Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cada vez, son más los países que poseen autoridades de control con el fin de
la protección de datos. Europa y Norteamérica son las zonas en las que la
protección de datos tiene mayor seguridad. Aunque en Latinoamérica, Asia y
algunas regiones de África, se ha avanzado significativamente en estos últimos
años.
Instrumentos
Esto quiere decir que la Ley, es la misma en todos los Estados y eso que
hablamos de países tan diferentes como España, Grecia, Alemania, Finlandia,
Portugal, Estonia y Dinamarca.
Es una norma que se aplica desde 25 de mayo del 2018 y según el artículo
288 del tratado del funcionamiento de la UE, los reglamentos tienen un alcance
general y son obligatorios en todos sus elementos y directamente aplicables en
cada estado miembro, es decir, todos los países tienen que aplicar el
Reglamento Europeo.
A partir del 25 de mayo del 2018, momento en el que entró en vigor el régimen
sancionador del nuevo Reglamento Europeo en Protección de Datos,
las entidades deben estar adecuadas para aplicar los procedimientos
actuales al nuevo Reglamento en protección de datos.
Importante
Definición
Ejemplo.
Ejemplo.
Dato de interés
Con carácter general, el RGPD exige a los Responsables del tratamiento que
faciliten a los interesados el ejercicio de sus derechos.
Aclaración
Gratuidad
Aclaración
Aclaración
Derecho de oposición
Aclaración
Aclaración
Derecho a indemnización
Aclaración
Aclaración
Derecho de información.
Derecho de acceso y rectificación.
Derecho de suspensión (derecho al olvido).
Derecho a la limitación del tratamiento.
Derecho a la portabilidad de los datos.
Cumplimiento
Seguimiento e indemnización
Procedimientos de destrucción.
Supresión Mecanismos de seudonimización.
Definiciones comunes
Definición
Aunque en otras lecciones del curso vamos a ver en detalle los procedimientos,
funciones y obligaciones del responsable del tratamiento, del DPO, medidas de
seguridad, vamos a ver de manera resumida los principios básicos y más
significativos del Reglamento.
Los datos personales que vayan a ser tratados, deben solicitarse al interesado
de manera lícita, leal y transparente, deben ser adecuados, pertinentes,
limitados, exactos y actualizados, adoptando las medidas de
seguridad necesarias para que se atiendan sin dilación los derechos de los
interesados, mantenidos durante el tiempo necesario y garantizando la
seguridad, confidencialidad y honor de los mismos.
Aclaración
Todo aquel que vaya a llevar a cabo un sistema, un servicio, una aplicación
que implique tratamiento de datos, va a tener que diseñar ese
programa conforme a la privacidad.
Aclaración
El nuevo Reglamento, ha transformado la legislación en materia de privacidad.
Si hasta este momento bastaba con aplicar los protocolos y exigencias
estipuladas en la LOPD, ahora se establece la necesidad de demostrar que la
entidad cumple con la normativa.
Pero a diferencia de la LOPD que nos decía y guiaba sobre qué y cómo
hacerlo, el nuevo Reglamento deja en nuestras manos la decisión de qué
medidas de seguridad implantamos, justificando y documentando su
cumplimento.
Análisis de riesgos
Aclaración
Ejemplo
Definición
El Grupo de Trabajo del Artículo 29, fue creado por la Directiva 95/46/CE con
el propósito de dar soporte de manera independiente a las Autoridades de
Protección de Datos de los países miembros, al SEPD y a la Comisión Europea
como un órgano de consulta para la mejora de la aplicación de la normativa en
la protección de datos.
Derecho a la portabilidad.
Data Protection Officer (DPO).
Autoridad de control principal.
Consentimiento.
Derecho a la portabilidad
Consentimiento
Esta guía del GT 29 y la más actual de las que hemos visto, se encarga
de aclarar y facilitar a los intervinientes en el proceso de tratamiento de
datos este concepto tan importante definido en el RGPD. Esta guía
aclara requisitos necesarios para valorar cuando el consentimiento del
interesado es válido:
Inequívoco (silencio, la omisión, etc. no son válidos).
