Presentación sobre las novedades y aspectos relevantes del nuevo Reglamento General de Protección de Datos (RGPD) que entrará en vigor el próximo 25 de mayo.
2. • MARCO HASTA EL 25 MAYO
• Ley Orgánica 15/1999 de protección de datos de carácter personal.
• Real Decreto 1720/2007 Reglamento de desarrollo de la Ley orgánica 15/1999.
• MARCO A PARTIR DEL 25 MAYO
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril
del 2016 relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de los datos
• Es de transposición directa.
• Deroga la Directiva 95/46/CE.
• Entrada en vigor el 25 de mayo de 2016.
• Entrada en aplicación el 25 de mayo de 2018.
3. • APLICABLE PENDIENTE DE APROBACIÓN
• Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal
(actualmente en el Congreso pendiente de aprobación que será con
posterioridad al 25 de Mayo).
• Amplia aspectos del RGPD.
• Deroga la Ley 15/1999.
• Qué son “Datos personales” para el RGPD:
• Toda información sobre una persona física identificada o identificable («el
interesado»); se considerará persona física identificable toda persona cuya
identidad pueda determinarse, directa o indirectamente, en particular
mediante un identificador, como por ejemplo un nombre, un número de
identificación, datos de localización, un identificador en línea o uno o varios
elementos propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona.
• Quién está obligado?
4. • MOTIVOS
• Armonizar la normativa europea de protección de datos ante los retos
que plantea el continuo desarrollo y evolución de la tecnología, los
desafíos de la globalización que supone la globalización para la
circulación de los datos y el aumento exponencial de tratamientos de
datos de carácter personal que se producen cada día.
• OBJETIVO
• Dar un mayor control a los ciudadanos sobre sus datos de carácter
personal en un mundo de teléfonos inteligentes, redes sociales, banca
por internet y transferencias de datos globales de información y,
paralelamente, aumentar la eficiencia empresarial en la economía
digital. Por tanto refuerza la protección de datos de los particulares.
• (Acotar Multinacionales)
• CAMBIO DE FILOSOFIA
• Las empresas ya son maduras en Protección de Datos.
5. NOVEDADES Y ASPECTOS MAS RELEVANTES
• Se extiende su ámbito de aplicación más allá de las fronteras de la unión
europea
• Se aplicará a los tratamientos de datos personales de los establecimientos de
responsables o encargados de la Unión Europea, independientemente que se
realicen en la Unión o no.
• Se aplicará a responsables o encargados no establecidos en la Unión de datos
personales de interesados que se encuentren en la Unión cuando las
actividades estén relacionadas con:
• La oferta de bienes o servicios a dichos interesados de la Unión.
• El control de su comportamiento en la medida que este tenga lugar en la
Unión.
• Desaparece la obligación de declarar los ficheros ante la Agencia Española de
Protección de Datos.
• Desaparece el registro publico y es sustituido por un registro privado por parte
de cada responsable.
6. • Con el RGPD hablaremos de Tratamiento de datos, no de Ficheros como hasta ahora.
• Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la
recogida, registro, organización, estructuración, conservación, adaptación o modificación,
extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma
de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Proteger ficheros -→ Securizar tratamientos.
• Obligación de llevar un Registro de Actividades de Tratamientos de datos que llevará
internamente cada responsable.
• En la práctica tendrá la condición de obligatorio para el 99% de empresas de este país (Oblig.: +250
empl; categorías especiales, entrañe riesgos para derechos y libertades, tratamiento continuado).
7. Contenido: Fines, categorías de interesados, categorías datos, destinatarios, transferencias,
plazos conservación, medidas técnicas.
• Desaparecen los niveles de datos (BASICO, MEDIO y ALTO) y ahora solo
distinguiremos entre datos normales o de categorías especiales.
• Datos de categorías especiales: Origen étnico o racial, opiniones políticas,
convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos
biométricos dirigidos a identificar inequívocamente a una persona física, salud y
vida sexual o orientación sexual de una persona física.
• Limitación del plazo de conservación
• Y el interesado debe ser informado de ese plazo de conservación.
