A PARTIR DEL 25 MAYO • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril del 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los datos • Es de transposición directa. • Deroga la Directiva 95/46/CE. • Entrada en vigor el 25 de mayo de 2016. • Entrada en aplicación el 25 de mayo de 2018.
  3. 3. • APLICABLE PENDIENTE DE APROBACIÓN • Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (actualmente en el Congreso pendiente de aprobación que será con posterioridad al 25 de Mayo). • Amplia aspectos del RGPD. • Deroga la Ley 15/1999. • Qué son “Datos personales” para el RGPD: • Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. • Quién está obligado?
  4. 4. • MOTIVOS • Armonizar la normativa europea de protección de datos ante los retos que plantea el continuo desarrollo y evolución de la tecnología, los desafíos de la globalización que supone la globalización para la circulación de los datos y el aumento exponencial de tratamientos de datos de carácter personal que se producen cada día. • OBJETIVO • Dar un mayor control a los ciudadanos sobre sus datos de carácter personal en un mundo de teléfonos inteligentes, redes sociales, banca por internet y transferencias de datos globales de información y, paralelamente, aumentar la eficiencia empresarial en la economía digital. Por tanto refuerza la protección de datos de los particulares. • (Acotar Multinacionales) • CAMBIO DE FILOSOFIA • Las empresas ya son maduras en Protección de Datos.
  5. 5. NOVEDADES Y ASPECTOS MAS RELEVANTES • Se extiende su ámbito de aplicación más allá de las fronteras de la unión europea • Se aplicará a los tratamientos de datos personales de los establecimientos de responsables o encargados de la Unión Europea, independientemente que se realicen en la Unión o no. • Se aplicará a responsables o encargados no establecidos en la Unión de datos personales de interesados que se encuentren en la Unión cuando las actividades estén relacionadas con: • La oferta de bienes o servicios a dichos interesados de la Unión. • El control de su comportamiento en la medida que este tenga lugar en la Unión. • Desaparece la obligación de declarar los ficheros ante la Agencia Española de Protección de Datos. • Desaparece el registro publico y es sustituido por un registro privado por parte de cada responsable.
  6. 6. • Con el RGPD hablaremos de Tratamiento de datos, no de Ficheros como hasta ahora. • Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. Proteger ficheros -→ Securizar tratamientos. • Obligación de llevar un Registro de Actividades de Tratamientos de datos que llevará internamente cada responsable. • En la práctica tendrá la condición de obligatorio para el 99% de empresas de este país (Oblig.: +250 empl; categorías especiales, entrañe riesgos para derechos y libertades, tratamiento continuado).
  7. 7. Contenido: Fines, categorías de interesados, categorías datos, destinatarios, transferencias, plazos conservación, medidas técnicas. • Desaparecen los niveles de datos (BASICO, MEDIO y ALTO) y ahora solo distinguiremos entre datos normales o de categorías especiales. • Datos de categorías especiales: Origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar inequívocamente a una persona física, salud y vida sexual o orientación sexual de una persona física. • Limitación del plazo de conservación • Y el interesado debe ser informado de ese plazo de conservación.
  8. 8. • Minimización de datos • Derechos • Se mantienen los existentes : Acceso, rectificación, cancelación y oposición (ARCO). • Se incorporan nuevos derechos: • Derecho a la portabilidad de los datos. • Derecho de información (Transparencia como se utilizan los datos). • Derecho olvido (supresión de datos). • Derecho de oposición a ser objeto de decisiones individuales automatizadas. (especialmente en lo que se refiere a la elaboración de perfiles).
  9. 9. • Se refuerza la importancia del consentimiento • Libre y afirmativo. • Lenguaje claro y sencillo. • Distinguible claramente del resto de otros asuntos. • El responsable debe poder demostrar que el interesado consintió el tratamiento de sus datos personales. • Desaparición del consentimiento tácito o por inacción • El Responsable deberá dar nueva cobertura legal a los que en el pasado fueron obtenidos de forma tácita. Fin prácticas anteriores en Presupuestos, ferias, etc. • Se refuerza la información a facilitar a los interesados • Se amplia la información a facilitar a los interesados en la recogida de datos. • En consecuencia deberemos facilitar la información ampliada a todos aquellos de quienes obtuvimos datos en el pasado. • Posibilidad de información por capas.