Libre (no debe de estar condicionado).
Específico (la recogida de datos debe tener un fin último).
Revocable (sin ningún impedimento para los interesados).
Informado (el interesado da el consentimiento después de haber leído la
información).
Claridad (sin tecnicismos, lenguaje llano).
Ya hemos visto que dentro de las múltiples funciones que realiza el Comité
Europeo de Protección de Datos se encuentran la de emisión de distintas
directrices, el artículo 70 del Reglamento, especifica en qué consisten estas
directrices:
Otros supuestos
El RGPD en consonancia con la LOPJ (Ley Orgánica del Poder Judicial)
establece una serie de funciones a los órganos jurisdiccionales que la
autoridad de control no tiene alcance.
Tutela
judicial efectiva
La LOPJ en su artículo 236 expresa cuales son las situaciones en las que los
órganos judiciales pueden tratar datos personales y como cumplir a la vez el
Reglamento:
1. Introducción y objetivos
Llevamos mucho tiempo acostumbrados a ver y leer los textos que acompañan
a los formularios, sobre todo web, en los cuales nos informan que están
recogiendo datos personales, qué van a hacer con ellos, si los van a ceder
y cómo ejercer los derechos que todos tenemos sobre nuestros datos.
Importante
Cuántas veces hemos leído cláusulas de Protección de Datos donde nos dicen
“si usted no hace lo siguiente entendemos que nos da su consentimiento para
tratar sus datos con la finalidad de …… y cederlos a las empresas del sector
….. para que le manden publicidad”.
Aclaración
Cuáles son
Una de las funciones que tienen las autoridades de control de los Estados
miembros es, prestar especial atención al tratamiento de este tipo de datos
debido a su delicadeza y riesgo.
Todas las leyes tanto a nivel europeo como en el ámbito estatal hacen
referencia en sus artículos a los menores como un grupo de mayor
protección debido a su nivel de comprensión en la protección de datos pero
eso no quiere decir que no haya normativa para el menor infractor, en España,
la Ley que regula la responsabilidad penal de los menores es la Ley Orgánica
5/2000 del 12 de enero.
Hay ciertos datos de carácter especial, que pueden revelar características del
interesado que no suelen ser relevantes para la finalidad con la que se realizó
la recogida y que pueden dañar al titular de los datos.
En artículo 9 del Reglamento, habla sobre distintos tipos de datos que son
tratados de forma especial ya bien porque esté prohibido su tratamiento o bien
porque son tratados para intereses públicos.
Categorías prohibidas
Excepciones
Por supuesto, existen casos en los que las categorías de datos del apartado
anterior, pueden ser tratados exceptuando el primer punto del artículo 5 del
Reglamento.
Casos
especiales
Aclaración
A. Responsable
Ver ejemplo.
B. Finalidad
C. Legitimación
Por ejemplo: ¿Cuál es la legitimación legal para tratar sus datos? La base
legal para el tratamiento de sus datos es la ejecución del contrato de
compraventa del vehículo. La recogida de los datos para un posterior uso
comercial está basada en su consentimiento explícito. La retirada del
consentimiento no condiciona la ejecución de la relación contractual.
D. Destinatarios
Por ejemplo: ¿A quién se ceden o comunican sus datos? Los datos que nos
proporcione serán comunicados a otras empresas del grupo _____, con una
finalidad comercial. Además, serán comunicados a los organismos y
administraciones que en cumplimiento de una normativa o Ley estamos
obligados a comunicar.
E. Derechos
Por ejemplo: ¿Cuáles son sus derechos? Cualquier persona tiene derecho a
conocer y obtener información sobre los datos que estamos tratando, tales
como acceder, rectificar, oponerse, portabilidad, suprimir y limitar. De igual
modo tiene derecho a pedir tutela y reclamar ante la Autoridad de Control
española “Agencia Española de Protección de Datos” mediante………….
