SlideShare ist ein Scribd-Unternehmen logo

ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE DATOS

Javier Alvarez Hernando
Javier Alvarez Hernando

Ponente: JAVIER ALVAREZ HERNANDO Taller: VISION PRACTICA PARA LA EMPRESA: NOVEDADES EN PROTECCION DE DATOS Y COMPLIANCE. ORGANIZA: THOMSON REUTERS LUGAR: ASOCIACION DE LA PRENSA DE MADRID. FECHA: 22/09/2017 BREVE REFERENCIA AL CONTENIDO: Novedades del Reglamento General de Protección de Datos, de aplicación a partir de Mayo de 2018. El Reglamento establece un cambio de paradigma en materia de protección de datos. Propone un modelo basado en criterios como, la responsabilidad activa, flexibilidad, la importancia del contexto y la cooperación, dirigido tanto a entidades públicas, privadas, autoridades de protección de datos. En la presentación se analizan las novedades más importantes, a juicio del ponente, que ofrece la nueva regulación sobre privacidad.

Recht
1 von 34
Downloaden Sie, um offline zu lesen
Madrid, 22 de septiembre de 2017. Asociación de la Prensa de Madrid VISION PRÁCTICA PARA LA EMPRESA: NOVEDADES EN PROTECCION DE DATOS Y COMPLIANCE ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE DATOS Javier Alvarez Hernando. Abogado. @_JavierAlvarez
MARCO JURÍDICO Novedades Reglamento: o Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). o Real Decreto 1720/2007, de 21 de diciembre, de desarrollo de la LOPD. o Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE: § Aplicable a partir del 25 de mayo de 2018. § Propone un modelo de protección de datos basado en criterios como la responsabilidad activa, la flexibilidad, la importancia del contexto y la cooperación. o Anteproyecto de la Ley Orgánica de Protección de Datos de carácter personal.
Protección de datos. Novedades introducidas por el Reglamento Europeo. • El derecho a la protección de datos sigue considerándose como un derecho fundamental (no absoluto), si bien ahora se reconoce expresamente en el REPD (Considerandos 1 y 4) y en el Anteproyecto LOPD (art. 1.2).
ü El REPD establece un cambio de paradigma en materia de protección de datos. Propone un modelo basado en criterios como, la responsabilidad activa, flexibilidad, la importancia del contexto y la cooperación, dirigido tanto a entidades públicas, privadas, autoridades de protección de datos. ü Reglamento implica una aplicación directa, sin necesidad de transposición, y un desplazamiento de normas nacionales. Cabe su desarrollo por los Estados Miembros en supuestos de aclaración de conceptos, determinar las condiciones del tratamiento para cumplir una ley o en interés público (art 6.2) o tratamiento de datos sensibles (art. 9.2); limitar los derechos de los interesados (art. 23.1); multas si o no a AAPP (83.7); otras sanciones que no sean multas (84.1); consentimiento menores; extensión DPD otros sectores… ü NO se contempla la inscripción, modificación o supresión de ficheros (RGPD). DESAPARECE LA OBLIGACION. Protección de datos. Novedades introducidas por el Reglamento Europeo.
Ámbito de aplicación más amplio: el REPD se aplica a responsables y a encargados: • establecidos en la UE si tratan datos personales. • no establecidos en la UE si realizan tratamiento de datos que deriven de la oferta de bienes y servicios destinados a ciudadanos europeos, o bien como consecuencia de la monitorización o seguimiento de su comportamiento. Estas organizaciones deben designar un representante en la UE e informar de ello a los ciudadanos.
Definiciones más amplias y conceptos nuevos: ü Datos personales: Se entiende por dato personal (art. 4.1 REPD): (... toda información sobre una persona física identificada o identificable (“el interesado"); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador (NOVEDAD), como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona… ü Datos sensibles: se incluyen datos genéticos y biométricos. ü Seudonomización: no es un método de anonimización; simplemente, reduce la vinculabilidad de un conjunto de datos con la identidad original del interesado y es, en consecuencia, una medida de seguridad útil. Consiste en la sustitución de un atributo (normalmente un atributo único) por otro en un registro.
Novedades en el Reglamento Europeo de Protección de Datos. Datos de contacto de personas jurídicas o Con el RLOPD actualmente vigente, los datos de contacto de personas jurídicas en determinadas circunstancias, se les excluía del ámbito de aplicación de la LOPD, cuestión que parece cambiar con el Reglamento Europeo que no hace mención alguna a exclusiones para este tipo de datos, si bien el tratamiento de estos datos encuentra su legitimación en la regla de ponderación de intereses del artículo 6.1 f) del REPD. o El anteproyecto de reforma de la LOPD (artículo 12) señala que es posible que ese tratamiento se encuentre amparado en la regla de ponderación de intereses del art. 6.1 f) del REPD si: • Tratamiento de mínimos datos imprescindibles para su localización profesional. • Tratamiento con fines de mantenimiento de relaciones de cualquier tipo con la persona jurídica. o Artículo 6 REPD Licitud del tratamiento 1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Legitimación para tratar datos personales ü El Reglamento Europeo mantiene los principios ya recogidos tanto en la Directiva 95/46/CE, como en la LOPD, consistente en que todo tratamiento de datos personales exige una base jurídica que lo legitime, a saber (art. 6 REPD): • Consentimiento de afectado. • Existencia de una relación contractual. • Existencia de un interés legítimo prevalente del responsable o de terceros a los que se ceden o comunican los datos personales. No aplicable a la AAPP. • Justificado en una necesidad vital del interesado. • Cuando resulte una obligación legal para el responsable del tratamiento. • Exista un interés público o se derive del ejercicio de poderes públicos. ü Este principio de tratamiento leal y lícito debe vincularse al principio de transparencia.
Consentimiento inequívoco y explícito. ü El Reglamento impone que el consentimiento para tratar datos personales, con carácter general, sea libre, informado, específico e inequívoco. El consentimiento debe prestarse mediante una acción positiva del interesado, es decir, no será válido como hasta ahora, el consentimiento tácito. ü Por otro lado, para datos sensibles (origen étnico, opiniones políticas, salud, orientación sexual…); perfilado o TID se requiere un “consentimiento explícito”, es decir, que la declaración se refiera de forma explícita al consentimiento y al tratamiento en cuestión. ü Hay que tener presente que el consentimiento obtenido debe ser verificable, es decir, que la entidad que lo ha recogido esté en condiciones de demostrar que la obtención del consentimiento respetó las directrices legales indicadas anteriormente.
Interés legítimo como base jurídica para el tratamiento de datos ü el tratamiento será licito si es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado. ü Directiva 95/46/CE y la LOPD: el art. 7 f) de la Directiva 95/46/CE. Efecto directo de este artículo según Sentencia TJUE 24/11/2011. AEPD: los centros educativos pueden facilitar las calificaciones de sus hijos mayores de edad; publicación en un web de una asociación farmacéutica de compensaciones económicas dadas a profesionales sanitarios; videovigilancia (cesión de imágenes de la policía a entidades respecto a atracos en bancos); … ü Art. 6.1 f) del REPD se refiere a esta figura. Requiere una evaluación meticulosa (C 47). En las evaluaciones de impacto hay que describir este interés legitimo (art. 35.7). Considerando (47): constituye un interés legítimo los tratamientos de datos: • necesarios para la prevención del fraude, • y con fines de mercadotecnia directa (como posibilidad). • cesiones dentro de un grupo empresarial (C 48)
Calidad de los datos. ü El legislador comunitario ha mantenido, en esencia, el principio de calidad (adecuación, finalidad o pertinencia y proporcionalidad), que se contienen en el artículo 4 de la LOPD. ü se incorpora la exigencia de que los datos personales deben ser adecuados, pertinentes, limitados (principio de minimización de datos), y deben ser objeto de tratamiento durante el tiempo estrictamente necesario atendiendo a los fines del mismo (Art. 5).
Principio de información Información que debe prestarse según la LOPD • La existencia de un fichero o tratamiento de datos, de la finalidad de la recogida de éstos y de los destinatarios de la información. • El carácter obligatorio o facultativo de la respuesta a las preguntas que sean planteadas. • Las consecuencias de la obtención de los datos o de la negativa a suministrarlos. • La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. • La identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Información adicional que debe proporcionarse según el Reglamento Europeo. • Los datos de contacto del delegado de protección de datos, en el caso de existir. • Identificación de la base jurídica o legitimación del tratamiento. • El plazo o los criterios de conservación de la información. • La existencia de decisiones automatizadas o elaboración de perfiles: (art. 22, apartados 1 y 4), y al menos en tales casos: a) información significativa sobre la lógica aplicada; b) la importancia y las consecuencias previstas de dicho tratamiento para el interesado. • La previsión de transferencias internacionales de datos. • El derecho a presentar una reclamación ante la Autoridad de Control. • Y en el caso de que los datos no se hubieran obtenido del propio interesado debe informarse acerca del origen de los datos y las categorías de los mismos. 1 mes para hacerlo, o en la 1ª comunicación (debe indicarse la FAP).
Información por capas o niveles ü Por el principio de transparencia (arts. 12.1 REPD y 21.1. A. Reforma LOPD) la información a los interesados debe proporcionarse con un lenguaje claro y sencillo; de forma concisa, transparente, inteligible y de fácil acceso. ü Información proporcionada por capas o niveles (art. 21 A. Reforma LOPD): información básica + información adicional. “Guía para el cumplimiento del deber de informar”, publicada en 2017 AEPD.
Derechos de los interesados ü Se mantienen los derechos existentes, pero se refuerzan algo mas, y se crean otros: como el derecho al olvido y el derecho a la portabilidad. ü El derecho al olvido (recogido en la Sentencia del TJUE de 13 de mayo de 2014) supone que el interesado pueda solicitar el bloqueo de los resultados de los buscadores en Internet que se refieran a ellos y estas resulten obsoletas, incompletas, falsas o irrelevantes y no tengan un interés público. ü El derecho a la portabilidad implica que el interesado puede solicitar a la entidad que esté tratando sus datos de forma automatizada, su recuperación en un formato que permita su traslado a otra entidad responsable, incluso de forma directa. Pensemos en los sistemas de computación en nube o cloud computing.
Encargados del tratamiento ü El Reglamento Europeo exige en su art. 28.1. que las relaciones responsable/encargado del tratamiento se regulen en un contrato, o en un acto jurídico (esta es la novedad). ü Se regula, de una forma minuciosa, el contenido mínimo de los contratos de encargo con acceso a datos por cuenta de terceros. ü Con el REPD, se introduce un principio de responsabilidad activa, en la elección y supervisión de los encargados, los cuales deben ofrecer garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas, conforme establece el Reglamento. En este sentido Art 30 A Reforma LOPD), realización de una evaluación de impacto y la consulta previa. El propio precepto menciona una serie de riesgos concretos que pueden aconsejar la adopción de medidas técnicas y organizativas adecuadas.
Responsabilidad activa ü Se introduce el principio de accountability (art. 24) que exige aplicar criterios de responsabilidad activa, de tal guisa que las obligaciones de los responsables se dirigen de forma esencial a la adopción de medidas preventivas que deben de “estar en condiciones de acreditar“: A TRAVES DE MECANISMOS DE CERTIFICACION. Con este objetivo se configuran una batería de medidas:
