Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Obligaciones de las empresa en el nuevo RGPD

1.200 Aufrufe

Veröffentlicht am

Presentación de Rafael García Gozalo, Jefe del Departamento Internacional de la AEPD, para la jornada #AdigitalDatos celebrada el 13 de marzo de 2017 en Madrid.

Veröffentlicht in: Recht
  • Als Erste(r) kommentieren

Obligaciones de las empresa en el nuevo RGPD

  1. 1. 1Agencia Española de Protección de Datos “Obligacionesdelasempres enelnuevoRGP JornadaAdigi Madrid,14demarzode20 Rafael García Gozalo Jefe del Departamento Internacional AEPD
  2. 2. 2Agencia Española de Protección de Datos Responsabilidad activa • El Reglamento prevé que los responsables aplicarán las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el presente Reglamento. Tales medidas se revisarán y actualizarán cuando sea necesario • En otros términos  el Reglamento •Considera insuficiente “no incumplir” •Incluye obligaciones dirigidas a prevenir incumplimientos • La no aplicación de estas medidas es sancionable
  3. 3. 3Agencia Española de Protección de Datos Responsable – Encargado • Obligación general de diligencia en selección de encargado • Regulación más detallada que en Directiva  Contrato fijará • Objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos personales, categorías de interesados afectados, obligaciones y derechos del responsable del tratamiento • Obligación de tratar los datos únicamente siguiendo instrucciones documentadas del responsable • Confidencialidad de personas que manejen datos • Obligación de borrar o devolver datos al fin de prestación • Medidas “conforme al artículo 32” • Contratación de subencargados con autorización previa, general o específica, del responsable, y posibilidad de rechazar subencargados • Asistencia al responsable en ejercicio de derechos y en cumplimiento de obligaciones de arts. 32 a 36
  4. 4. 4Agencia Española de Protección de Datos Responsable – Encargado Algunas peculiaridades • Previsión de que el responsable “realice auditorías y contribuya a ellas, incluidas las inspecciones dirigidas por el responsable o por otro auditor autorizado por dicho responsable” • Obligación de informar al responsable “si, en su opinión, una instrucción infringe el Reglamento o las disposiciones nacionales o de la Unión en materia de protección de datos” • Posibilidad de “contratos modelo” COM/APD • Responsabilidad del Encargado
  5. 5. 5Agencia Española de Protección de Datos Responsabilidad activa Tipos de medidas • Mantener “registro de actividades de tratamiento” • Medidas de Protección de Datos desde el Diseño • Medidas de Protección de Datos por Defecto • Aplicar medidas de seguridad adecuadas • Llevar a cabo Evaluaciones de Impacto • Autorización previa o consultas previas con APD • Designación Delegado Protección de Datos (DPD) • Notificación de Quiebras de Seguridad • Códigos de conducta y esquemas de certificación
  6. 6. 6Agencia Española de Protección de Datos Enfoque de riesgo • Medidas aplicables en función del riesgo para los derechos y libertades de los interesados • Alto riesgo vs. riesgo estándar • El riesgo como criterio de ponderación • El caso de la notificación de violaciones de seguridad • Problema de determinación del nivel de riesgo
  7. 7. 7Agencia Española de Protección de Datos Enfoque de riesgo ¿Cómo medir riesgo? Considerando 75 “Los riesgos (…) pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular - en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; - en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; - en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; - en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, (….) con el fin de crear o utilizar perfiles personales; - en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.”
  8. 8. 8Agencia Española de Protección de Datos Enfoque de riesgo ¿Cómo medir riesgo y cómo guiar a responsables? • Considerando 76: “La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.” • El Comité Europeo de Protección de Datos también puede publicar directrices sobre operaciones de tratamiento de las que se considera que es poco probable que den lugar a un riesgo elevado para los derechos y libertades de las personas físicas e indicar qué medidas pueden ser suficientes en dichos casos para afrontar el riesgo en cuestión • Códigos de conducta (…), certificaciones (…), orientaciones del Comité Europeo de Protección de Datos o indicaciones proporcionadas por un DPD podrían proporcionar directrices para la aplicación de medidas apropiadas y para demostrar el cumplimiento por parte del responsable o el encargado del tratamiento, (…)
  9. 9. 9Agencia Española de Protección de Datos PDdD Protección de Datos desde el diseño • Medidas técnicas y organizativas adecuadas (p.ej. seudonimización, minimización) para aplicar principios de PD de forma eficaz y proteger los derechos • En el momento de determinar los medios para el tratamiento y en el momento del tratamiento (integrar necesarias garantías) • Teniendo en cuenta • Naturaleza, ámbito, contexto y fines del tratamiento • Riesgos de diversa probabilidad y gravedad (no sólo alto riesgo) • Estado de la técnica y coste