F. Procedencia
Por ejemplo: ¿Cuáles son sus derechos? Los datos que trata Empresa Demo
S.L. proceden o han sido obtenidos de las empresas del grupo……; los datos
que trata Empresa Demo S.L. proceden o han sido obtenidos de fuentes
accesibles al público, concretamente de……… y la categoría de los datos
tratados son: nombre y apellidos, teléfono, email, dirección, información
comercial…….
(La LOPD sólo exige que la información se preste de modo expreso, preciso e
inequívoco.)
Aclaración
Derecho de información
Definición
Pero este derecho a su vez, amplia esta información para el supuesto de que la
información no sea obtenida directamente del interesado, caso en el que
deberá informar, junto con el resto de datos antes indicados: de la fuente de la
que proceden los datos personales y si proceden de fuentes de acceso público,
en un plazo que debe ser inferior a un mes, y en el caso de que se realicen
comunicaciones sobre el mismo, en la primera de ellas.
Derecho de acceso
Definición
Aclaración
Derecho de rectificación
Por ejemplo algo tan sencillo como decirle a la entidad que tiene nuestros
datos, Responsable del tratamiento, que ya no vivimos en la calle Gran Vía
sino en la calle Colón o que los datos que tiene sobre nosotros no son exactos
y debe adecuarlos a la situación real.
Es decir, se produce un cambio en nuestros datos personales y se lo
comunicamos al Responsable del tratamiento o solicitamos que los datos
inexactos sean puestos al día.
Por ejemplo un periódico online, deberá tomar las medidas oportunas para que
una noticia no aparezca, para que sea invisible al buscador, para que no se
pueda indexar, si bien la noticia no será eliminada de su base de datos.
Importante
Derecho a la limitación del tratamiento
Definición
Así el interesado podrá ejercitar la limitación del tratamiento cuando se cumpla alguna
de las siguientes circunstancias:
Es decir, nos encontramos con, por definirlo de un modo más simple, un derecho de
cancelación temporal o parcial en función de los requisitos que se den.
El interesado tiene derecho a recibir los datos personales que le incumben, que
haya facilitado de forma automatizada a un Responsable del tratamiento, que
éste se los devuelva en un formato estructurado, automatizado y de uso
común para que a su vez sean transmitidos a un nuevo Responsable de
tratamiento (de forma directa o no) y todo ello sin que se lo impida el primer
Responsable del tratamiento.
Aclaraciones
Por ello, uno de los aspectos más interesantes que se han tratado en el
Reglamento Europeo de Protección de Datos es la introducción y el
reconocimiento de una serie de nuevos derechos para los ciudadanos, que
van a cambiar la manera de gestionar los interesados, los ciudadanos y sus
datos personales. El ejercicio de los derechos no deberá afectar
negativamente a los derechos y libertades de terceros.
“El Derecho de los Estados miembros debe conciliar las normas que rigen la
libertad de expresión e información, incluida la expresión periodística,
académica, artística o literaria, con el derecho a la protección de los datos
personales con arreglo al presente Reglamento. El tratamiento de datos
personales con fines exclusivamente periodísticos o con fines de expresión
académica, artística o literaria debe estar sujeto a excepciones o exenciones
de determinadas disposiciones del presente Reglamento si así se requiere
para conciliar el derecho a la protección de los datos personales con el
derecho a la libertad de expresión y de información consagrado en el artículo
11 de la Carta”.