Protección de datos desde el diseño. ü La protección de datos desde el diseño (Privacy by Design) a fin de asegurar que las garantías de protección de los datos se incorporan ya en la temprana fase de planificación de los procedimientos y sistemas: adopción de medidas técnicas y organizativas (seunimización, minimización…) Hay que analizar la naturaleza, el ámbito, contexto, finalidad tratamiento, los riesgos, estado de la técnica, coste… (art. 25)
Protección de datos por defecto ü La configuración predefinida de los mecanismos de recogida de datos personales sólo debe recopilar aquellos datos que sean estrictamente necesarios. (art. 25).
Mantenimiento de un registro de las actividades de tratamiento de datos (art. 30 y C 82 y 33 del A Reforma LOPD): ü Obligadas empresas que empleen a más de 250 personas, y aquellas que realicen tratamientos con riesgo; no de forma ocasional; tratamiento con categorías especiales de datos o con datos relativos a condenas e infracciones penales. ü Responsables como encargados. ü Por escrito (formato electrónico) y a disposición de la AEPD.
Delegado de protección de datos ü Persona encargada informar a la entidad responsable o al encargado sobre sus obligaciones legales en protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la autoridad de control y actuar como punto de contacto entre ésta y la entidad responsable. ü Uno de los ejes fundamentales del ppio. res. activa (art. 39). ü Funciones: ü información y asesoramiento normativo (Evaluaciones Impacto, registro actividades, empleados..). ü supervisión de cumplimiento normativo. Auditoria (informe anual, formación…) ü cooperación y enlace con la autoridad de control. ü atención a los interesados.
Delegado de protección de datos Cuando es necesario un DPD (art. 37 REPD y 35 A Reforma LOPD): v REDP: Entidades públicas; Privadas que tratan datos especiales a gran escala, en su actividad principal v Colegios profesionales; v Centros docentes que ofrezcan enseñanzas regladas. Universidades; v Entidades que exploten redes y presten servicios de comunicaciones electrónicas; v Prestadores de servicios de la sociedad de la información que recaben información de los usuarios Entidades dedicadas al juego on line.; v Entidades responsables de sistemas de información crediticia; v Establecimientos financieros de crédito; v Empresas de servicios de inversión, v Entidades aseguradoras y reaseguradoras; v Distribuidores y comercializadores de energía eléctrica o gas natural; v Ficheros comunes para la evaluación de la solvencia patrimonial y crédito; v Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles; v Centros sanitarios; v Entidades que elaboran informes comerciales acerca de personas y empresas. v Seguridad privada.
Delegado de protección de datos ü Obligación de comunicación en 10 días a la AEPD que lo publicara en su sede electrónica. (art. 35.3 y 4 A Reforma LOPD). ü La figura del DPD (art 37.5): debe ser designado atendiendo a sus cualidades profesionales y, en particular, se refiere expresamente el Reglamento a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones asignadas. ü Art. 36 A Reforma LOPD: “el DPD, sea una persona física o jurídica, deberá reunir los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 y demostrar reconocida competencia en la materia. Los requisitos podrán acreditarse por los medios correspondientes, incluidos los mecanismos de certificación”. ü En el Esquema de la AEPD de certificación de delegados de protección de datos se recogen las competencias requeridas: MODELO DE CERTIFICACION: dos esquemas de certificación (siguiendo los criterios de la norma internacional ISO/IEC 17024:2012)de la siguiente forma: 1. esquema que acredite aquellas entidades para que, a su vez, puedan actuar como certificadoras de DPO. Corresponderá a ENAC acreditar a las mencionadas entidades. 2. esquema para certificar a Delegados de Protección de Datos, es decir, los requisitos necesarios para que se pueda obtener esta certificación.
Evaluaciones de impacto sobre la protección de datos (EIPD): ü La realización de evaluaciones de impacto es, básicamente, un ejercicio de análisis de los RIESGOS que un determinado sistema de información, producto o servicio puede entrañar para el derecho a la protección de datos y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las MEDIDAS necesarias para eliminar o mitigar en lo posible aquellos que se hayan identificado. ü Arts. 35 y 36 REPD. Considerando 84. ü Guía de la AEPD para una Evaluación del Impacto en la Protección de Datos Personales, de 29 de octubre de 2014.
Supuestos tasados en los que se exige una Evaluación de impacto ü Cuando un tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas atendiendo a si se emplean nuevas tecnologías, por su naturaleza, alcance, contexto o fines ü Cuando se realice una evaluación sistemática y exhaustiva de aspectos personales de personas físicas (análisis de perfiles); ü tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales. ü Observación sistemática a gran escala de una zona de acceso público, como, por ejemplo cuando se utilicen dispositivos optoelectrónicos (C 91) ü EJEMPLOS: hay finalidades de tratamiento que suponen una invasión notable de la privacidad (AEPD) como la monitorización del comportamiento o la publicidad basada en el mismo, la elaboración de perfiles de cualquier tipo, la verificación de la idoneidad para determinadas tareas, la evaluación de la personalidad o de la situación financiera, laboral, social, familiar, formación, gustos o aficiones y las que impliquen el tratamiento de datos especialmente protegidos; uso de drones; etiquetas de radiofrecuencia o RFID… ü El Considerando (91) del REPD aclara que el tratamiento de datos personales no debe considerarse a gran escala si se realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto no debe ser obligatoria.
Consulta previa a la AEPD en las Evaluaciones de impacto ü El responsable debe consultar a la AEPD o autoridad de control, previamente a comenzar el tratamiento de datos cuando una evaluación de impacto muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo (art. 36.1). ü La autoridad de control deberá, en un plazo de 8 semanas desde la solicitud de la consulta, asesorar por escrito al responsable
MEDIDAS DE SEGURIDAD FLEXIBLES ADECUADAS AL RIESGO ü El art. 24.1 del REPD impone la obligación de adoptar medidas técnicas y organizativas adecuadas a la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa índole y gravedad (destrucción, perdida o alteración accidental, y el acceso o cesión no autorizadas). ü La AEPD ha entendido que la tradicional división en tres niveles de seguridad (básico, medio, alto) no puede considerarse suficiente para valorar el riesgo. ü El REPD no hace referencia a la necesidad de mantener un “documento de seguridad” …………..(Registro de las actividades de tratamiento)
Medidas de seguridad de mínimos. ü El REPD, en su artículo 32, referido a la “seguridad del tratamiento” determina una serie de medidas que deben implementarse como MINIMO. Teniendo en cuenta el estado de la técnica, los costes, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables , el responsable y el encargado deben aplicar medidas para garantizar un nivel de seguridad adecuado al riesgo, que incluya, entre otros: ü La seudonimización: separación de los datos identificativos con barreras técnicas u organizativas que impidan su identificación posterior. ü El cifrado de datos personales. ü La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia (capacidad de un sistema de soportar y recuperarse ante desastres y perturbaciones.) permanentes de los sistemas y servicios de tratamiento ü La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. ü Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Notificación de violaciones o quiebras de la seguridad de los datos a la AEPD. ü Si se detecta una violación de la seguridad de los datos, se impone la OBLIGACION a notificarla, sin dilación indebida, a la autoridad de control, a más tardar 72 horas después de que haya tenido constancia de ella. ü Esta obligación no se impone en el caso de que “sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas”. Es, decir, el responsable debe analizar subjetivamente el supuesto concreto y determinar ese improbable riesgo. ü En cualquier caso, el responsable debe documentar cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas (art. 33.5).
Notificación de violaciones o quiebras de la seguridad de los datos a los afectados. ü Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable lo deberá comunicar al interesado sin dilación indebida con un “lenguaje claro y sencillo”, como mínimo (art. 34 y C86).: • La naturaleza de la violación de la seguridad de los datos. • Nombre y datos de contacto del DPO de la organización. • Una descripción de las posibles consecuencias de la violación de seguridad. • Una descripción de las medidas adoptadas para corregir la violación o, al menos, mitigar sus efectos. ü Esta comunicación NO es necesaria si se cumplen ALGUNA de las condiciones siguientes • el responsable haya adoptado medidas de protección apropiadas sobre los datos afectados, en particular aquellas que hagan ininteligibles los datos personales para personas no autorizadas, como el cifrado; • el responsable haya tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo • suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
Régimen sancionador en el Reglamento ü El régimen sancionador en el REPD se introduce en sus artículos 83 y 84, efectuándose aclaraciones sobre estos preceptos en los Considerandos 148 a 152 inclusive. ü El artículo 83 (apartados 1 y 9) del REPD señala que las imposiciones de multas administrativas por vulneración del Reglamento deben ser: ü Aplicadas al caso individual (también, el 83.2) ü Efectivas; ü Proporcionadas; ü Disuasorias.
SANCIONES ü Las multas pueden ir desde los 10 millones de euros, o si se trata de una empresa, el 2% como máximo del volumen de negocio total anual del ejercicio anterior; hasta los 20 millones de euros o, si es una empresa, el 4% como máximo del volumen de negocio total anual del ejercicio anterior; y en ambos casos en el supuesto de poder elegirse, debe optarse por la multa resultante de mayor cuantía.
Graduación y atenuación de las sanciones. ü El régimen de graduación y atenuación de las sanciones se contempla en el apartado 2º y 3º del meritado artículo 83 REPD, y presenta como gran novedad el establecimiento de una modulación que tiene en cuenta el llamado principio de responsabilidad proactiva o accountability. Incluso, los Considerandos aclaran que debe existir la distinción en el infractor de si es una empresa o no lo es, en cuyo caso, debe tenerse en cuenta sus circunstancias, incluso, el nivel de vida del País a la hora de determinar la sanción económica a imponer.
Medidas adicionales o sustitutivas de las multas El artículo 83.2 señala que las multas se impondrán, adicionalmente, o de forma sustitutiva a las siguientes medidas (del artículo 58, apartado 2, letras a) a h) y j): ü Advertencia (antes de producirse la infracción). ü Apercibimiento (una vez producida la infracción). ü Requerimiento de atención de los ejercicios de derechos. ü Requerir para que los tratamientos se realicen de una determinada manera y dentro de un plazo; ü Requerir para que se comunique al interesado las violaciones de la seguridad de los datos; ü imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición; ü ordenar la rectificación o supresión de datos o la limitación de tratamiento; y en su caso su notificación al interesado. ü retirar una certificación u ordenar al organismo de certificación que retire una certificación; u ordenar que no se emita. ü ordenar la suspensión de una transferencia internacional de datos.
MUCHAS GRACIAS Javier Alvarez Hernando. Abogado. @_JavierAlvarez

