RGPD NUEVO REGLAMENTO EUROPEO DE PROTECCIN DE DATOS

RGPD – NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS: LA IMPORTANCIA DE LA PRIVACIDAD

ENTORNO NORMATIVO ESPAÑA MARCO REGULATORIO EUROPEO: MOMENTO DE TRANSICIÓN Hasta el 25 de mayo de 2018: Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de estos datos. A partir del 25 de mayo de 2018: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46 (conocido como GDPR). Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 diciembre, de protección de datos de carácter personal.

• ¿QUÉ CONCEPTOS DEBEMOS CONOCER?

Principales términos D a t o s p e r s o n a l e s R e s p o n s a b l e T r a t a m i e n t o D e r e c f u n d a m e c o n t r y d i s p o s i h o n t a l : o l c i ó n E n c a r g a d o L i c i t u d C a t e g o r í a s e s p e c i a l e s d e d a t o s p e r s o n a l e s

¿Qué datos regula la normativa? Los datos personales protegidos por la normativa pueden pertenecer a: Datos personales - Clientes. Suelen ser el principal foco de riesgo pero no son los únicos cubiertos por la norma. Empleados. Candidatos. Proveedores. Socios comerciales. Accionistas. Etc.

¿Quién es el responsable? El responsable puede ser una persona física o jurídica, pero es quien decide los fines y medios del tratamiento. Pueden ser tanto personas físicas como jurídicas. Ejemplos de personas jurídicas: Responsable - Una sociedad anónima o limitada. Cada una de ellas es, en principio, responsable (o encargado) del tratamiento de datos. Una fundación o asociación sin ánimo de lucro. Una Administración Pública y sus organismos públicos. Ejemplo de personas físicas: un autónomo.

¿Quién es el encargado? He contratado una asesoriapara que envíe publicidad comercial a toda mi base de datos de clientes mediante correo postal usando mi modelo de carta. La agencia es responsable, ella responderá si incumple las obligaciones de protección de datos… Encargado • Falso. El responsable es quien encarga el tratamiento de datos a la agencia, en este caso, dándole instrucciones sobre la finalidad (enviar publicidad comercial a todos los clientes) y los medios (usando un modelo de carta que se envía por correo postal). La agencia tiene la condición de encargada y, por tanto, responderá si incumple las instrucciones del responsable, no si este incumple las obligaciones en materia de protección de datos (información y consentimiento de los clientes para el envío de publicidad, etc. ).

Un asesor fiscal nunca va a tratar este tipo de datos… Categorías especiales de datos personales Falso. Información relativa a la renta de una persona entraría en el ámbito de datos sensibles. Entonces, ¿un un asesor fiscal puede tratar datos de este tipo? Sí. Con el consentimiento expreso del interesado y siempre y cuando sea necesario para la finalidad del tratamiento.

La consulta de un pedido de un cliente puede hacerse con total libertad… Falso. El acceso a la información de carácter personal es un tipo de tratamiento. Por tanto, solo podrán acceder quienes estén facultados para gestionar el encargo del cliente y con esta finalidad. Tratamiento Transmitir los datos de un pedido de un cliente a un proveedor no requiere cumplir obligación alguna… Falso. La cesión de datos entre distintas organizaciones es otro tipo de tratamiento igualmente cubierto por la normativa de protección de datos. Como veremos, requiere cumplir previamente determinadas obligaciones: información al interesado, contrato o precontrato (el pedido), etc.

Puedo guardar la información personal para siempre… Falso. La conservación de datos es otro tipo de tratamiento. Debe mantenerse mientras subsista la finalidad para la que se recabaron o para el cumplimiento de obligaciones legales (en este último caso, debidamente bloqueados). Tratamiento Voy a grabar con cámaras de videovigilancia la actividad, mediante la simple instalación de los dispositivos… No. La captura y registro de imágenes de personas físicas es un tratamiento de datos, por lo que deberá verificarse cumplen los requisitos al efecto previstos en la normativa protección de datos y de seguridad privada (información a afectados, etc. ). también que se de los

Un cliente solicita una consulta o realiza un pedido para lo que proporciona su número de teléfono. ¿Puedo contactar con él a través de ese número…? Sí: para informarle sobre el encargo realizado, la respuesta a la consulta, concertar la hora de recogida. No: Para informarle de las últimas novedades o servicios ofertados por la empresa. Licitud Un potencial cliente proporciona su correo electrónico para recibir información sobre un servicio concreto. Se incluye en una base de datos utilizada. ¿Puedo enviar información sobre otros servicios? No. La relación precontractual permite recibir la información solicitada sobre un servicio, no comunicaciones comerciales con carácter general.