Artículos 93
“El Derecho de los Estados miembros o los convenios colectivos, incluidos los
«convenios de empresa», pueden establecer normas específicas relativas al
tratamiento de datos personales de los trabajadores en el ámbito laboral, en
particular en relación con las condiciones en las que los datos personales en el
contexto laboral pueden ser objeto de tratamiento sobre la base del
consentimiento del trabajador, los fines de la contratación, la ejecución del
contrato laboral, incluido el cumplimiento de las obligaciones establecidas por
la ley o por convenio colectivo, la gestión, planificación y organización del
trabajo, la igualdad y seguridad en el lugar de trabajo, la salud y seguridad en
el trabajo, así como a los fines del ejercicio y disfrute, sea individual o colectivo,
de derechos y prestaciones relacionados con el empleo y a efectos de la
rescisión de la relación laboral”.
Otras situaciones
Introducción
Importante
Obligaciones
Evaluaciones de Impacto.
Delegado Protección de Datos.
Notificación de Quiebras de Seguridad.
Códigos de conducta y esquemas de certificación.
Responsabilidad en la elección de Encargados de Tratamiento.
Por ejemplo:
- Artículo 4. Definiciones -
Responsabilidad
Transferencias y cesiones
Cesiones: Categorías de destinatarios a quienes se comunicaron o se
comunicarán los datos personales, incluidos los destinatarios en terceros
países u organizaciones internacionales.
Transferencias Internacionales de Datos: Se debe identificar a dicho
tercer país u organización internacional junto a la base jurídica que la
hace posible en ausencia de una decisión de adecuación o de garantía
adecuadas:
o Consentimiento explícito del interesado a la transferencia.
o Transferencia necesaria para la ejecución de un contrato entre el
interesado y el responsable del tratamiento.
o Transferencia necesaria para la celebración o ejecución de un
contrato, en interés del interesado, entre el responsable del
tratamiento y otra persona física o jurídica.
o Transferencia necesaria por razones importantes de interés
público.
o Transferencia necesaria para la formulación, el ejercicio o la
defensa de reclamaciones.
o Transferencia necesaria para proteger los intereses vitales del
interesado o de otras personas.
Ejemplo
Es decir, la privacidad por defecto, los perfiles son privados desde el primer
momento, no públicos.
Definición
La responsabilidad proactiva.
Llevar un registro de las actividades o tratamiento de datos.
Implantar una política de información y consentimiento al interesado.
Implantar una política de seguridad, de análisis de riesgos y evaluación
del impacto.
Adecuar Medidas de seguridad, a través de procedimientos específicos
según el tipo y categoría de los datos.
8. Subcontratación de servicios
Definición
8. Subcontratación de servicios
Definición
Importante
Aclaración
2. La violación de la seguridad
Saber más
Aclaración
4. Notificación al interesado
Afectados
Contenido
Aclaración
Definición
Debemos entender una EIPD como un proceso constante de mejora, por ello
ante cualquier cambio, modificación, actualización o incidencias que puedan
generar nuevos riesgos, se debe realizar una nueva evaluación de impacto,
generando el informe correspondiente y tomando las acciones y medidas de
control necesarias.
En caso de que no generen nuevas amenazas y riesgos sobre los derechos
y libertades de los interesados, igualmente se debe realizar una valoración de
los cambios producidos y documentar claramente la no necesidad de implantar
nuevas medidas de control adicionales.
Aclaración
Este análisis, así como la selección de las soluciones, debe realizarse teniendo
en cuenta el estado de la técnica. Es decir, deben implementarse medidas de
seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o
bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería
el uso de sistemas de cifrado obsoletos.
6. La evaluación de impacto
Ejemplos:
Centros Sanitarios.
Entidades de crédito, seguros, servicios de inversión, solvencia
patrimonial.
Centros Docentes.
Tratamiento de datos de menores de 14 años.
Tratamiento de grandes volúmenes de datos a través de sistemas como
Big Data.
Videovigilancia a gran escala.
Transferencias internacionales de datos que no forman parte del
Espacio Económico Europeo.
Importante
En la siguiente pantalla se mostrarán las fases en las que se debe basar una
evaluación de impacto.