Empfohlen

Esteban guerrero montoya
Esteban guerrero montoyaEsteban guerrero montoya
Esteban guerrero montoyaEstebanGuerreroMonto
 
Manual de Lopd (Ley Orgánica de Protección de Datos)
Manual de Lopd (Ley Orgánica de Protección de Datos)Manual de Lopd (Ley Orgánica de Protección de Datos)
Manual de Lopd (Ley Orgánica de Protección de Datos)Agneta Gallardo
 
Noticia
NoticiaNoticia
NoticiaLuisa Alejandra Alvarez Moldrano
 
Pechakucha sobre proteccion de datos presentacion
Pechakucha sobre proteccion de datos presentacionPechakucha sobre proteccion de datos presentacion
Pechakucha sobre proteccion de datos presentacionCopperline
 
Protección de Datos
Protección de DatosProtección de Datos
Protección de DatosRafael Santos Fernández
 
Resumen guia practica ficheros
Resumen guia practica ficherosResumen guia practica ficheros
Resumen guia practica ficherosnataliamuniz
 
Protección de Datos: usuarios y clientes
Protección de Datos: usuarios y clientesProtección de Datos: usuarios y clientes
Protección de Datos: usuarios y clientesAdigital
 
Sesion abierta 2010_segunda_parte
Sesion abierta 2010_segunda_parteSesion abierta 2010_segunda_parte
Sesion abierta 2010_segunda_parteJesús Pérez Serna
 

Empfohlen

Esteban guerrero montoya
Esteban guerrero montoyaEsteban guerrero montoya
Esteban guerrero montoyaEstebanGuerreroMonto
 
Manual de Lopd (Ley Orgánica de Protección de Datos)
Manual de Lopd (Ley Orgánica de Protección de Datos)Manual de Lopd (Ley Orgánica de Protección de Datos)
Manual de Lopd (Ley Orgánica de Protección de Datos)Agneta Gallardo
 
Noticia
NoticiaNoticia
NoticiaLuisa Alejandra Alvarez Moldrano
 
Pechakucha sobre proteccion de datos presentacion
Pechakucha sobre proteccion de datos presentacionPechakucha sobre proteccion de datos presentacion
Pechakucha sobre proteccion de datos presentacionCopperline
 
Protección de Datos
Protección de DatosProtección de Datos
Protección de DatosRafael Santos Fernández
 
Resumen guia practica ficheros
Resumen guia practica ficherosResumen guia practica ficheros
Resumen guia practica ficherosnataliamuniz
 
Protección de Datos: usuarios y clientes
Protección de Datos: usuarios y clientesProtección de Datos: usuarios y clientes
Protección de Datos: usuarios y clientesAdigital
 
Sesion abierta 2010_segunda_parte
Sesion abierta 2010_segunda_parteSesion abierta 2010_segunda_parte
Sesion abierta 2010_segunda_parteJesús Pérez Serna
 
Tratamiento de datos y relaciones laborales
Tratamiento de datos y relaciones laboralesTratamiento de datos y relaciones laborales
Tratamiento de datos y relaciones laboralesAdigital
 
Jose manueljimenezlopez
Jose manueljimenezlopezJose manueljimenezlopez
Jose manueljimenezlopezJoseManuelJimenezLop1
 
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...Adigital
 
Comparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales NovedadesComparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales Novedadescarlos_2009
 
Sentencia C-1011/08
Sentencia C-1011/08Sentencia C-1011/08
Sentencia C-1011/08D_Informatico
 
Analisis del decreto 1377 de 2013 reglamentario de la Ley 1581 de 2012 sobre ...
Analisis del decreto 1377 de 2013 reglamentario de la Ley 1581 de 2012 sobre ...Analisis del decreto 1377 de 2013 reglamentario de la Ley 1581 de 2012 sobre ...
Analisis del decreto 1377 de 2013 reglamentario de la Ley 1581 de 2012 sobre ...Marrugo Rivera & Asociados
 
AGM Abogados - Ley de proteccion de datos LOPD
AGM Abogados - Ley de proteccion de datos LOPDAGM Abogados - Ley de proteccion de datos LOPD
AGM Abogados - Ley de proteccion de datos LOPDAGM Abogados
 
GDPR. La nueva LOPD
GDPR. La nueva LOPDGDPR. La nueva LOPD
GDPR. La nueva LOPDatSistemas
 
Agm B&L MAD_Nueva Ley de Protección de Datos y Derechos Digitales_25042019
Agm B&L MAD_Nueva Ley de Protección de Datos y Derechos Digitales_25042019Agm B&L MAD_Nueva Ley de Protección de Datos y Derechos Digitales_25042019
Agm B&L MAD_Nueva Ley de Protección de Datos y Derechos Digitales_25042019AGM Abogados
 
1ª sesión preguntas 1ª parte
1ª sesión preguntas 1ª parte1ª sesión preguntas 1ª parte
1ª sesión preguntas 1ª partedataconsulting
 
Ley de Protección de Datos Personales
Ley de Protección de Datos PersonalesLey de Protección de Datos Personales
Ley de Protección de Datos PersonalesServicios Web CTIC-UNI
 
Protege los datos personalesf
Protege los datos personalesfProtege los datos personalesf
Protege los datos personalesffmsalcar
 
Breakfast and Laws "Nueva Ley Orgánica de Protección de Datos y Derechos Digi...
Breakfast and Laws "Nueva Ley Orgánica de Protección de Datos y Derechos Digi...Breakfast and Laws "Nueva Ley Orgánica de Protección de Datos y Derechos Digi...
Breakfast and Laws "Nueva Ley Orgánica de Protección de Datos y Derechos Digi...AGM Abogados
 
Leyfedprotecciondatospersonales(2) (3)
Leyfedprotecciondatospersonales(2) (3)Leyfedprotecciondatospersonales(2) (3)
Leyfedprotecciondatospersonales(2) (3)Future Experts
 
Ley N° 29733 – Ley de Protección de datos personales y su Reglamento
Ley N° 29733 – Ley de Protección de datos personales y su ReglamentoLey N° 29733 – Ley de Protección de datos personales y su Reglamento
Ley N° 29733 – Ley de Protección de datos personales y su ReglamentoEY Perú
 
Protege los datos personalest
Protege los datos personalestProtege los datos personalest
Protege los datos personalestts701
 
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...Severo Tabares
 
Protege los datos personalesl
Protege los datos personaleslProtege los datos personalesl
Protege los datos personaleslluismtzgc
 
Ley De Proteccion De Datos
Ley De Proteccion De DatosLey De Proteccion De Datos
Ley De Proteccion De Datostonynetword
 
LOPD y SSL
LOPD y SSLLOPD y SSL
LOPD y SSLFrancisco Calderón
 
Legislación Sobre Seguridad y Protección de datos
Legislación Sobre Seguridad y Protección de datosLegislación Sobre Seguridad y Protección de datos
Legislación Sobre Seguridad y Protección de datosFranciscoJavier518
 
Todo sobre proteccion de datos en España
Todo sobre proteccion de datos en EspañaTodo sobre proteccion de datos en España
Todo sobre proteccion de datos en Españacarlcalde
 

Weitere ähnliche Inhalte

Was ist angesagt?