  10. 10. • Licitud del tratamiento. • El interesado preste su consentimiento. • Necesario para la ejecución de un contrato en el que el interesado sea parte. • Para cumplir una obligación legal del responsable. • Para proteger intereses vitales del interesado. • Para el cumplimiento de una misión de interés público. • Sea necesario para satisfacer el interés legítimo del responsable. • Obligación de informar de brechas de seguridad a AEPD y en casos graves al afectado. Plazo máximo 72 horas. Efecto Reputacional.
  11. 11. • Regula y amplía el contenido que deben tener los contratos entre responsables y encargados de tratamiento • Los actuales contratos de protección de datos firmados con la LOPD a partir del día 25 de mayo dejan de ser legales al ser incompletos. • Obligación de llevanza de un Registro de Actividades de tratamiento por parte de encargados de tratamiento Conteniendo: • Identificación del responsable o encargado por cuenta quien trata los datos. • Las categorías de tratamientos. • Las transferencias a un tercer país u organización internacional. • Descripción de las medidas técnicas y organizativas de seguridad que deben aplicarse.
  12. 12. • Principio de protección de datos desde el diseño y por defecto • Principio de responsabilidad proactiva (equiv. Riesgos Penales). • Análisis y evaluación de riesgos para definir las medidas a adoptar para minimizarlos (*). • Evaluación de Impacto relativa a la protección de datos (*) • Obligatorio cuando sea probable que tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas • La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requerirán una evaluación de impacto. Podrá asimismo establecer y publicar una lista de tipos de operaciones que no la requerirán. • A realizar antes del tratamiento. • Grupo de trabajo Art. 29: 9 criterios. (*) Criterio. Documentar muy bien.
  13. 13. • Se regula la aparición de una nueva figura: El Delegado de Protección de Datos (Data Protección Officer - DPO) (equiv. Riesgos Penales. Dif.) • Nombramiento obligatorio en casos de: • Tratamientos que requieran una observación habitual y sistemática de interesados a gran escala. • Tratamientos a gran escala de categorías especiales de datos. • Tratamientos llevados a cabo por autoridades y organismos públicos. • El Proyecto de Ley Orgánica de Protección de Datos, no obstante, ha ampliado los casos obligatorios que establece el RGPD con una lista de entidades. • El DPO puede nombrarse voluntariamente, pese a no existir obligación (Proactividad y otras ventajas interesantes). • El DPO debe tener conocimientos especializados del Derecho y la práctica en materia de protección de datos y conocimientos técnicos en materia de seguridad de la información. • Debe comunicarse la identidad del DPO a la Agencia Española de Protección de Datos quien llevará un registro.
  14. 14. • Sus funciones: • Informar y asesorar de las obligaciones que incumben al responsable, encargado y empleados que se ocupen del tratamiento, participando en todas las cuestiones relativas a la protección de datos personales. • Supervisar el cumplimiento del RGPD y de las políticas del responsable o encargado en materia de protección de datos. • Ofrecer el asesoramiento que se le solicite acerca de la Evaluación de Impacto y verificar su aplicación. • Cooperar con la autoridad de control. • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento. • Atender a los interesados que se pongan en contacto con relación a cuestiones relativas al tratamiento de datos personales y el ejercicio de sus derechos. • Reporta directamente al más alto nivel jerárquico del responsable o encargado • Si bien el DPO está fuera del régimen sancionador, puede tener responsabilidades, incluso penales.
  15. 15. • Regula las transferencias Internacionales • Basadas en una decisión de adecuación • La comisión ha decidido que un país, un territorio o varios sectores de ese país garantizan un nivel de protección adecuado. • No requiere ninguna autorización específica. • En la Web de la comisión europea puede consultarse aquellos países que ofrecen un nivel adecuado de protección de datos. • Caso EEUU: Privacy Shield. • Basadas en garantías adecuadas • Sin requerimiento de autorización por la autoridad de control. • Instrumento jurídicamente vinculante y exigible entre autoridades y organismos públicos (tratados internacionales, sistemas de cooperación policial y judicial). • Normas corporativas vinculantes (para grupos internacionales de empresas). • Clausulas tipo adoptadas por la Comisión o por una autoridad de control • Código de conducta vinculante. • Mecanismo de certificación vinculante.
  16. 16. • Con autorización de la autoridad de control. • Cláusulas contractuales entre emisores y receptores. • Disposiciones en acuerdos administrativos entre autoridades u organismos públicos. • Basadas en excepciones para situaciones específicas (Art. 49 RGPD). • Interesado haya dado explícitamente su consentimiento tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas. • La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado. • La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica. • La transferencia sea necesaria por razones importantes de interés público. • La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones. • La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
  17. 17. • Cifrado • Obligatorio para tratamientos de categorías especiales de datos • Aunque recomendable en todos los casos • Seudonimización • El tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. • Regula las relaciones entre las autoridades de control de cada estado miembro, estableciendo el criterio para determinar autoridades competentes e interesadas, en el tratamiento denuncias de los interesados en tratamientos transfronterizos, etc.