8. • Minimización de datos
• Derechos
• Se mantienen los existentes : Acceso, rectificación, cancelación y oposición (ARCO).
• Se incorporan nuevos derechos:
• Derecho a la portabilidad de los datos.
• Derecho de información (Transparencia como se utilizan los datos).
• Derecho olvido (supresión de datos).
• Derecho de oposición a ser objeto de decisiones individuales automatizadas.
(especialmente en lo que se refiere a la elaboración de perfiles).
9. • Se refuerza la importancia del consentimiento
• Libre y afirmativo.
• Lenguaje claro y sencillo.
• Distinguible claramente del resto de otros asuntos.
• El responsable debe poder demostrar que el interesado consintió el tratamiento
de sus datos personales.
• Desaparición del consentimiento tácito o por inacción
• El Responsable deberá dar nueva cobertura legal a los que en el pasado fueron
obtenidos de forma tácita.
Fin prácticas anteriores en Presupuestos, ferias, etc.
• Se refuerza la información a facilitar a los interesados
• Se amplia la información a facilitar a los interesados en la recogida de datos.
• En consecuencia deberemos facilitar la información ampliada a todos aquellos
de quienes obtuvimos datos en el pasado.
• Posibilidad de información por capas.
10. • Licitud del tratamiento.
• El interesado preste su consentimiento.
• Necesario para la ejecución de un contrato en el que el interesado sea parte.
• Para cumplir una obligación legal del responsable.
• Para proteger intereses vitales del interesado.
• Para el cumplimiento de una misión de interés público.
• Sea necesario para satisfacer el interés legítimo del responsable.
• Obligación de informar de brechas de seguridad a AEPD y en casos graves al
afectado. Plazo máximo 72 horas. Efecto Reputacional.
11. • Regula y amplía el contenido que deben tener los contratos entre
responsables y encargados de tratamiento
• Los actuales contratos de protección de datos firmados con la LOPD a partir del
día 25 de mayo dejan de ser legales al ser incompletos.
• Obligación de llevanza de un Registro de Actividades de tratamiento por parte
de encargados de tratamiento
Conteniendo:
• Identificación del responsable o encargado por cuenta quien trata los datos.
• Las categorías de tratamientos.
• Las transferencias a un tercer país u organización internacional.
• Descripción de las medidas técnicas y organizativas de seguridad que deben
aplicarse.
12. • Principio de protección de datos desde el diseño y por defecto
• Principio de responsabilidad proactiva (equiv. Riesgos Penales).
• Análisis y evaluación de riesgos para definir las medidas a adoptar para
minimizarlos (*).
• Evaluación de Impacto relativa a la protección de datos (*)
• Obligatorio cuando sea probable que tratamiento, en particular si utiliza
nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe
un alto riesgo para los derechos y libertades de las personas físicas
• La autoridad de control establecerá y publicará una lista de los tipos de
operaciones de tratamiento que requerirán una evaluación de impacto.
Podrá asimismo establecer y publicar una lista de tipos de operaciones
que no la requerirán.
• A realizar antes del tratamiento.
• Grupo de trabajo Art. 29: 9 criterios.
(*) Criterio. Documentar muy bien.
13. • Se regula la aparición de una nueva figura: El Delegado de
Protección de Datos (Data Protección Officer - DPO) (equiv. Riesgos Penales. Dif.)
• Nombramiento obligatorio en casos de:
• Tratamientos que requieran una observación habitual y sistemática de interesados a gran
escala.
• Tratamientos a gran escala de categorías especiales de datos.
• Tratamientos llevados a cabo por autoridades y organismos públicos.
• El Proyecto de Ley Orgánica de Protección de Datos, no obstante, ha ampliado los casos
obligatorios que establece el RGPD con una lista de entidades.
• El DPO puede nombrarse voluntariamente, pese a no existir obligación
(Proactividad y otras ventajas interesantes).
• El DPO debe tener conocimientos especializados del Derecho y la práctica en materia de protección
de datos y conocimientos técnicos en materia de seguridad de la información.