Tratamiento de datos y relaciones laborales
Tratamiento de datos y relaciones laboralesTratamiento de datos y relaciones laborales
Tratamiento de datos y relaciones laboralesAdigital
 
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...Adigital
 
Comparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales NovedadesComparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales Novedadescarlos_2009
 
Analisis del decreto 1377 de 2013 reglamentario de la Ley 1581 de 2012 sobre ...
Analisis del decreto 1377 de 2013 reglamentario de la Ley 1581 de 2012 sobre ...Analisis del decreto 1377 de 2013 reglamentario de la Ley 1581 de 2012 sobre ...
Analisis del decreto 1377 de 2013 reglamentario de la Ley 1581 de 2012 sobre ...Marrugo Rivera & Asociados
 
AGM Abogados - Ley de proteccion de datos LOPD
AGM Abogados - Ley de proteccion de datos LOPDAGM Abogados - Ley de proteccion de datos LOPD
AGM Abogados - Ley de proteccion de datos LOPDAGM Abogados
 
GDPR. La nueva LOPD
GDPR. La nueva LOPDGDPR. La nueva LOPD
GDPR. La nueva LOPDatSistemas
 
Agm B&L MAD_Nueva Ley de Protección de Datos y Derechos Digitales_25042019
Agm B&L MAD_Nueva Ley de Protección de Datos y Derechos Digitales_25042019Agm B&L MAD_Nueva Ley de Protección de Datos y Derechos Digitales_25042019
Agm B&L MAD_Nueva Ley de Protección de Datos y Derechos Digitales_25042019AGM Abogados
 
1ª sesión preguntas 1ª parte
1ª sesión preguntas 1ª parte1ª sesión preguntas 1ª parte
1ª sesión preguntas 1ª partedataconsulting
 
Ley de Protección de Datos Personales
Ley de Protección de Datos PersonalesLey de Protección de Datos Personales
Ley de Protección de Datos PersonalesServicios Web CTIC-UNI
 
Protege los datos personalesf
Protege los datos personalesfProtege los datos personalesf
Protege los datos personalesffmsalcar
 
Breakfast and Laws "Nueva Ley Orgánica de Protección de Datos y Derechos Digi...
Breakfast and Laws "Nueva Ley Orgánica de Protección de Datos y Derechos Digi...Breakfast and Laws "Nueva Ley Orgánica de Protección de Datos y Derechos Digi...
Breakfast and Laws "Nueva Ley Orgánica de Protección de Datos y Derechos Digi...AGM Abogados
 
Leyfedprotecciondatospersonales(2) (3)
Leyfedprotecciondatospersonales(2) (3)Leyfedprotecciondatospersonales(2) (3)
Leyfedprotecciondatospersonales(2) (3)Future Experts
 
Ley N° 29733 – Ley de Protección de datos personales y su Reglamento
Ley N° 29733 – Ley de Protección de datos personales y su ReglamentoLey N° 29733 – Ley de Protección de datos personales y su Reglamento
Ley N° 29733 – Ley de Protección de datos personales y su ReglamentoEY Perú
 
Protege los datos personalest
Protege los datos personalestProtege los datos personalest
Protege los datos personalestts701
 
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...Severo Tabares
 
Protege los datos personalesl
Protege los datos personaleslProtege los datos personalesl
Protege los datos personaleslluismtzgc
 
Ley De Proteccion De Datos
Ley De Proteccion De DatosLey De Proteccion De Datos
Ley De Proteccion De Datostonynetword
 

Was ist angesagt? (20)

Tratamiento de datos y relaciones laborales
Tratamiento de datos y relaciones laboralesTratamiento de datos y relaciones laborales
Tratamiento de datos y relaciones laborales
 
Jose manueljimenezlopez
Jose manueljimenezlopezJose manueljimenezlopez
Jose manueljimenezlopez
 
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
 
Comparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales NovedadesComparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales Novedades
 
Sentencia C-1011/08
Sentencia C-1011/08Sentencia C-1011/08
Sentencia C-1011/08
 
Analisis del decreto 1377 de 2013 reglamentario de la Ley 1581 de 2012 sobre ...
Analisis del decreto 1377 de 2013 reglamentario de la Ley 1581 de 2012 sobre ...Analisis del decreto 1377 de 2013 reglamentario de la Ley 1581 de 2012 sobre ...
Analisis del decreto 1377 de 2013 reglamentario de la Ley 1581 de 2012 sobre ...
 
AGM Abogados - Ley de proteccion de datos LOPD
AGM Abogados - Ley de proteccion de datos LOPDAGM Abogados - Ley de proteccion de datos LOPD
AGM Abogados - Ley de proteccion de datos LOPD
 
GDPR. La nueva LOPD
GDPR. La nueva LOPDGDPR. La nueva LOPD
GDPR. La nueva LOPD
 
Agm B&L MAD_Nueva Ley de Protección de Datos y Derechos Digitales_25042019
Agm B&L MAD_Nueva Ley de Protección de Datos y Derechos Digitales_25042019Agm B&L MAD_Nueva Ley de Protección de Datos y Derechos Digitales_25042019
Agm B&L MAD_Nueva Ley de Protección de Datos y Derechos Digitales_25042019
 
1ª sesión preguntas 1ª parte
1ª sesión preguntas 1ª parte1ª sesión preguntas 1ª parte
1ª sesión preguntas 1ª parte
 
Ley de Protección de Datos Personales
Ley de Protección de Datos PersonalesLey de Protección de Datos Personales
Ley de Protección de Datos Personales
 
Protege los datos personalesf
Protege los datos personalesfProtege los datos personalesf
Protege los datos personalesf
 
Breakfast and Laws "Nueva Ley Orgánica de Protección de Datos y Derechos Digi...
Breakfast and Laws "Nueva Ley Orgánica de Protección de Datos y Derechos Digi...Breakfast and Laws "Nueva Ley Orgánica de Protección de Datos y Derechos Digi...
Breakfast and Laws "Nueva Ley Orgánica de Protección de Datos y Derechos Digi...
 
Leyfedprotecciondatospersonales(2) (3)
Leyfedprotecciondatospersonales(2) (3)Leyfedprotecciondatospersonales(2) (3)
Leyfedprotecciondatospersonales(2) (3)
 
Ley N° 29733 – Ley de Protección de datos personales y su Reglamento
Ley N° 29733 – Ley de Protección de datos personales y su ReglamentoLey N° 29733 – Ley de Protección de datos personales y su Reglamento
Ley N° 29733 – Ley de Protección de datos personales y su Reglamento
 
Protege los datos personalest
Protege los datos personalestProtege los datos personalest
Protege los datos personalest
 
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...
 
Protege los datos personalesl
Protege los datos personaleslProtege los datos personalesl
Protege los datos personalesl
 
Ley De Proteccion De Datos
Ley De Proteccion De DatosLey De Proteccion De Datos
Ley De Proteccion De Datos
 
LOPD y SSL
LOPD y SSLLOPD y SSL
LOPD y SSL
 

Ähnlich wie ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE DATOS

Legislación Sobre Seguridad y Protección de datos
Legislación Sobre Seguridad y Protección de datosLegislación Sobre Seguridad y Protección de datos
Legislación Sobre Seguridad y Protección de datosFranciscoJavier518
 
Todo sobre proteccion de datos en España
Todo sobre proteccion de datos en EspañaTodo sobre proteccion de datos en España
Todo sobre proteccion de datos en Españacarlcalde
 
M4-S_Estadístico-Proteccion de datos.pdf
M4-S_Estadístico-Proteccion de datos.pdfM4-S_Estadístico-Proteccion de datos.pdf
M4-S_Estadístico-Proteccion de datos.pdfcarlosranzherranz
 
Legislación sobre seguridad y protección de datos
Legislación sobre seguridad y protección de datosLegislación sobre seguridad y protección de datos
Legislación sobre seguridad y protección de datosEduardo Espinosa Pérez
 
LOPD-GDD: Guía de obligaciones para las empresas
LOPD-GDD: Guía de obligaciones para las empresasLOPD-GDD: Guía de obligaciones para las empresas
LOPD-GDD: Guía de obligaciones para las empresasAlcatraz Solutions
 
Propuesta de Reglamento Europeo sobre protección de datos
Propuesta de Reglamento Europeo sobre protección de datosPropuesta de Reglamento Europeo sobre protección de datos
Propuesta de Reglamento Europeo sobre protección de datosAdigital
 
Ley Orgánica de Protección de datos - LOPD
Ley Orgánica de Protección de datos - LOPDLey Orgánica de Protección de datos - LOPD
Ley Orgánica de Protección de datos - LOPDRamiro Cid
 
Implicaciones de la Ley de Datos Personales en el Sector Privado
Implicaciones de la Ley de Datos Personales en el Sector PrivadoImplicaciones de la Ley de Datos Personales en el Sector Privado
Implicaciones de la Ley de Datos Personales en el Sector PrivadoGrupo Megamedia
 
Presentación1
Presentación1Presentación1
Presentación1star_9590
 
Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...Adigital
 
Curso presentacion formativa_RGPD_v1.0
Curso presentacion formativa_RGPD_v1.0Curso presentacion formativa_RGPD_v1.0
Curso presentacion formativa_RGPD_v1.0Panel Sistemas
 
Novedades Reglamento Europeo Protección de Datos. Jesús Rubí
Novedades Reglamento Europeo Protección de Datos. Jesús RubíNovedades Reglamento Europeo Protección de Datos. Jesús Rubí
Novedades Reglamento Europeo Protección de Datos. Jesús RubíAlicanTEC
 
cambios-nuevo-a nivel grandeeuropeo.pptx
cambios-nuevo-a nivel grandeeuropeo.pptxcambios-nuevo-a nivel grandeeuropeo.pptx
cambios-nuevo-a nivel grandeeuropeo.pptxJuanFernando144857
 
Proteccion de datos. Centros Educativos
Proteccion de datos. Centros EducativosProteccion de datos. Centros Educativos
Proteccion de datos. Centros EducativosAntonioJess14
 

Ähnlich wie ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE DATOS (20)

Legislación Sobre Seguridad y Protección de datos
Legislación Sobre Seguridad y Protección de datosLegislación Sobre Seguridad y Protección de datos
Legislación Sobre Seguridad y Protección de datos
 
Todo sobre proteccion de datos en España
Todo sobre proteccion de datos en EspañaTodo sobre proteccion de datos en España
Todo sobre proteccion de datos en España
 
M4-S_Estadístico-Proteccion de datos.pdf
M4-S_Estadístico-Proteccion de datos.pdfM4-S_Estadístico-Proteccion de datos.pdf
M4-S_Estadístico-Proteccion de datos.pdf
 
Legislación sobre seguridad y protección de datos
Legislación sobre seguridad y protección de datosLegislación sobre seguridad y protección de datos
Legislación sobre seguridad y protección de datos
 
Manuel zearoldan
Manuel zearoldanManuel zearoldan
Manuel zearoldan
 
Privacidad, salud y transformación digital los retos del Big Data y la invest...
Privacidad, salud y transformación digital los retos del Big Data y la invest...Privacidad, salud y transformación digital los retos del Big Data y la invest...
Privacidad, salud y transformación digital los retos del Big Data y la invest...
 