  10. 10. 10Agencia Española de Protección de Datos PDpd Protección de Datos por defecto • Medidas técnicas y organizativas apropiadas • Tratamiento por defecto sólo de datos personales necesarios para cada fin específico •Cantidad de datos recopilados •Extensión del tratamiento •Periodo de almacenamiento •Accesibilidad •En particular, evitar la accesibilidad a un número indeterminado sin intervención de alguien
  11. 11. 11Agencia Española de Protección de Datos Registro de tratamientos • Obligación para responsable y encargado • Contenido (responsable) • Identificación y datos de contacto de responsable, corresponsable, representante y DPO • Fines • Descripción de categorías de interesados y datos personales • Categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales) • TID a terceros países u organizaciones internacionales y documentación de garantías para TID exceptuadas sobre base de intereses legítimos imperiosos • Cuando sea posible, plazos previstos para supresión de datos • Cuando sea posible, descripción general de medidas de seguridad
  12. 12. 12Agencia Española de Protección de Datos Medidas de seguridad • Medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta • Estado de la técnica y costes de aplicación • Naturaleza, alcance, contexto y fines del tratamiento • Riesgos para los derechos y libertades de las personas • El nivel de seguridad incluirá, en su caso, entre otros • seudonimización y cifrado de datos personales • capacidad de garantizar confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento • capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico • verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad • La adhesión a un código de conducta o a un mecanismo de certificación podrá servir de elemento para demostrar el cumplimiento de los requisitos de seguridad
  13. 13. 13Agencia Española de Protección de Datos Notificación de violaciones de seguridad de los datos Notificación a APD • Sin demora y a más tardar en 72 horas desde que se haya tenido constancia. Más tarde, justificación motivada • No obligación cuando “sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas” • Reglamento prevé contenido mínimo de notificación • Documentación de todas las violaciones de seguridad • Obligación del encargado de notificar sin dilación indebida violaciones de seguridad al responsable
  14. 14. 14Agencia Española de Protección de Datos Notificación de violaciones de seguridad de los datos Notificación a interesados • Cuando es probable que la quiebra entrañe alto riesgo para los derechos y libertades de interesados • Sin dilación indebida • Contenido mínimo, que no incluye posibles medidas paliativas • Excepciones  • Implementación de medidas de protección tecnológica que haga ininteligibles los datos a terceros no autorizados (p.ej.: datos encriptados) • medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para derechos y libertades • APD puede obligar a notificar a interesados
  15. 15. 15Agencia Española de Protección de Datos Evaluación de impacto • Deberá realizarse cuando sea probable que el tratamiento previstos presente un alto riesgo específicos para los derechos y libertades de los interesados, entre otros casos, cuando: • elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar; • tratamiento a gran escala de las categorías especiales de datos • observación sistemática a gran escala de una zona de acceso público • Las APD deberán establecer listas adicionales de tratamientos de alto riesgo y podrán establecer listas que no requieren EIPD • El RGPD prevé un contenido mínimo de la evaluación • Como novedad, se prevé que habrá de recabarse asesoramiento de DPD y “cuando proceda” la opinión de los interesados
  16. 16. 16Agencia Española de Protección de Datos Evaluación de impacto • Consulta a APD cuando una EIPD muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo  Considerando 94 “y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación” • APD podrá  • Asesorar por escrito al responsable, y en su caso al encargado • Utilizar cualquiera de sus poderes, incluido prohibir el tratamiento • El derecho nacional podrá obligar a los responsables a consultar a la autoridad de control y a recabar su autorización previa en tratamientos derivados del ejercicio de una misión realizada en interés público por parte del responsable
  17. 17. 17Agencia Española de Protección de Datos DPD • Deberá existir en responsables y encargados cuando • tratamiento se realice por autoridad u organismo público • las actividades principales de responsable o encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala • las actividades principales de responsable o encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales • También habrán de designarlo cuando así lo establezca el derecho de la Unión o de los Estados Miembro
  18. 18. 18Agencia Española de Protección de Datos DPD • Grupo de empresas  Posibilidad de un solo DPD “fácilmente accesible desde cada establecimiento” • Administraciones Públicas  Un solo DPD para varias entidades • En otros casos, los responsables, encargados o las asociaciones u organismos que agrupen a categorías de responsables o encargados pueden designar un DPD, que podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados
  19. 19. 19Agencia Española de Protección de Datos DPD • Nombramiento basado en  • Cualidades profesionales • Conocimientos especializados del Derecho y la práctica en materia de protección de datos • Capacidad para desempeñar sus funciones • Relación laboral o mediante contrato de servicios • Podrá desempeñar otras funciones, si no hay conflicto de intereses • No podrá recibir ninguna instrucción en lo que respecta al desempeño de dichas funciones • No podrá ser destituido ni sancionado por desempeñar sus funciones • Rendirá cuentas directamente al más alto nivel jerárquico • Podrá ser contactado por interesados y APD
  20. 20. 20Agencia Española de Protección de Datos DPD Funciones • Informar y asesorar sobre obligaciones impuestas por normativa de protección de datos de la Unión o de los EEMM • Supervisar el cumplimiento de la normativa de protección de datos, incluidas: • asignación de responsabilidades • concienciación y formación del personal • las auditorías correspondientes • Ofrecer asesoramiento sobre EIPD • Cooperar con la APD y actuar como punto de contacto para cuestiones relativas al tratamiento
  21. 21. 21Agencia Española de Protección de Datos Códigos de Conducta • Obligación general de promoción para EEMM, APD, CEPD y COM • Promovidos por asociaciones y otros organismos representativos de categorías de responsables o encargados • Objetivo  Especificar aplicación del RGPD • RGPD recoge contenido indicativo  • Intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos • Recogida de datos personales • Seudonimización de datos personales • Información proporcionada al público y a los interesados • Mecanismos de resolución extrajudicial de conflictos….
  22. 22. 22Agencia Española de Protección de Datos Códigos de Conducta • Posibilidad de que haya un organismo específico de supervisión, sin perjuicio de competencias de APD • Si ese órgano existe  necesidad de incluir mecanismos que permitan el ejercicio de sus funciones de supervisión • Procedimiento de aprobación: • Cons. 99 prevé que los promotores deben consultar a las partes interesadas, incluidos los interesados, cuando sea posible • Presentado ante “autoridad competente” que aprobará, registrará y publicará si considera que ofrece garantías suficientes • Si código guarda relación con actividades de tratamiento en varios EEMM  Mecanismo de coherencia en CEPD • Si el CC es correcto, el CEPD se lo presentará a la COM que, “podrá” decidir, mediantes actos de ejecución, que el CC es válido en toda la UE y le dará publicidad
  23. 23. 23Agencia Española de Protección de Datos Códigos de Conducta Organismo de supervisión • Debe ser acreditado por APD, siguiendo criterios que han de ser aprobados por CEPD • Criterios deben incluir  • Independencia y pericia • Procedimientos de evaluación y supervisión • Procedimientos para atender reclamaciones de interesados • Ausencia de conflicto de intereses • APD podrán  • Retirar acreditación • Sancionar a organismo con multas de hasta 10 M EUR
  24. 24. 24Agencia Española de Protección de Datos Certificaciones • Referencia a “certificación, sellos y marcas” • Aplicables a responsables y encargados • Objeto  “Demostrar el cumplimiento de lo dispuesto en el presente Reglamento” y “permitir a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes” • Certificaciones se expiden por periodos máximos de 3 años y son renovables • Se pueden retirar, en caso de incumplimiento, por organismo de certificación o por APD. • El CEPD llevará un registro que se pondrá a disposición del público “por cualquier medio apropiado” sobre todos los mecanismos de certificación, sellos y marcas
  25. 25. 25Agencia Española de Protección de Datos Certificaciones Procedimiento de certificación • Certificación la puede emitir  • APD • Entidad de certificación, que deberá informar a la APD para que ésta pueda ejercer sus poderes de verificación • Entidad de certificación acreditada (máx. 5 años) por  • APD competente en función de los arts. 55 y 56 • Organismo de acreditación designado de acuerdo con el Reglamento 765/2008 y con los criterios adicionales que establezca la APD competente en virtud de los arts. 55 y 56 • Ambos
  26. 26. 26Agencia Española de Protección de Datos Certificaciones Procedimiento de certificación • Criterios de acreditación de entidades de certificación  • Demostrar independencia y competencia ante APD • Comprometerse a aplicar criterios de certificación adoptados por APD • Establecer procedimientos para certificación • Establecer procedimientos y estructuras para tratar las reclamaciones relativas a infracciones de la certificación • No incurrir en conflicto de intereses • Los criterios de certificación los puede aprobar  • La APD • El CEPD  Certificación común denominada “Sello Europeo de Protección de Datos”
  27. 27. 27Agencia Española de Protección de Datos Certificaciones Pero… Art. 70 establece que el CEPD  • “o) realizará la acreditación de los organismos de certificación y su revisión periódica en virtud del artículo 43, y llevará un registro público de los organismos acreditados en virtud del artículo 43, apartado 6, y de los responsables o los encargados del tratamiento acreditados establecidos en terceros países en virtud del artículo 42, apartado 7; • p) especificará los requisitos contemplados en el artículo 43, apartado 3, con miras a la acreditación de los organismos de certificación en virtud del artículo 42”
  28. 28. 28Agencia Española de Protección de Datos ¡Gracias por su atención! rgarciag@agpd.es www.agpd.es
  29. 29. 29Agencia Española de Protección de Datos

×