• Debe comunicarse la identidad del DPO a la Agencia Española de Protección de Datos quien llevará
un registro.
14. • Sus funciones:
• Informar y asesorar de las obligaciones que incumben al responsable, encargado y
empleados que se ocupen del tratamiento, participando en todas las cuestiones
relativas a la protección de datos personales.
• Supervisar el cumplimiento del RGPD y de las políticas del responsable o encargado
en materia de protección de datos.
• Ofrecer el asesoramiento que se le solicite acerca de la Evaluación de Impacto y
verificar su aplicación.
• Cooperar con la autoridad de control.
• Actuar como punto de contacto de la autoridad de control para cuestiones relativas
al tratamiento.
• Atender a los interesados que se pongan en contacto con relación a cuestiones
relativas al tratamiento de datos personales y el ejercicio de sus derechos.
• Reporta directamente al más alto nivel jerárquico del responsable o encargado
• Si bien el DPO está fuera del régimen sancionador, puede tener responsabilidades,
incluso penales.
15. • Regula las transferencias Internacionales
• Basadas en una decisión de adecuación
• La comisión ha decidido que un país, un territorio o varios sectores de ese país garantizan un
nivel de protección adecuado.
• No requiere ninguna autorización específica.
• En la Web de la comisión europea puede consultarse aquellos países que ofrecen un nivel
adecuado de protección de datos.
• Caso EEUU: Privacy Shield.
• Basadas en garantías adecuadas
• Sin requerimiento de autorización por la autoridad de control.
• Instrumento jurídicamente vinculante y exigible entre autoridades y organismos públicos
(tratados internacionales, sistemas de cooperación policial y judicial).
• Normas corporativas vinculantes (para grupos internacionales de empresas).
• Clausulas tipo adoptadas por la Comisión o por una autoridad de control
• Código de conducta vinculante.
• Mecanismo de certificación vinculante.
16. • Con autorización de la autoridad de control.
• Cláusulas contractuales entre emisores y receptores.
• Disposiciones en acuerdos administrativos entre autoridades u organismos públicos.
• Basadas en excepciones para situaciones específicas (Art. 49 RGPD).
• Interesado haya dado explícitamente su consentimiento tras haber sido informado de los posibles
riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de
garantías adecuadas.
• La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable
del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del
interesado.
• La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del
interesado, entre el responsable del tratamiento y otra persona física o jurídica.
• La transferencia sea necesaria por razones importantes de interés público.
• La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
• La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas,
cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
17. • Cifrado
• Obligatorio para tratamientos de categorías especiales de datos
• Aunque recomendable en todos los casos
• Seudonimización
• El tratamiento de datos personales de manera tal que ya no puedan
atribuirse a un interesado sin utilizar información adicional, siempre que
dicha información adicional figure por separado y esté sujeta a medidas
técnicas y organizativas destinadas a garantizar que los datos personales
no se atribuyan a una persona física identificada o identificable.
• Regula las relaciones entre las autoridades de control de cada
estado miembro, estableciendo el criterio para determinar
autoridades competentes e interesadas, en el tratamiento
denuncias de los interesados en tratamientos transfronterizos,
etc.
18. • En el RGPD no existe el término “dato de carácter profesional” como
teníamos en el RLOPD.
• En el Proyecto de Ley Orgánica de Protección de Datos pendiente de aprobación
hay la previsión de que el tratamiento de datos de personas que presten
servicios en una persona jurídica se presumirá amparado a lo dispuesto al
art.6.1.f del RGPD, es decir, que la base legal es el interés legítimo del
responsable, siempre que se cumplan los siguientes requisitos:
• El tratamiento se refiera únicamente a los datos necesarios para su
localización profesional.
• La finalidad del tratamiento sea únicamente mantener relaciones de
cualquier índole con la persona jurídica en la que preste sus servicios.
• La misma presunción se dará para el tratamiento de los datos relativos a los
empresarios individuales cuando se refieran a ellos únicamente en dicha
condición y no se traten para entablar una relación con los mismos como
personas físicas.
• Atención con el deber de información!