LOPD-GDD: Guía de obligaciones para las empresas
LOPD-GDD: Guía de obligaciones para las empresasLOPD-GDD: Guía de obligaciones para las empresas
LOPD-GDD: Guía de obligaciones para las empresas
 
Propuesta de Reglamento Europeo sobre protección de datos
Propuesta de Reglamento Europeo sobre protección de datosPropuesta de Reglamento Europeo sobre protección de datos
Propuesta de Reglamento Europeo sobre protección de datos
 
Protección de datos
Protección de datosProtección de datos
Protección de datos
 
Ley Orgánica de Protección de datos - LOPD
Ley Orgánica de Protección de datos - LOPDLey Orgánica de Protección de datos - LOPD
Ley Orgánica de Protección de datos - LOPD
 
Trabajo 1
Trabajo 1Trabajo 1
Trabajo 1
 
Tema 3
Tema 3Tema 3
Tema 3
 
Implicaciones de la Ley de Datos Personales en el Sector Privado
Implicaciones de la Ley de Datos Personales en el Sector PrivadoImplicaciones de la Ley de Datos Personales en el Sector Privado
Implicaciones de la Ley de Datos Personales en el Sector Privado
 
Presentación1
Presentación1Presentación1
Presentación1
 
Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...
 
Curso presentacion formativa_RGPD_v1.0
Curso presentacion formativa_RGPD_v1.0Curso presentacion formativa_RGPD_v1.0
Curso presentacion formativa_RGPD_v1.0
 
Novedades Reglamento Europeo Protección de Datos. Jesús Rubí
Novedades Reglamento Europeo Protección de Datos. Jesús RubíNovedades Reglamento Europeo Protección de Datos. Jesús Rubí
Novedades Reglamento Europeo Protección de Datos. Jesús Rubí
 
Pechakucha
PechakuchaPechakucha
Pechakucha
 
cambios-nuevo-a nivel grandeeuropeo.pptx
cambios-nuevo-a nivel grandeeuropeo.pptxcambios-nuevo-a nivel grandeeuropeo.pptx
cambios-nuevo-a nivel grandeeuropeo.pptx
 
Proteccion de datos. Centros Educativos
Proteccion de datos. Centros EducativosProteccion de datos. Centros Educativos
Proteccion de datos. Centros Educativos
 

Mehr von Javier Alvarez Hernando

Protección de datos para proyectos Big data. 2017
Protección de datos para proyectos Big data. 2017Protección de datos para proyectos Big data. 2017
Protección de datos para proyectos Big data. 2017Javier Alvarez Hernando
 
LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...
LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...
LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...Javier Alvarez Hernando
 
Big data: Aspectos legales y éticos reguladores.
Big data: Aspectos legales y éticos reguladores. Big data: Aspectos legales y éticos reguladores.
Big data: Aspectos legales y éticos reguladores. Javier Alvarez Hernando
 
MEDIOS DE COMUNICACIÓN Y DERECHO AL OLVIDO
MEDIOS DE COMUNICACIÓN Y DERECHO AL OLVIDOMEDIOS DE COMUNICACIÓN Y DERECHO AL OLVIDO
MEDIOS DE COMUNICACIÓN Y DERECHO AL OLVIDOJavier Alvarez Hernando
 
Visión práctica de la mediación penal desde la perspectiva de un abogado
Visión práctica de la mediación penal desde la perspectiva de un abogadoVisión práctica de la mediación penal desde la perspectiva de un abogado
Visión práctica de la mediación penal desde la perspectiva de un abogadoJavier Alvarez Hernando
 
Presentacion reutilizacion datos del sector público. Por Javier Alvarez Hernando
Presentacion reutilizacion datos del sector público. Por Javier Alvarez HernandoPresentacion reutilizacion datos del sector público. Por Javier Alvarez Hernando
Presentacion reutilizacion datos del sector público. Por Javier Alvarez HernandoJavier Alvarez Hernando
 
Oportunidades del marketing digital UVA - Ponencia de Javier Alvarez Hernando
Oportunidades del marketing digital UVA - Ponencia de Javier Alvarez HernandoOportunidades del marketing digital UVA - Ponencia de Javier Alvarez Hernando
Oportunidades del marketing digital UVA - Ponencia de Javier Alvarez HernandoJavier Alvarez Hernando
 
COMMUNITY MANAGER. ASPECTOS LEGALES QUE DEBE CONOCER.
COMMUNITY MANAGER. ASPECTOS LEGALES QUE DEBE CONOCER.COMMUNITY MANAGER. ASPECTOS LEGALES QUE DEBE CONOCER.
COMMUNITY MANAGER. ASPECTOS LEGALES QUE DEBE CONOCER.Javier Alvarez Hernando
 

Mehr von Javier Alvarez Hernando (9)

Protección de datos para proyectos Big data. 2017
Protección de datos para proyectos Big data. 2017Protección de datos para proyectos Big data. 2017
Protección de datos para proyectos Big data. 2017
 
LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...
LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...
LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...
 
Big data: Aspectos legales y éticos reguladores.
Big data: Aspectos legales y éticos reguladores. Big data: Aspectos legales y éticos reguladores.
Big data: Aspectos legales y éticos reguladores.
 
MEDIOS DE COMUNICACIÓN Y DERECHO AL OLVIDO
MEDIOS DE COMUNICACIÓN Y DERECHO AL OLVIDOMEDIOS DE COMUNICACIÓN Y DERECHO AL OLVIDO
MEDIOS DE COMUNICACIÓN Y DERECHO AL OLVIDO
 
Visión práctica de la mediación penal desde la perspectiva de un abogado
Visión práctica de la mediación penal desde la perspectiva de un abogadoVisión práctica de la mediación penal desde la perspectiva de un abogado
Visión práctica de la mediación penal desde la perspectiva de un abogado
 
Presentacion reutilizacion datos del sector público. Por Javier Alvarez Hernando
Presentacion reutilizacion datos del sector público. Por Javier Alvarez HernandoPresentacion reutilizacion datos del sector público. Por Javier Alvarez Hernando
Presentacion reutilizacion datos del sector público. Por Javier Alvarez Hernando
 
Derecho al olvido en Internet
Derecho al olvido en InternetDerecho al olvido en Internet
Derecho al olvido en Internet
 
Oportunidades del marketing digital UVA - Ponencia de Javier Alvarez Hernando
Oportunidades del marketing digital UVA - Ponencia de Javier Alvarez HernandoOportunidades del marketing digital UVA - Ponencia de Javier Alvarez Hernando
Oportunidades del marketing digital UVA - Ponencia de Javier Alvarez Hernando
 
COMMUNITY MANAGER. ASPECTOS LEGALES QUE DEBE CONOCER.
COMMUNITY MANAGER. ASPECTOS LEGALES QUE DEBE CONOCER.COMMUNITY MANAGER. ASPECTOS LEGALES QUE DEBE CONOCER.
COMMUNITY MANAGER. ASPECTOS LEGALES QUE DEBE CONOCER.
 

Kürzlich hochgeladen

elementos de la relacion juridico tributaria.pptx
elementos de la relacion juridico tributaria.pptxelementos de la relacion juridico tributaria.pptx
elementos de la relacion juridico tributaria.pptxJesusGonzalez579173
 
Planeamiento Tributario Planeamiento Tributario
Planeamiento Tributario Planeamiento TributarioPlaneamiento Tributario Planeamiento Tributario
Planeamiento Tributario Planeamiento TributarioKatherineLeydiMoraZa
 
PPT CONCILIACION VIRTUAL - NUEVO PROCEDIMIENTO CONCILIATORIO - 07 JULIO -BSV....
PPT CONCILIACION VIRTUAL - NUEVO PROCEDIMIENTO CONCILIATORIO - 07 JULIO -BSV....PPT CONCILIACION VIRTUAL - NUEVO PROCEDIMIENTO CONCILIATORIO - 07 JULIO -BSV....
PPT CONCILIACION VIRTUAL - NUEVO PROCEDIMIENTO CONCILIATORIO - 07 JULIO -BSV....GarLoraCar
 
PLAN NACIONAL DE DESARROLLO - 2014-2018 - TODOS POR UN NUEVO PAIS.docx
PLAN NACIONAL DE DESARROLLO - 2014-2018 - TODOS POR UN NUEVO PAIS.docxPLAN NACIONAL DE DESARROLLO - 2014-2018 - TODOS POR UN NUEVO PAIS.docx
PLAN NACIONAL DE DESARROLLO - 2014-2018 - TODOS POR UN NUEVO PAIS.docxJheisoon Andrés Castillo
 
Perfilamiento Criminal de Juana Barraza Samperio 2.pdf
Perfilamiento Criminal de Juana Barraza Samperio 2.pdfPerfilamiento Criminal de Juana Barraza Samperio 2.pdf
Perfilamiento Criminal de Juana Barraza Samperio 2.pdfJoelHernndez88
 
CAPACITACION-LEY-1010-2006 LE Y SANCIONADA CON EL FIN DE CORREGIR, PREVENIR Y...
CAPACITACION-LEY-1010-2006 LE Y SANCIONADA CON EL FIN DE CORREGIR, PREVENIR Y...CAPACITACION-LEY-1010-2006 LE Y SANCIONADA CON EL FIN DE CORREGIR, PREVENIR Y...
CAPACITACION-LEY-1010-2006 LE Y SANCIONADA CON EL FIN DE CORREGIR, PREVENIR Y...contactenos8
 
PPT Aspectos generales de la Ley 27444, Ley del Procedimiento Administrativo ...
PPT Aspectos generales de la Ley 27444, Ley del Procedimiento Administrativo ...PPT Aspectos generales de la Ley 27444, Ley del Procedimiento Administrativo ...
PPT Aspectos generales de la Ley 27444, Ley del Procedimiento Administrativo ...GiancarloGayosoG
 
El Recurso de Oposición Procesal Civil III.pptx
El Recurso de Oposición Procesal Civil III.pptxEl Recurso de Oposición Procesal Civil III.pptx
El Recurso de Oposición Procesal Civil III.pptxEsthefaniBez
 
Instituciones Administracion de justicia
Instituciones Administracion de justiciaInstituciones Administracion de justicia
Instituciones Administracion de justiciaKEVINWIDENSFERNANDEZ
 
Objetos--Liturgicos, demasiados objetos.
Objetos--Liturgicos, demasiados objetos.Objetos--Liturgicos, demasiados objetos.
Objetos--Liturgicos, demasiados objetos.luciapintomiranda
 
