TOKIKOM Jardunaldiak 2018. Paula Ortiz, IAB Spain-eko Zuzendari Juridikoak, Europako GDPR araudiak hedabideetan duen eraginaren gakoak eman zizkigun.

1. RGPD Y MEDIOS DE COMUNICACIÓN
Paula Ortiz
Directora Jurídica y de Relaciones Institucionales IAB Spain
PaulaOrtiz_

3. Data protection is not a technical or
legalistic matter.
It is a profoundly human one.

4. ÉTICA

5. “Cualquier dato o información numérica, alfabética,
gráfica, fotográfica, acústica o de cualquier tipo
concerniente a personas físicas identificadas o
identificables”

6. PRINCIPIOS
Responsabilidad Demostrable
Legitimación del tratamiento
Principios
Transparencia de las operaciones de
tratamiento
DERECHOS
Información
Derechos de acceso, rectificación y supresión
(derecho al olvido)
Derecho a la limitation del tratamiento
Derecho a la portabilidad
Derecho de oponerse al tratamiento y a la
elaboración de perfiles

11. “The EU provides the right to have your
personal data protected by strong, European
laws…because in Europe privacy matters.”
Jean-Claude Juncker, President of the European Commission
Brussels, 14 September 2016
Privacidad y Protección de Datos: Reglamento Europeo de Protección de Datos

12. Aplicación
global
Dirigir productos o
servicios
Monitorizar
comportamiento
Amplia
concepto de
dato personal
Identificadores online,
identificadores de
dispositivo IDs cookie,
Más difícil la
obtención del
consentimiento
(Inequívoco)
Derecho a la
portabilidad
Refuerzo de la
información
Consulta previa
a en
tratamiento de
alto riesgo
(después de la
PIA)
Data Protection
Officcers
Aumento
multas: 20 mill
de euros ó 4%
facturación
global anual.
¿Qué significa para la publicidad digital? Año 0 para muchos negocios publicitarios.
Prohibición
elaboración de
perfiles: salvo
consentimiento
explícito
Reglamento Europeo de Protección de Datos
Aplicación
global
Dirigir productos o
servicios
Monitorizar
comportamiento
Amplia concepto
de dato personal
Identificadores online,
identificadores de dispositivo
IDs cookie, IP´s
Más difícil la
obtención del
consentimiento
(Inequívoco)
Derecho a la
portabilidad
Protección de
Datos desde el
diseño/ Privacy
Impact Assesment/
Rendición de
cuentas
Prohibición
elaboración de
perfiles: salvo
consentimiento
explícito

14. Reglamento Europeo de Protección de Datos
LEGITIMACIÓN
Mirar los diferentes datos que tratamos
identificar la base legal para tratarlos y
documentarlo.
Revisar cómo estás obteniendo el
consentimiento y si tienes que hacer cambios
2
8
7
3
4
CONCIENCIACIÓN
Asegúrate que los tomadores de decisiones y
la gente clave sabe que hay un cambio de
norma. Necesitan conocer el impacto que
tendrá.
INFORMACIÓN: POLÍTICAS DE
PRIVACIDAD Y AVISOS
Revisar tus políticas de privacidad actuales e
incluir los requisitos del RGPD y las capas.
Clara, de fácil acceso?
DERECHOS
Revisar los procedimientos para asegurar que
cubren todos los derechos incluyendo cómo se
van a eliminar los datos personales o darlos
en forma electrónica. Es necesaria la
colaboración de un E.T?
1
5
SOLICITUDES DE ACCESO Actualizar los
procedimientos y planificar como se van a gestionar
las peticiones dentro de los nuevos plazos
6
RELACIONES RESPONSABLE-ENCARGADO
Se han chequeado las garantías?
Contiene todos los elementos del RGPD?
RESPONSABILIDAD PROACTIVA
Valoración de riesgos? Valoración RAT, tienes una
metodología para la PIA?
VIOLACIONES DE SEGURIDAD
Asegurarte de que tienes los procedimientos
adecuados para detectar, reportar e investigar las
brechas de seguridad
9
MENORES
OFICIALES DE PROTECCIÓN DE DATOS
Deberías designar un DPO si así lo
establece la ley, que se responsabilice
del cumplimiento y establecer qué rol
tendrá en tu organización
TRANSFERENCIAS INTERNACIONALES
Si operas internacionalmente, debes determinar a
qué autoridad PD te sometes
10
11

15. Revisión de la ruta de cumplimiento:
Todas las actividades de tratamientos de datos deben ser revisadas y documentadas identificando
"qué, dónde, cuándo y por qué" realizando un análisis de riesgo en cada tratamiento.
• ¿Dónde, cuándo y por qué trato los datos? DIBUJAR CUADRO DE TRATAMIENTOS
• ¿Tengo un fundamento jurídico para tratarlos? ¿Cuál es?
• ¿Qué información doy en la recogida de datos?
• ¿Estoy aplicando los principios del tratamiento de datos?
• ¿Qué datos se anonimizan, qué datos se pseudonimizan?
• ¿Por cuánto tiempo almaceno estos datos?
• ¿Con quién comparto estos datos?
• ¿Cuál es el nivel de riesgo por tratamiento?
• ¿En qué casos soy el responsable del tratamiento o el encargado?
• ¿Estoy transfiriendo datos fuera de la UE?
• ¿Pido el consentimiento solo para mi empresa o para terceros?
• ¿He revisado y documentado los procesos de seguridad?
• Informar AEPD de las violaciones de seguridad de los datos en 72 horas