• LEGISLACION ACTUAL

OBLIGACIONES BÁSICAS HASTA EL RGPD Todas las organizaciones que tengan datos de carácter personal (de clientes, empleados, etc. ) deben protegerlos de accesos y usos no autorizados, así como permitir que las personas titulares de los datos ejerzan sus derechos En la práctica, en España, venía suponiendo para las organizaciones, la obligación de: Inscribir los ficheros de datos de carácter personal objeto de tratamiento ante la Agencia Española de Protección de Datos. Aplicar las medidas de seguridad enumeradas en la normativa en función del nivel de los ficheros (bajo, medio o alto) Informar a los interesados y recabar su consentimiento para los tratamientos, permitiéndose el consentimiento tácito (si no se opone en un determinado plazo = consentido) Enfoque reactivo, de acreditación de adopción de medidas e información al interesado en caso de inspección o sanción

DE LA REACCIÓN A LA PREVENCIÓN AEPD: “La UE con este nuevo reglamento ha cambiado la manera de ver y entender la privacidad. Se pasa de un enfoque reactivo a uno preventivo”. En la práctica, ello supone para las organizaciones: Incluir la privacidad dentro del ciclo de gestión del riesgo en los procesos de una compañía. Las medidas de seguridad deben elegirse en función de los riesgos “Responsabilidad Proactiva” (Accountability): cumplir y demostrar Consentimiento como clara acción afirmativa demostrable Mayor control de la información personal Documentación de procesos y nuevos formularios

• NOVEDADES IMPUESTAS POR EL NUEVO RGDP

Principales cambios en la aplicación del RGPD respecto del régimen anterior Reglamento LOPD Nuevo RGPD Multas Las multas en España varían, en función de la gravedad, entre 601, 01€ a 601. 012, 10 €. Estructura escalonada de multas dependiendo del incumplimiento. El nivel 1 es el 2% de la facturación global o € 10 M (lo que sea más alto). El nivel 2 es el 4% de la facturación global o € 20 M (lo que sea más alto). Data Protection Officer (DPO) Si bien esta obligación de figura como tal no existe, si tenemos la obligación de nombrar un responsable de seguridad Se requerirá un DPO para autoridades/organismos públicos y para las organizaciones que realicen vigilancia masiva o procesamiento masivo de datos de categorías especiales La Agencia Española Protección de Datos es de autoridades europeas mayores funciones. Se proporcionará a las autoridades locales de poder todavía mayor. Autoridades de supervisión Inventario Notificación de incumplimiento de las con un rango Si bien no se utiliza el término inventario, en España es obligatorio registrar los ficheros de tratamiento de datos de carácter personal. Generalmente las organizaciones registro de las actividades de datos de carácter personal. necesitarán tratamientos un de No hay generalmente obligaciones de notificación de incumplimientos. Obligación de comunicar las brechas de seguridad de privacidad al regulador dentro de las 72 horas posteriores al evento.

Principales cambios en la aplicación del RGPD respecto del régimen anterior Reglamento LOPD Seguridad Privacy Impact Assessments (PIA’s) No hay requerimiento de realizar PIA’s. Derechos de los datos de los interesados Derechos rectificación, oposición). Encargados , Requerimientos establecidos función del nivel del fichero. Consentimiento Nuevo RGPD en obligatorio ARCO (acceso, cancelación y Necesidad de un contrato. Consentimiento tácito permitido actualmente en España. Responsabilidad en la elección de medidas. Requerimientos explícitos: monitorización, encriptado y anonimización. Controles de seguridad en función del riesgo e impacto. Las compañías deberían realizar PIAs si su actividad se considera de ‘alto riesgo’. Además, portabilidad de datos y ampliación cancelación (“derecho al olvido”). del de Se amplía el contenido del contrato y se exige verificar que el encargado ofrece garantías suficientes. Este, a su vez, tiene nuevas obligaciones (registro de actividad, PIAs, DPO, etc. ) Requerimiento de obtener consentimiento acción afirmativa y auditable. como clara

• ¿QUÉ OBLIGACIONES TENGO COMO RESPONSABLE/ENCANRGADO DEL TRATAMIENTO?

Legitimación Información Determinación de la base jurídica de los tratamientos (contrato, consentimiento, etc. ). Revisión de la relativa al consentimiento. A los interesados (clientes, empleados, etc. ). De contenidos ya obligatorios: para qué se tratan los datos; derechos del interesado; destinatarios de los datos; etc. Y de otros adicionales según el RGPD: base jurídica; plazo de conservación; transferencias internacionales; etc. Proporcionada de forma clara, concisa, transparente y de fácil acceso: información por capas; formato de tabla; etc.