19. • Derecho a indemnización y responsabilidad
• Casuística comunicaciones comerciales
• Una realidad: Dificultad de poder probar el consentimiento de todos los datos que
tenemos en nuestro CRM.
• No parece que haya base legal en el interés legítimo del responsable para el
marketing directo.
• Puede existir base legal en el Interés legitimo para envío de comunicaciones a
clientes para ciertos casos. Cada caso deberá de ser valorado.
• A tener en cuenta: El Art. 21.2 de la Ley 34/2002 de Servicios de la Sociedad de la
Información y Comercio Electrónico.
20. Artículo 21 Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o
medios de comunicación electrónica equivalentes .
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio
de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas
por los destinatarios de las mismas.
2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual
previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del
destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o
servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de
contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines
promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada
una de las comunicaciones comerciales que le dirija.
Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente
en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este
derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
21. • Regula los códigos de conducta
• Destinados a contribuir a la correcta aplicación del presente reglamento
• Los Estados miembros, Autoridades de control, el Comité y la Comisión promoverán la
elaboración de Códigos de Conducta
• Las asociaciones y otros organismos representativos de categorías de responsables o
encargados de tratamiento podrán elaborar códigos de conducta.
• Regula las Certificaciones
• Mecanismos de certificación en materia de protección de datos y marcas y sellos de
protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el RGPD.
• La certificación será voluntaria
• Se expedirá a un responsable o encargado de tratamiento por un periodo de 3 años,
pudiendo ser renovada en las mismas condiciones si se siguen cumpliendo los
requisitos pertinentes.
• Atención, encargados de tratamiento.
22. INFRACCIONES
• Infracciones con multas administrativas de 10 Millones EUR como máximo o
tratándose de empresas, de la cuantía equivalente al 2% como máximo del volumen
de negocio total anual global del ejercicio financiero anterior (se opta siempre por
la de mayor cuantía):
• Incumplimiento condiciones aplicables al consentimiento de niños.
• Incumplimiento de medidas técnicas y organizativas adecuadas.
• Incumplimiento obligaciones entre responsables y encargados de tratamiento.
• Incumplimiento de Registro de actividades de tratamiento.
• Incumplimiento en las obligaciones de notificaciones de violaciones de seguridad.
• Incumplimiento en la Evaluación de Impacto relativa a la protección de datos.
• Incumplimiento en relación al Delegado de Protección de Datos
23. • Infracciones con multas administrativas de 20 Millones EUR como máximo o tratándose
de empresas, de la cuantía equivalente al 4% como máximo del volumen de negocio
total anual global del ejercicio financiero anterior (se opta siempre por la de mayor
cuantía):
• Incumplimiento de principios relativos al tratamiento, licitud del tratamiento,
condiciones para el consentimiento y tratamiento de categorías especiales de datos (art.
5, 7, 7 y 9 RGPD)
• Incumplimiento de los derechos de los interesados (art. 12 a 22 RGPD)
• Incumplimiento en Transferencias Internacionales de datos personales a terceros
países (art. 44 a 49 RGPD)
• Incumplimiento de las resoluciones de la autoridad de control o no facilitar el acceso a la
autoridad de control en el ejercicio de sus poderes de investigación
24. PRESCRIPCIÓN DE LAS INFRACCIONES
Se establecen en el Proyecto de Ley Orgánica de Protección de Datos pendiente de
aprobación, como sigue:
• 3 años para las infracciones muy graves (art. 72 PLOPD).
• 2 años para las infracciones graves (art. 73 PLOPD).
• 1 años para las infracciones leves (art 74 PLOPD).
____________________
Un principio a seguir: Ante la duda, a máximos
Tener siempre presente que denunciar es muy fácil y barato
25. JDA/SFAI GRANOLLERS
c/ Francisco de Quevedo, 9
08402 Granollers, Barcelona
T. 93 860 03 70
JDA/SFAI BARCELONA
c/ Balmes 49, 4ª planta
08007 Barcelona
T. 93 412 76 39
JDA/SFAI SABADELL
c/ Tres Creus, 92
08202 Sabadell, Barcelona
T. 93 725 91 53
www.jda.es