UNIDAD 3 sistema conflictual tradicional derecho internacional
UNIDAD 3 sistema conflictual tradicional derecho internacionalUNIDAD 3 sistema conflictual tradicional derecho internacional
UNIDAD 3 sistema conflictual tradicional derecho internacionalJesusGonzalez579173
 
EL BOGOTAZO PRESENTACION FINAL, e conoce como el Bogotazo a una serie de dist...
EL BOGOTAZO PRESENTACION FINAL, e conoce como el Bogotazo a una serie de dist...EL BOGOTAZO PRESENTACION FINAL, e conoce como el Bogotazo a una serie de dist...
EL BOGOTAZO PRESENTACION FINAL, e conoce como el Bogotazo a una serie de dist...planeta.net
 
RECURSOS ORDINARIOS Y EXTRAORDINARIOS.pdf
RECURSOS ORDINARIOS Y EXTRAORDINARIOS.pdfRECURSOS ORDINARIOS Y EXTRAORDINARIOS.pdf
RECURSOS ORDINARIOS Y EXTRAORDINARIOS.pdfclinversa
 
Antecedentes históricos de los derechos humanos.pptx
Antecedentes históricos de los derechos humanos.pptxAntecedentes históricos de los derechos humanos.pptx
Antecedentes históricos de los derechos humanos.pptxRodrigoPedrinCaballe
 
"teoria general del derecho del trabajo"
"teoria general del derecho del trabajo""teoria general del derecho del trabajo"
"teoria general del derecho del trabajo"litaroxselyperezmont
 
INTRODUCCIÓN A DERECHO INTERNACIONAL P.Ú
INTRODUCCIÓN A DERECHO INTERNACIONAL P.ÚINTRODUCCIÓN A DERECHO INTERNACIONAL P.Ú
INTRODUCCIÓN A DERECHO INTERNACIONAL P.Úlavayenzully
 
PRESENTACIÓN PROCEDIMIENTO TRIBUTARIO MODULO II.ppt
PRESENTACIÓN PROCEDIMIENTO TRIBUTARIO MODULO II.pptPRESENTACIÓN PROCEDIMIENTO TRIBUTARIO MODULO II.ppt
PRESENTACIÓN PROCEDIMIENTO TRIBUTARIO MODULO II.pptjavier346993
 
TALLER RESPONSABILIDAD PENAL DEL ADOLESCENTE.ppt
TALLER RESPONSABILIDAD PENAL DEL ADOLESCENTE.pptTALLER RESPONSABILIDAD PENAL DEL ADOLESCENTE.ppt
TALLER RESPONSABILIDAD PENAL DEL ADOLESCENTE.pptHeydiYanez
 
"JORNADA LABORAL Y HORARIO DE TRABAJO LABORAL"
"JORNADA LABORAL Y HORARIO DE TRABAJO LABORAL""JORNADA LABORAL Y HORARIO DE TRABAJO LABORAL"
"JORNADA LABORAL Y HORARIO DE TRABAJO LABORAL"litaroxselyperezmont
 

Kürzlich hochgeladen (20)

elementos de la relacion juridico tributaria.pptx
elementos de la relacion juridico tributaria.pptxelementos de la relacion juridico tributaria.pptx
elementos de la relacion juridico tributaria.pptx
 
Planeamiento Tributario Planeamiento Tributario
Planeamiento Tributario Planeamiento TributarioPlaneamiento Tributario Planeamiento Tributario
Planeamiento Tributario Planeamiento Tributario
 
PROTOCOLO DE ATENCION AL USUSARIO DEL TSJ
PROTOCOLO DE ATENCION AL USUSARIO DEL TSJPROTOCOLO DE ATENCION AL USUSARIO DEL TSJ
PROTOCOLO DE ATENCION AL USUSARIO DEL TSJ
 
PPT CONCILIACION VIRTUAL - NUEVO PROCEDIMIENTO CONCILIATORIO - 07 JULIO -BSV....
PPT CONCILIACION VIRTUAL - NUEVO PROCEDIMIENTO CONCILIATORIO - 07 JULIO -BSV....PPT CONCILIACION VIRTUAL - NUEVO PROCEDIMIENTO CONCILIATORIO - 07 JULIO -BSV....
PPT CONCILIACION VIRTUAL - NUEVO PROCEDIMIENTO CONCILIATORIO - 07 JULIO -BSV....
 
PLAN NACIONAL DE DESARROLLO - 2014-2018 - TODOS POR UN NUEVO PAIS.docx
PLAN NACIONAL DE DESARROLLO - 2014-2018 - TODOS POR UN NUEVO PAIS.docxPLAN NACIONAL DE DESARROLLO - 2014-2018 - TODOS POR UN NUEVO PAIS.docx
PLAN NACIONAL DE DESARROLLO - 2014-2018 - TODOS POR UN NUEVO PAIS.docx
 
Perfilamiento Criminal de Juana Barraza Samperio 2.pdf
Perfilamiento Criminal de Juana Barraza Samperio 2.pdfPerfilamiento Criminal de Juana Barraza Samperio 2.pdf
Perfilamiento Criminal de Juana Barraza Samperio 2.pdf
 
CAPACITACION-LEY-1010-2006 LE Y SANCIONADA CON EL FIN DE CORREGIR, PREVENIR Y...
CAPACITACION-LEY-1010-2006 LE Y SANCIONADA CON EL FIN DE CORREGIR, PREVENIR Y...CAPACITACION-LEY-1010-2006 LE Y SANCIONADA CON EL FIN DE CORREGIR, PREVENIR Y...
CAPACITACION-LEY-1010-2006 LE Y SANCIONADA CON EL FIN DE CORREGIR, PREVENIR Y...
 
PPT Aspectos generales de la Ley 27444, Ley del Procedimiento Administrativo ...
PPT Aspectos generales de la Ley 27444, Ley del Procedimiento Administrativo ...PPT Aspectos generales de la Ley 27444, Ley del Procedimiento Administrativo ...
PPT Aspectos generales de la Ley 27444, Ley del Procedimiento Administrativo ...
 
El Recurso de Oposición Procesal Civil III.pptx
El Recurso de Oposición Procesal Civil III.pptxEl Recurso de Oposición Procesal Civil III.pptx
El Recurso de Oposición Procesal Civil III.pptx
 
Instituciones Administracion de justicia
Instituciones Administracion de justiciaInstituciones Administracion de justicia
Instituciones Administracion de justicia
 
Objetos--Liturgicos, demasiados objetos.
Objetos--Liturgicos, demasiados objetos.Objetos--Liturgicos, demasiados objetos.
Objetos--Liturgicos, demasiados objetos.
 
UNIDAD 3 sistema conflictual tradicional derecho internacional
UNIDAD 3 sistema conflictual tradicional derecho internacionalUNIDAD 3 sistema conflictual tradicional derecho internacional
UNIDAD 3 sistema conflictual tradicional derecho internacional
 
EL BOGOTAZO PRESENTACION FINAL, e conoce como el Bogotazo a una serie de dist...
EL BOGOTAZO PRESENTACION FINAL, e conoce como el Bogotazo a una serie de dist...EL BOGOTAZO PRESENTACION FINAL, e conoce como el Bogotazo a una serie de dist...
EL BOGOTAZO PRESENTACION FINAL, e conoce como el Bogotazo a una serie de dist...
 
RECURSOS ORDINARIOS Y EXTRAORDINARIOS.pdf
RECURSOS ORDINARIOS Y EXTRAORDINARIOS.pdfRECURSOS ORDINARIOS Y EXTRAORDINARIOS.pdf
RECURSOS ORDINARIOS Y EXTRAORDINARIOS.pdf
 
Antecedentes históricos de los derechos humanos.pptx
Antecedentes históricos de los derechos humanos.pptxAntecedentes históricos de los derechos humanos.pptx
Antecedentes históricos de los derechos humanos.pptx
 
"teoria general del derecho del trabajo"
"teoria general del derecho del trabajo""teoria general del derecho del trabajo"
"teoria general del derecho del trabajo"
 
INTRODUCCIÓN A DERECHO INTERNACIONAL P.Ú
INTRODUCCIÓN A DERECHO INTERNACIONAL P.ÚINTRODUCCIÓN A DERECHO INTERNACIONAL P.Ú
INTRODUCCIÓN A DERECHO INTERNACIONAL P.Ú
 
PRESENTACIÓN PROCEDIMIENTO TRIBUTARIO MODULO II.ppt
PRESENTACIÓN PROCEDIMIENTO TRIBUTARIO MODULO II.pptPRESENTACIÓN PROCEDIMIENTO TRIBUTARIO MODULO II.ppt
PRESENTACIÓN PROCEDIMIENTO TRIBUTARIO MODULO II.ppt
 
TALLER RESPONSABILIDAD PENAL DEL ADOLESCENTE.ppt
TALLER RESPONSABILIDAD PENAL DEL ADOLESCENTE.pptTALLER RESPONSABILIDAD PENAL DEL ADOLESCENTE.ppt
TALLER RESPONSABILIDAD PENAL DEL ADOLESCENTE.ppt
 
"JORNADA LABORAL Y HORARIO DE TRABAJO LABORAL"
"JORNADA LABORAL Y HORARIO DE TRABAJO LABORAL""JORNADA LABORAL Y HORARIO DE TRABAJO LABORAL"
"JORNADA LABORAL Y HORARIO DE TRABAJO LABORAL"
 

ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE DATOS

  • 1. Madrid, 22 de septiembre de 2017. Asociación de la Prensa de Madrid VISION PRÁCTICA PARA LA EMPRESA: NOVEDADES EN PROTECCION DE DATOS Y COMPLIANCE ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE DATOS Javier Alvarez Hernando. Abogado. @_JavierAlvarez
  • 2. MARCO JURÍDICO Novedades Reglamento: o Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). o Real Decreto 1720/2007, de 21 de diciembre, de desarrollo de la LOPD. o Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE: § Aplicable a partir del 25 de mayo de 2018. § Propone un modelo de protección de datos basado en criterios como la responsabilidad activa, la flexibilidad, la importancia del contexto y la cooperación. o Anteproyecto de la Ley Orgánica de Protección de Datos de carácter personal.
  • 3. Protección de datos. Novedades introducidas por el Reglamento Europeo. • El derecho a la protección de datos sigue considerándose como un derecho fundamental (no absoluto), si bien ahora se reconoce expresamente en el REPD (Considerandos 1 y 4) y en el Anteproyecto LOPD (art. 1.2).
  • 4. ü El REPD establece un cambio de paradigma en materia de protección de datos. Propone un modelo basado en criterios como, la responsabilidad activa, flexibilidad, la importancia del contexto y la cooperación, dirigido tanto a entidades públicas, privadas, autoridades de protección de datos. ü Reglamento implica una aplicación directa, sin necesidad de transposición, y un desplazamiento de normas nacionales. Cabe su desarrollo por los Estados Miembros en supuestos de aclaración de conceptos, determinar las condiciones del tratamiento para cumplir una ley o en interés público (art 6.2) o tratamiento de datos sensibles (art. 9.2); limitar los derechos de los interesados (art. 23.1); multas si o no a AAPP (83.7); otras sanciones que no sean multas (84.1); consentimiento menores; extensión DPD otros sectores… ü NO se contempla la inscripción, modificación o supresión de ficheros (RGPD). DESAPARECE LA OBLIGACION. Protección de datos. Novedades introducidas por el Reglamento Europeo.
  • 5. Ámbito de aplicación más amplio: el REPD se aplica a responsables y a encargados: • establecidos en la UE si tratan datos personales. • no establecidos en la UE si realizan tratamiento de datos que deriven de la oferta de bienes y servicios destinados a ciudadanos europeos, o bien como consecuencia de la monitorización o seguimiento de su comportamiento. Estas organizaciones deben designar un representante en la UE e informar de ello a los ciudadanos.
  • 6. Definiciones más amplias y conceptos nuevos: ü Datos personales: Se entiende por dato personal (art. 4.1 REPD): (... toda información sobre una persona física identificada o identificable (“el interesado"); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador (NOVEDAD), como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona… ü Datos sensibles: se incluyen datos genéticos y biométricos. ü Seudonomización: no es un método de anonimización; simplemente, reduce la vinculabilidad de un conjunto de datos con la identidad original del interesado y es, en consecuencia, una medida de seguridad útil. Consiste en la sustitución de un atributo (normalmente un atributo único) por otro en un registro.
  • 7. Novedades en el Reglamento Europeo de Protección de Datos. Datos de contacto de personas jurídicas o Con el RLOPD actualmente vigente, los datos de contacto de personas jurídicas en determinadas circunstancias, se les excluía del ámbito de aplicación de la LOPD, cuestión que parece cambiar con el Reglamento Europeo que no hace mención alguna a exclusiones para este tipo de datos, si bien el tratamiento de estos datos encuentra su legitimación en la regla de ponderación de intereses del artículo 6.1 f) del REPD. o El anteproyecto de reforma de la LOPD (artículo 12) señala que es posible que ese tratamiento se encuentre amparado en la regla de ponderación de intereses del art. 6.1 f) del REPD si: • Tratamiento de mínimos datos imprescindibles para su localización profesional. • Tratamiento con fines de mantenimiento de relaciones de cualquier tipo con la persona jurídica. o Artículo 6 REPD Licitud del tratamiento 1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
  • 8. Legitimación para tratar datos personales ü El Reglamento Europeo mantiene los principios ya recogidos tanto en la Directiva 95/46/CE, como en la LOPD, consistente en que todo tratamiento de datos personales exige una base jurídica que lo legitime, a saber (art. 6 REPD): • Consentimiento de afectado. • Existencia de una relación contractual. • Existencia de un interés legítimo prevalente del responsable o de terceros a los que se ceden o comunican los datos personales. No aplicable a la AAPP. • Justificado en una necesidad vital del interesado. • Cuando resulte una obligación legal para el responsable del tratamiento. • Exista un interés público o se derive del ejercicio de poderes públicos. ü Este principio de tratamiento leal y lícito debe vincularse al principio de transparencia.
  • 9. Consentimiento inequívoco y explícito. ü El Reglamento impone que el consentimiento para tratar datos personales, con carácter general, sea libre, informado, específico e inequívoco. El consentimiento debe prestarse mediante una acción positiva del interesado, es decir, no será válido como hasta ahora, el consentimiento tácito. ü Por otro lado, para datos sensibles (origen étnico, opiniones políticas, salud, orientación sexual…); perfilado o TID se requiere un “consentimiento explícito”, es decir, que la declaración se refiera de forma explícita al consentimiento y al tratamiento en cuestión. ü Hay que tener presente que el consentimiento obtenido debe ser verificable, es decir, que la entidad que lo ha recogido esté en condiciones de demostrar que la obtención del consentimiento respetó las directrices legales indicadas anteriormente.
  • 10. Interés legítimo como base jurídica para el tratamiento de datos ü el tratamiento será licito si es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado. ü Directiva 95/46/CE y la LOPD: el art. 7 f) de la Directiva 95/46/CE. Efecto directo de este artículo según Sentencia TJUE 24/11/2011. AEPD: los centros educativos pueden facilitar las calificaciones de sus hijos mayores de edad; publicación en un web de una asociación farmacéutica de compensaciones económicas dadas a profesionales sanitarios; videovigilancia (cesión de imágenes de la policía a entidades respecto a atracos en bancos); … ü Art. 6.1 f) del REPD se refiere a esta figura. Requiere una evaluación meticulosa (C 47). En las evaluaciones de impacto hay que describir este interés legitimo (art. 35.7). Considerando (47): constituye un interés legítimo los tratamientos de datos: • necesarios para la prevención del fraude, • y con fines de mercadotecnia directa (como posibilidad). • cesiones dentro de un grupo empresarial (C 48)
  • 11. Calidad de los datos. ü El legislador comunitario ha mantenido, en esencia, el principio de calidad (adecuación, finalidad o pertinencia y proporcionalidad), que se contienen en el artículo 4 de la LOPD. ü se incorpora la exigencia de que los datos personales deben ser adecuados, pertinentes, limitados (principio de minimización de datos), y deben ser objeto de tratamiento durante el tiempo estrictamente necesario atendiendo a los fines del mismo (Art. 5).
  • 12. Principio de información Información que debe prestarse según la LOPD • La existencia de un fichero o tratamiento de datos, de la finalidad de la recogida de éstos y de los destinatarios de la información. • El carácter obligatorio o facultativo de la respuesta a las preguntas que sean planteadas. • Las consecuencias de la obtención de los datos o de la negativa a suministrarlos. • La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. • La identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Información adicional que debe proporcionarse según el Reglamento Europeo. • Los datos de contacto del delegado de protección de datos, en el caso de existir. • Identificación de la base jurídica o legitimación del tratamiento. • El plazo o los criterios de conservación de la información. • La existencia de decisiones automatizadas o elaboración de perfiles: (art. 22, apartados 1 y 4), y al menos en tales casos: a) información significativa sobre la lógica aplicada; b) la importancia y las consecuencias previstas de dicho tratamiento para el interesado. • La previsión de transferencias internacionales de datos. • El derecho a presentar una reclamación ante la Autoridad de Control. • Y en el caso de que los datos no se hubieran obtenido del propio interesado debe informarse acerca del origen de los datos y las categorías de los mismos. 1 mes para hacerlo, o en la 1ª comunicación (debe indicarse la FAP).
  • 13. Información por capas o niveles ü Por el principio de transparencia (arts. 12.1 REPD y 21.1. A. Reforma LOPD) la información a los interesados debe proporcionarse con un lenguaje claro y sencillo; de forma concisa, transparente, inteligible y de fácil acceso. ü Información proporcionada por capas o niveles (art. 21 A. Reforma LOPD): información básica + información adicional. “Guía para el cumplimiento del deber de informar”, publicada en 2017 AEPD.
  • 14. Derechos de los interesados ü Se mantienen los derechos existentes, pero se refuerzan algo mas, y se crean otros: como el derecho al olvido y el derecho a la portabilidad. ü El derecho al olvido (recogido en la Sentencia del TJUE de 13 de mayo de 2014) supone que el interesado pueda solicitar el bloqueo de los resultados de los buscadores en Internet que se refieran a ellos y estas resulten obsoletas, incompletas, falsas o irrelevantes y no tengan un interés público. ü El derecho a la portabilidad implica que el interesado puede solicitar a la entidad que esté tratando sus datos de forma automatizada, su recuperación en un formato que permita su traslado a otra entidad responsable, incluso de forma directa. Pensemos en los sistemas de computación en nube o cloud computing.
  • 15. Encargados del tratamiento ü El Reglamento Europeo exige en su art. 28.1. que las relaciones responsable/encargado del tratamiento se regulen en un contrato, o en un acto jurídico (esta es la novedad). ü Se regula, de una forma minuciosa, el contenido mínimo de los contratos de encargo con acceso a datos por cuenta de terceros. ü Con el REPD, se introduce un principio de responsabilidad activa, en la elección y supervisión de los encargados, los cuales deben ofrecer garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas, conforme establece el Reglamento. En este sentido Art 30 A Reforma LOPD), realización de una evaluación de impacto y la consulta previa. El propio precepto menciona una serie de riesgos concretos que pueden aconsejar la adopción de medidas técnicas y organizativas adecuadas.
  • 16. Responsabilidad activa ü Se introduce el principio de accountability (art. 24) que exige aplicar criterios de responsabilidad activa, de tal guisa que las obligaciones de los responsables se dirigen de forma esencial a la adopción de medidas preventivas que deben de “estar en condiciones de acreditar“: A TRAVES DE MECANISMOS DE CERTIFICACION. Con este objetivo se configuran una batería de medidas:
  • 17. Protección de datos desde el diseño. ü La protección de datos desde el diseño (Privacy by Design) a fin de asegurar que las garantías de protección de los datos se incorporan ya en la temprana fase de planificación de los procedimientos y sistemas: adopción de medidas técnicas y organizativas (seunimización, minimización…) Hay que analizar la naturaleza, el ámbito, contexto, finalidad tratamiento, los riesgos, estado de la técnica, coste… (art. 25)