16. (32) El consentimiento debe darse mediante un acto afirmativo claro que
refleje una manifestación de voluntad libre, específica, informada, e
inequívoca del interesado de aceptar el tratamiento de datos. Esto
podría incluir cualquier declaración o conducta que indique claramente
que el interesado acepta tratamiento de sus datos. Por tanto, el silencio,
las casillas ya marcadas o la inacción no deben constituir
consentimiento.
Estoy de acuerdo (conducta activa)
Por seguir navegando, usando el servicio consideramos que aceptas
Inactividad o silencio (Si no nos dices nada, consideramos que aceptas)
Casillas premarcadas
 Separado de otros términos o declaraciones.
 No se puede usar el consentimiento para la prestación del servicio para otras
finalidades
 Informar que tienen derecho a retirar el consentimiento en cualquier momento
 Fórmula: Consentimientos separados para diferentes finalidades

17. Información básica
(1ª capa)
Información adicional
(2ª capa, detallada)
Epígrafe

18. Privacidad y publicidad digital: LSSI

19. Pasamos de esto
A esto

25. Privacidad y Protección de Datos
CONSEJOS ÚTILES
Informar al usuario...
...y, legitimar el tratamiento, pedir el
consentimiento
O anonimizar
• Política de Privacidad
• Aviso legal
• Aviso de cookies

27. Legislación sobre cookies:
Directiva 2009/136/CE
(transpuesta en LSSI)
DE INFORMACIÓN A
CONSENTIMIENTO INFORMADO
Autoridades de protección de datos
CONSENTIMIENTO EXPRESO
Industria publicidad digital
AD CHOICES

37. Interconexión e-Privacy-RGPD La recogida de datos en internet requiere el
consentimiento por el Reglamento de e-Privacy.
El tratamiento de datos personales requiere una
base legal (consentimiento o interés legítimo)
Cuando aplican los dos a la vez , prevalecen las
normas del consentimiento más específicas del
e-Privacy
¿QUÉ ES CONSENTIMIENTO?
-Indicación libre, específica, informada e
inequívoca por una manifestación o una clara
acción afirmatia.
-Requiere avisos informativos claros con todas
las finalidades
-Los responsables tienen que demostrar que
han obtenido ese consentimiento en un
registro.
-Tiene que ser revocable de manera sencilla.E-privacy RGPD
Base legal
Acceso/almacenamiento
de información en los
terminales
Acceso/almacenamiento
de información en los
terminales
CONSENTIMIENTO

38. REGLAMENTO DE E-PRIVACY
- Consentimiento inequívoco
instalación de cookies a través de
navegador
- Obligación navegadores bloquear
todas las cookies
- Prohibición cookie walls

40. 28,3 M 21,1 M 5,6 M10,7 M

41. Protección de datos y
medios de comunicación.

42. https://www.publico.es/espana/proteccion-datos-congreso-
sigue-apostando-limitar-libertad-expresion-futura-ley-organica-
proteccion-datos.html

43. LOPD
El derecho de rectificación que recoge la Ley Orgánica 2/1984 consagra el derecho de
cualquiera, ante "cualquier medio de comunicación social", a exigir una rectificación de "hechos
que le aludan, que considere inexactos y cuya divulgación pueda causarle perjuicio". Es decir, el
requisito que establece para poder solicitar una rectificación es doble: ha de tratarse de
una información inexacta y perjudicial. Es decir, se pueden (y deben) rectificar inexactitudes,
no sólo ofensas.
La LOPD parece ampliar los supuestos que amparan el derecho de rectificación. El derecho de
rectificación "sólo permite rectificar información inexacta“, no está para proteger el derecho
al honor o la intimidad"

45. ¿Es posible desaparecer de internet?
En palabras de la AEPD…
“Es la protección frente a las lesiones de
derechos producidas por la difusión universal de
datos personales en Internet y su accesibilidad a
través de buscadores”
Lesión de derechos:
•Intimidad, honor, propia imagen
•Libertad ideológica
•Libertad religiosa
•Igualdad y no discriminación
•Libre desarrollo de la personalidad
•Protección datos personales
Es la proyección Internet derechos existentes

46. https://politica.elpais.com/politica/2018/06/26/actualidad/1530007122_707929.html
https://www.abc.es/sociedad/20151019/abci-derecho-olvido-supremo-201510191725.html

47. • ¿Pueden los miembros de La Manada solicitar el Derecho al
olvido? ¿Y la víctima?