Derechos Acceso; rectificación; supresión; limitación; portabilidad; oposición; no ser objeto de una decisión basada únicamente en el tratamiento automatizado. El RGPD pretende reforzarlos, así como que se arbitren fórmulas para facilitar al interesado su ejercicio. Si no se responde al interesado o se responde o actúa en sentido diferente a lo solicitado: posible infracción por no atender adecuadamente el ejercicio de derechos (incremento drástico de multas a partir del 25/05/18). Mecanismos para el ejercicio de derechos visibles, accesibles y sencillos. Ejercicio a través de la vía electrónica. Procedimientos de respuesta a los ejercicios de derechos en plazo (1 mes, prorrogable).

Encargos de tratamiento Selección responsable de proveedores: valoración de si los encargados ofrecen garantías de cumplimiento del RGPD. Revisión de los contratos de encargo para adaptarlos a los nuevos contenidos del RGPD. IMPORTANTE: contratos por escrito, adaptados y firmados.

Medidas de responsabilidad proactiva Valoración de los riesgos de los tratamientos. Determinación de medidas técnicas y organizativas acordes a la situación de riesgo. Por tanto, revisión de las medidas de seguridad. DESTACADO: registro de actividades de tratamiento. Mecanismos para identificar violaciones de seguridad de los datos. Medidas de reacción frente a las quiebras de seguridad, incluida la evaluación del riesgo y los procedimientos para notificar a las autoridades de protección de datos y si fuera necesario a los interesados. Registro de incidentes de seguridad. Evaluaciones de impacto (PIAs).

Medidas de responsabilidad proactiva DPO. Revisión de políticas internas. Plan de formación y comunicación. Transferencias Internacionales Existencia o no. En caso afirmativo, base jurídica / garantías adoptadas.

Encargado del tratamiento Mantener un registro de las actividades de tratamiento llevadas a cabo por cuenta del responsable. Evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos. Acreditar frente al responsable que cuenta con suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos. Asistir al responsable cuando sea necesario y a petición suya, a fin de asegurar que se cumplenlas obligaciones que se derivan de la realización de las PIA’s. Nombramiento de DPO en los mismos casos que el responsable.

• ¿QUÉ RESPONSABILIDAD TIENE EL DELEGADDO DE PROTECCION DE DATOS?

Requisitos y funciones del DPO Conocimientos especializados del Derecho y la práctica de protección de datos O un empleado (contrato laboral) Puede tener otras funciones siempre y cuando no den lugar a conflicto de intereses (responsable de ventas, TI, etc. ) Dotado de los recursos necesarios para el desempeño de sus funciones, incluido el mantenimiento de sus conocimientos especializados Rendirá cuentas al más alto nivel jerárquico de la empresa No puede recibir instrucción alguna, ni ser destituido ni sancionado por desempeñar sus funciones Con acceso a los datos personales Publicación de sus datos de contacto y comunicación a la Agencia Española de Protección de Datos Puede ocupar el puesto una persona externa (contrato de servicios) Informa y asesora a la empresa sobre las obligaciones de la norma. Supervisa su cumplimiento. Coopera con la Agencia Española de Protección de Datos Punto de contacto para los interesados (clientes, etc. ) y para la Agencia Española de Protección de Datos

Recomendaciones del Grupo de Trabajo del Artículo 29 sobre DPO No son personalmente responsables en caso de incumplimiento Funciones de asesoramiento. Responsable o el encargado como obligados a garantizar y poder demostrar el cumplimiento del RGPD. Elegido en función de los problemas de protección de datos en la organización Conocimiento del sector empresarial y organización (en especial, operaciones de tratamiento y sistemas de información). Disponibilidad personal para interesados y autoridades Físicamente en locales, o una línea directa u otros medios de comunicación seguros. No pueden determinar fines y medios del tratamiento Cargos en conflicto: director de operaciones, de marketing, RRHH, TI, etc. Apoyado por la organización (i. e. consejo de administración) Dotado de recursos personales y materiales suficientes, incluido el tiempo para asesorar en los asuntos. Puede ser uno único para un grupo de empresas siempre que sea fácilmente accesible Referido a sus tareas como punto de contacto interno y respecto de interesados y autoridades. Comunicación con interesados y autoridades “debe producirse en el idioma o idiomas usados por las autoridades supervisoras y los interesados correspondientes” Recomendación de comunicar a autoridad supervisora y empleados el nombre y datos de contacto. Para el público: puede usarse una línea directa o formulario de contacto al DPO.