Una vez presentado el informe, la dirección del Responsable del tratamiento debe tomar
una decisión en relación al mismo, para dotar de los recursos necesarios sobre
las recomendaciones para su ejecución e implantación y la máxima dirección del
Responsable del tratamiento, debe valorar el mismo para tomar una decisión y dotar de
los recursos necesarios (organizativas, tecnológicas, contractuales, etc) con la finalidad
de ejecutar e implantar las medidas oportunas para dar cumplimiento al Reglamento.
7. La consulta previa
Saber más
Designación
Aclaración
Importante
Funciones
Posición en la empresa
o Total autonomía en el ejercicio de sus funciones.
o Necesidad de que se relacione con el nivel superior de la
dirección.
o Obligación de que el responsable o el encargado faciliten al DPD
todos los recursos necesarios para desarrollar su actividad.
Asesoramiento
o Debe informar y asesorar al responsable o al encargado del
tratamiento de las obligaciones normativas en protección de datos
que les incumban.
o Tiene que asesorar tanto al responsable como al encargado
acerca de la evaluación de impacto que realice relativa a la
protección de datos.
o Asesorar a los empleados durante el tratamiento de datos.
Supervisión del cumplimiento normativo
o Supervisar el adecuado cumplimiento de las normas sobre
protección de datos en la entidad.
o Revisar las políticas internas de privacidad en la organización y
su adecuación normativa.
o Asignar responsabilidades entre los miembros de la organización,
respecto a las obligaciones en materia de protección de datos.
o Realización de acciones de concienciación internas respecto al
cumplimiento efectivo de la normativa.
o Formar al personal que participa en las operaciones de
tratamiento de datos.
o Supervisar las evaluaciones de impacto.
o Control, coordinación y verificación de las medidas de seguridad
aplicables.
Cooperación y enlace con la autoridad de control
o Actuar como punto de contacto con la Agencia Española de
Protección de Datos para las cuestiones relacionadas con el
tratamiento de datos personales, incluyendo la consulta previa.
o Cooperar con la autoridad de control.
Atención a los interesados
o Atender las consultas que los interesados realicen a la entidad, ya
sea para cuestiones relativas al tratamiento de sus datos o para el
ejercicio de sus derechos.
Aspectos fundamentales
Importante
Menú
Índice
Mapa conceptual
1. Los códigos de conducta
Aspectos fundamentales
Procedimiento de elaboración, modificación o ampliación
Supervisión de los códigos de conducta
2. Los códigos de certificación
Mecanismos de certificación, sellos y marcas
El organismo de certificación
Requisitos para acreditar un organismo de certificación
Otras obligaciones
3. Transferencias de datos a terceros países u organizaciones
internacionales
Tratamiento transfronterizo y transferencia internacional de datos
Transferencia internacional de datos
Decisión de la comisión de adecuación al RGPD
Mediante el establecimiento de garantías adecuadas
Binding Corporate Rules (BCR) o normas corporativas vinculantes
Comunicaciones o transferencias de datos no autorizadas por el
derecho de la Unión y excepciones para situaciones específicas
Actividades
La supervisión o control del código de conducta podrá ser llevado a cabo por
un organismo de supervisión con el nivel de pericia adecuado en relación
con el objeto del código y que haya sido acreditado por la AEPD, entre sus
funciones se encuentran las siguientes:
Definición
Diferencias
Tanto los códigos de conducta como los códigos de certificación son nombres
nuevos que aparecen en el nuevo Reglamento Europeo de Protección de
Datos, pero estos elementos de ayuda y certificación del cumplimiento de la
normativa de protección de datos ya existían en la LOPD bajo el nombre de
“códigos tipo” (de conducta) y “mecanismos de supervisión” (de
certificación).
Ejemplo:
ASNEF.
Automóviles, pérdida total, robo o incendio.
Intermediación Inmobiliaria.
Confianza On-line.
Odontólogos y Estomatólogos.
Etc.