  • 18. Protección de datos por defecto ü La configuración predefinida de los mecanismos de recogida de datos personales sólo debe recopilar aquellos datos que sean estrictamente necesarios. (art. 25).
  • 19. Mantenimiento de un registro de las actividades de tratamiento de datos (art. 30 y C 82 y 33 del A Reforma LOPD): ü Obligadas empresas que empleen a más de 250 personas, y aquellas que realicen tratamientos con riesgo; no de forma ocasional; tratamiento con categorías especiales de datos o con datos relativos a condenas e infracciones penales. ü Responsables como encargados. ü Por escrito (formato electrónico) y a disposición de la AEPD.
  • 20. Delegado de protección de datos ü Persona encargada informar a la entidad responsable o al encargado sobre sus obligaciones legales en protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la autoridad de control y actuar como punto de contacto entre ésta y la entidad responsable. ü Uno de los ejes fundamentales del ppio. res. activa (art. 39). ü Funciones: ü información y asesoramiento normativo (Evaluaciones Impacto, registro actividades, empleados..). ü supervisión de cumplimiento normativo. Auditoria (informe anual, formación…) ü cooperación y enlace con la autoridad de control. ü atención a los interesados.
  • 21. Delegado de protección de datos Cuando es necesario un DPD (art. 37 REPD y 35 A Reforma LOPD): v REDP: Entidades públicas; Privadas que tratan datos especiales a gran escala, en su actividad principal v Colegios profesionales; v Centros docentes que ofrezcan enseñanzas regladas. Universidades; v Entidades que exploten redes y presten servicios de comunicaciones electrónicas; v Prestadores de servicios de la sociedad de la información que recaben información de los usuarios Entidades dedicadas al juego on line.; v Entidades responsables de sistemas de información crediticia; v Establecimientos financieros de crédito; v Empresas de servicios de inversión, v Entidades aseguradoras y reaseguradoras; v Distribuidores y comercializadores de energía eléctrica o gas natural; v Ficheros comunes para la evaluación de la solvencia patrimonial y crédito; v Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles; v Centros sanitarios; v Entidades que elaboran informes comerciales acerca de personas y empresas. v Seguridad privada.
  • 22. Delegado de protección de datos ü Obligación de comunicación en 10 días a la AEPD que lo publicara en su sede electrónica. (art. 35.3 y 4 A Reforma LOPD). ü La figura del DPD (art 37.5): debe ser designado atendiendo a sus cualidades profesionales y, en particular, se refiere expresamente el Reglamento a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones asignadas. ü Art. 36 A Reforma LOPD: “el DPD, sea una persona física o jurídica, deberá reunir los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 y demostrar reconocida competencia en la materia. Los requisitos podrán acreditarse por los medios correspondientes, incluidos los mecanismos de certificación”. ü En el Esquema de la AEPD de certificación de delegados de protección de datos se recogen las competencias requeridas: MODELO DE CERTIFICACION: dos esquemas de certificación (siguiendo los criterios de la norma internacional ISO/IEC 17024:2012)de la siguiente forma: 1. esquema que acredite aquellas entidades para que, a su vez, puedan actuar como certificadoras de DPO. Corresponderá a ENAC acreditar a las mencionadas entidades. 2. esquema para certificar a Delegados de Protección de Datos, es decir, los requisitos necesarios para que se pueda obtener esta certificación.
  • 23. Evaluaciones de impacto sobre la protección de datos (EIPD): ü La realización de evaluaciones de impacto es, básicamente, un ejercicio de análisis de los RIESGOS que un determinado sistema de información, producto o servicio puede entrañar para el derecho a la protección de datos y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las MEDIDAS necesarias para eliminar o mitigar en lo posible aquellos que se hayan identificado. ü Arts. 35 y 36 REPD. Considerando 84. ü Guía de la AEPD para una Evaluación del Impacto en la Protección de Datos Personales, de 29 de octubre de 2014.
  • 24. Supuestos tasados en los que se exige una Evaluación de impacto ü Cuando un tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas atendiendo a si se emplean nuevas tecnologías, por su naturaleza, alcance, contexto o fines ü Cuando se realice una evaluación sistemática y exhaustiva de aspectos personales de personas físicas (análisis de perfiles); ü tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales. ü Observación sistemática a gran escala de una zona de acceso público, como, por ejemplo cuando se utilicen dispositivos optoelectrónicos (C 91) ü EJEMPLOS: hay finalidades de tratamiento que suponen una invasión notable de la privacidad (AEPD) como la monitorización del comportamiento o la publicidad basada en el mismo, la elaboración de perfiles de cualquier tipo, la verificación de la idoneidad para determinadas tareas, la evaluación de la personalidad o de la situación financiera, laboral, social, familiar, formación, gustos o aficiones y las que impliquen el tratamiento de datos especialmente protegidos; uso de drones; etiquetas de radiofrecuencia o RFID… ü El Considerando (91) del REPD aclara que el tratamiento de datos personales no debe considerarse a gran escala si se realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto no debe ser obligatoria.
  • 25. Consulta previa a la AEPD en las Evaluaciones de impacto ü El responsable debe consultar a la AEPD o autoridad de control, previamente a comenzar el tratamiento de datos cuando una evaluación de impacto muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo (art. 36.1). ü La autoridad de control deberá, en un plazo de 8 semanas desde la solicitud de la consulta, asesorar por escrito al responsable
  • 26. MEDIDAS DE SEGURIDAD FLEXIBLES ADECUADAS AL RIESGO ü El art. 24.1 del REPD impone la obligación de adoptar medidas técnicas y organizativas adecuadas a la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa índole y gravedad (destrucción, perdida o alteración accidental, y el acceso o cesión no autorizadas). ü La AEPD ha entendido que la tradicional división en tres niveles de seguridad (básico, medio, alto) no puede considerarse suficiente para valorar el riesgo. ü El REPD no hace referencia a la necesidad de mantener un “documento de seguridad” …………..(Registro de las actividades de tratamiento)
  • 27. Medidas de seguridad de mínimos. ü El REPD, en su artículo 32, referido a la “seguridad del tratamiento” determina una serie de medidas que deben implementarse como MINIMO. Teniendo en cuenta el estado de la técnica, los costes, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables , el responsable y el encargado deben aplicar medidas para garantizar un nivel de seguridad adecuado al riesgo, que incluya, entre otros: ü La seudonimización: separación de los datos identificativos con barreras técnicas u organizativas que impidan su identificación posterior. ü El cifrado de datos personales. ü La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia (capacidad de un sistema de soportar y recuperarse ante desastres y perturbaciones.) permanentes de los sistemas y servicios de tratamiento ü La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. ü Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  • 28. Notificación de violaciones o quiebras de la seguridad de los datos a la AEPD. ü Si se detecta una violación de la seguridad de los datos, se impone la OBLIGACION a notificarla, sin dilación indebida, a la autoridad de control, a más tardar 72 horas después de que haya tenido constancia de ella. ü Esta obligación no se impone en el caso de que “sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas”. Es, decir, el responsable debe analizar subjetivamente el supuesto concreto y determinar ese improbable riesgo. ü En cualquier caso, el responsable debe documentar cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas (art. 33.5).
  • 29. Notificación de violaciones o quiebras de la seguridad de los datos a los afectados. ü Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable lo deberá comunicar al interesado sin dilación indebida con un “lenguaje claro y sencillo”, como mínimo (art. 34 y C86).: • La naturaleza de la violación de la seguridad de los datos. • Nombre y datos de contacto del DPO de la organización. • Una descripción de las posibles consecuencias de la violación de seguridad. • Una descripción de las medidas adoptadas para corregir la violación o, al menos, mitigar sus efectos. ü Esta comunicación NO es necesaria si se cumplen ALGUNA de las condiciones siguientes • el responsable haya adoptado medidas de protección apropiadas sobre los datos afectados, en particular aquellas que hagan ininteligibles los datos personales para personas no autorizadas, como el cifrado; • el responsable haya tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo • suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
  • 30. Régimen sancionador en el Reglamento ü El régimen sancionador en el REPD se introduce en sus artículos 83 y 84, efectuándose aclaraciones sobre estos preceptos en los Considerandos 148 a 152 inclusive. ü El artículo 83 (apartados 1 y 9) del REPD señala que las imposiciones de multas administrativas por vulneración del Reglamento deben ser: ü Aplicadas al caso individual (también, el 83.2) ü Efectivas; ü Proporcionadas; ü Disuasorias.
  • 31. SANCIONES ü Las multas pueden ir desde los 10 millones de euros, o si se trata de una empresa, el 2% como máximo del volumen de negocio total anual del ejercicio anterior; hasta los 20 millones de euros o, si es una empresa, el 4% como máximo del volumen de negocio total anual del ejercicio anterior; y en ambos casos en el supuesto de poder elegirse, debe optarse por la multa resultante de mayor cuantía.
  • 32. Graduación y atenuación de las sanciones. ü El régimen de graduación y atenuación de las sanciones se contempla en el apartado 2º y 3º del meritado artículo 83 REPD, y presenta como gran novedad el establecimiento de una modulación que tiene en cuenta el llamado principio de responsabilidad proactiva o accountability. Incluso, los Considerandos aclaran que debe existir la distinción en el infractor de si es una empresa o no lo es, en cuyo caso, debe tenerse en cuenta sus circunstancias, incluso, el nivel de vida del País a la hora de determinar la sanción económica a imponer.
  • 33. Medidas adicionales o sustitutivas de las multas El artículo 83.2 señala que las multas se impondrán, adicionalmente, o de forma sustitutiva a las siguientes medidas (del artículo 58, apartado 2, letras a) a h) y j): ü Advertencia (antes de producirse la infracción). ü Apercibimiento (una vez producida la infracción). ü Requerimiento de atención de los ejercicios de derechos. ü Requerir para que los tratamientos se realicen de una determinada manera y dentro de un plazo; ü Requerir para que se comunique al interesado las violaciones de la seguridad de los datos; ü imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición; ü ordenar la rectificación o supresión de datos o la limitación de tratamiento; y en su caso su notificación al interesado. ü retirar una certificación u ordenar al organismo de certificación que retire una certificación; u ordenar que no se emita. ü ordenar la suspensión de una transferencia internacional de datos.
  • 34. MUCHAS GRACIAS Javier Alvarez Hernando. Abogado. @_JavierAlvarez