  18. 18. • En el RGPD no existe el término “dato de carácter profesional” como teníamos en el RLOPD. • En el Proyecto de Ley Orgánica de Protección de Datos pendiente de aprobación hay la previsión de que el tratamiento de datos de personas que presten servicios en una persona jurídica se presumirá amparado a lo dispuesto al art.6.1.f del RGPD, es decir, que la base legal es el interés legítimo del responsable, siempre que se cumplan los siguientes requisitos: • El tratamiento se refiera únicamente a los datos necesarios para su localización profesional. • La finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que preste sus servicios. • La misma presunción se dará para el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas. • Atención con el deber de información!
  19. 19. • Derecho a indemnización y responsabilidad • Casuística comunicaciones comerciales • Una realidad: Dificultad de poder probar el consentimiento de todos los datos que tenemos en nuestro CRM. • No parece que haya base legal en el interés legítimo del responsable para el marketing directo. • Puede existir base legal en el Interés legitimo para envío de comunicaciones a clientes para ciertos casos. Cada caso deberá de ser valorado. • A tener en cuenta: El Art. 21.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico.
  20. 20. Artículo 21 Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes . 1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. 2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
  21. 21. • Regula los códigos de conducta • Destinados a contribuir a la correcta aplicación del presente reglamento • Los Estados miembros, Autoridades de control, el Comité y la Comisión promoverán la elaboración de Códigos de Conducta • Las asociaciones y otros organismos representativos de categorías de responsables o encargados de tratamiento podrán elaborar códigos de conducta. • Regula las Certificaciones • Mecanismos de certificación en materia de protección de datos y marcas y sellos de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el RGPD. • La certificación será voluntaria • Se expedirá a un responsable o encargado de tratamiento por un periodo de 3 años, pudiendo ser renovada en las mismas condiciones si se siguen cumpliendo los requisitos pertinentes. • Atención, encargados de tratamiento.
  22. 22. INFRACCIONES • Infracciones con multas administrativas de 10 Millones EUR como máximo o tratándose de empresas, de la cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior (se opta siempre por la de mayor cuantía): • Incumplimiento condiciones aplicables al consentimiento de niños. • Incumplimiento de medidas técnicas y organizativas adecuadas. • Incumplimiento obligaciones entre responsables y encargados de tratamiento. • Incumplimiento de Registro de actividades de tratamiento. • Incumplimiento en las obligaciones de notificaciones de violaciones de seguridad. • Incumplimiento en la Evaluación de Impacto relativa a la protección de datos. • Incumplimiento en relación al Delegado de Protección de Datos
  23. 23. • Infracciones con multas administrativas de 20 Millones EUR como máximo o tratándose de empresas, de la cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior (se opta siempre por la de mayor cuantía): • Incumplimiento de principios relativos al tratamiento, licitud del tratamiento, condiciones para el consentimiento y tratamiento de categorías especiales de datos (art. 5, 7, 7 y 9 RGPD) • Incumplimiento de los derechos de los interesados (art. 12 a 22 RGPD) • Incumplimiento en Transferencias Internacionales de datos personales a terceros países (art. 44 a 49 RGPD) • Incumplimiento de las resoluciones de la autoridad de control o no facilitar el acceso a la autoridad de control en el ejercicio de sus poderes de investigación
  24. 24. PRESCRIPCIÓN DE LAS INFRACCIONES Se establecen en el Proyecto de Ley Orgánica de Protección de Datos pendiente de aprobación, como sigue: • 3 años para las infracciones muy graves (art. 72 PLOPD). • 2 años para las infracciones graves (art. 73 PLOPD). • 1 años para las infracciones leves (art 74 PLOPD). ____________________ Un principio a seguir: Ante la duda, a máximos Tener siempre presente que denunciar es muy fácil y barato
  25. 25. JDA/SFAI GRANOLLERS c/ Francisco de Quevedo, 9 08402 Granollers, Barcelona T. 93 860 03 70 JDA/SFAI BARCELONA c/ Balmes 49, 4ª planta 08007 Barcelona T. 93 412 76 39 JDA/SFAI SABADELL c/ Tres Creus, 92 08202 Sabadell, Barcelona T. 93 725 91 53 www.jda.es
  26. 26. Más de 100 profesionales a su servicio

×