El organismo de certificación
Los organismos de acreditación son:
Otras obligaciones
El CEPD dispondrá de un registro público de los certificados, sellos y
marcas, los organismos acreditados y responsables y encargados
acreditados (certificados) establecidos en terceros países cuando sirven
de garantías para las Transferencias Internacionales de Datos.
Las APD debe hacer públicos los criterios y requisitos de acreditación y
de certificación de forma fácilmente accesible y los comunicarán al
CEPD.
La Comisión podrá adoptar actos delegados para especificar las
condiciones a tener en cuenta en los mecanismos de certificación en
materia de protección de datos, previo dictamen del CEPD sobre los
requisitos de certificación.
La Comisión podrá establecer actos de ejecución, es decir, normas
técnicas para los certificados, sellos y marcas y mecanismos para
promoverlos y reconocerlos.
ANTES DESPUÉS
PRIVACY SHIELD .
El exportador puede ser el
SAFE HARBOR responsable del tratamiento y el
El exportador ha de ser siempre el encargado de tratamiento.
responsable del tratamiento. Las transferencias se pueden
Solicitar de la Agencia Española llevar a cabo sin necesidad de
de Protección de Datos una autorización previa (si ofrecen
autorización previa para poder garantías adecuadas).
transferir datos. Códigos de conducta y normas
corporativas vinculantes para
grupos empresariales.
Así que decidió llevar a esta red social a los tribunales en 2011, tras
conocerse las revelaciones que Edward Snowden hizo sobre la red de
vigilancia mundial organizada por la Agencia de Seguridad Nacional
Estadounidense (NSA), en colaboración con la CIA. Su denuncia argumentó
que la empresa estadunidense no garantizaba la protección de datos de los
ciudadanos europeos, que gracias a los acuerdos con la U.E. se transferían a
EEUU.
Glosario.
específicas
Aclaración
No cabe duda que todas estas modificaciones van a facilitar las relaciones
comerciales y la cooperación internacional al evitar tener que solicitar la
autorización de la Agencia en la mayoría de los casos, pero siempre
garantizando los derechos de los afectados en la transmisión de los datos fuera
de la UE.
Definición
Independencia
Requisitos
Competencias
Definición
Funciones
Poderes
Reclamaciones y denuncias.
Asistencia en investigaciones.
Intercambio de información y documentación.
Inspecciones.
Investigaciones.
Consultas previas.
Solicitudes de información.
Medidas de control.
Autorizaciones.
Por ello, una APD principal, podrá solicitar en cualquier momento a otras APD
que presten asistencia mutua en virtud a uno de los puntos mencionados
anteriormente, por ejemplo solicitudes de un Responsable o Encargado de
tratamiento.
Solicitudes de información.
Medidas de control.
Inspecciones.
Investigaciones.
Consultas previas.
Autorizaciones.
Características
Cada APD adoptará todas las medidas oportunas requeridas para responder a
una solicitud de otra autoridad de control sin dilación indebida y a más tardar
en el plazo de un mes.
Como norma general, las autoridades de control requeridas facilitarán la
información solicitada por otras autoridades de control por medios electrónicos,
utilizando un formato normalizado.
Las solicitudes de asistencia deberán contener toda la información necesaria,
entre otras cosas respecto de la finalidad y los motivos de la solicitud.
La autoridad de control requerida no podrá negarse a responder a una
solicitud. Excepto:
a. no es competente en relación con el objeto de la solicitud o con las
medidas cuya ejecución se solicita.
b. el hecho de responder a la solicitud infringiría el RGPD o el Derecho de
la Unión o de los Estados miembros que se aplique a la APD a la que
se dirigió la solicitud.
Las APD requeridas no cobrarán tasa alguna por las medidas adoptadas a raíz
de una solicitud de asistencia mutua.
Las APD podrán acordar normas de indemnización recíproca por gastos
específicos derivados de la prestación de asistencia mutua en circunstancias
excepcionales.
Mecanismo de coherencia
Recursos
Aclaración
Sanciones
Aclaración