Post on 18-Jul-2022
LUCES Y SOMBRAS DEL RGPD…
Eduard Chaveli
CEO.IT Lawyer
ESTÁ AMANECIENDO EN EL RGPD…
Intento de armonizar u homogeneizar la normativa
Entró en vigor el 25 de mayo de 2016.
Efecto directo. No requiere trasposición al derecho interno.
Será exigible a partir del 25 de mayo de 2018.
Hasta la fecha deberemos realizar una adaptación progresiva.
Se va a aprobar una “nueva LOPD”. Existe un Proyecto de nueva LOPD
Reto de gran envergadura: ADAPTARSE AL RGPD
TRAE NUEVOS DERECHOS Y OBLIGACIONES
Ampliación ámbito territorial de aplicación
Viejos y nuevos conceptos
Viejos y nuevos principios
El tratamiento como protagonista
El registro de las actividades de tratamiento
Cambios en los derechos del titular de los datos
Cambio en el enfoque de las medidas de seguridad
Evaluaciones de impacto
Cambios en las reglas de licitud del tratamiento.
Cambios en el deber de información
Nueva figura del delegado de protección de datos
Diferente régimen sancionador
Autoridades de control
COMPARATIVA LOPD/RGPD
Inscripción de ficheros Registro de Actividades + medidas
Deber de información Cambios en deber de información
Legitimación del tratamiento y reglas consentimiento.
Cambios en legitimación, consentimiento y menores.
Contratos con encargados del tratamiento Cambios en los contratos de encargo de tratamiento
Documento de seguridad e implantación de medidas de seguridad
Responsabilidad proactiva:
• Medidas documentadas pero no DS
• Notificación violaciones de seguridad
• Privacidad desde el diseño y por defecto
• Evaluaciones de Impacto en la Privacidad (EIPD)
• Accontability
• DPO
Formación Formación
Derechos A.R.C.O. ARCOPL
Auditoria bienal Auditorias cuando determine el responsable
NO notificación a la autoridad de control.
Registro a nivel interno y «a disposición de laautoridad de control que lo solicite».
En la práctica = Información NOTA + otra +Descripción general de medidas
A. Registro de Actividades de Tratamiento de datos personales
Recomendación ¿Cómo articular el Registro de Actividadesde Tratamiento? [Vid. Guía del RGPD para Responsables de Tratamiento]
1º Partir de los ficheros que actualmente tienen inscritos en el Registro
2º Desgajar las operaciones de tratamiento concretas vinculándose a una finalidad básica
común de todas ellas (por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de recursos
humanos y nóminas”) o con arreglo a otros criterios distintos.
EJEMPLO
Conjunto de datos personales relativo a“Trabajadores” Registro o inventario deactividades u operaciones de Tratamiento:
1. Tratamiento Recursos Humanos
2. Tratamiento gestión de Nóminas
3. Tratamiento Prevención de riesgoslaborales
Fichero “Trabajadores”
Tipificación de finalidades o usosde los datos:
Recursos Humanos [Gestión; Formación;
Selección; Promoción; Control horario]
Gestión de Nóminas
Prevención de riesgos laborales
Un registro excepcional que en la práctica no será tan excepcional
RGPD: “Están exentas las organizaciones que empleen a menos de 250 trabajadores, amenos que el tratamiento que realicen pueda entrañar un riesgo para los derechos ylibertades de los interesados, no sea ocasional o incluya categorías especiales de datos odatos relativos a condenas e infracciones penales”.
La obligación de publicar el registro de actividades en el sectorpúblico tiene que tener límites.
PLOPD: “Los sujetos enumerados en el artículo 77.1 de esta ley orgánica harán público uninventario de sus actividades de tratamiento accesible por medios electrónicos en el queconstará la información establecida en el artículo 30 del Reglamento (UE) 2016/679 y su baselegal”.
.
Además de la información establecida por la LOPD, se han de añadir otros
extremos:
Datos de contacto del Delegado de Protección de Datos.
La base jurídica o legitimación para el tratamiento (consentimiento, ejecución de un
contrato; cumplimiento de una obligación legal; misión en interés público o ejercicio de
Poderes públicos; interés legítimo del Responsable o un tercero)
Informar de las transferencias internacionales de datos.
Plazo s o criterios de conservación de los datos.
La previsión de transferencias a Terceros Países.
Derecho reclamación ante una autoridad de control.
Y, en el caso de que los datos no se obtengan del propio interesado:
El origen o procedencia de los datos
Las categorías o tipos de datos (identificativos, características personales,
etc.)
B. Deber de información
Primera capa. Información básica
Supuestos:1. Datos recabados del afectado en redes de comunicaciones electrónicas o
servicios de la sociedad de la información2. Lo disponga la Ley3. O lo autorice la AEPD
Información básica1. Identidad del responsable2. Finalidad del tratamiento3. Forma de ejer los derechos4. Y dirección electrónica para acceder a la segunda capa de información
Información por capas
Novedad: Información mediante iconos
La información por doble capa es una buena idea pero el uso delmodo tabla que sugieren las autoriades no siempre es factible.
El uso de iconos será una buena opción pero sólo si los que se elijansean acertados y existe educación en privacidad Un icono que no es sencillode entender o cuyo significado no se conoce es como si no existiera.
.
C. Licitud (legitimación) del tratamiento
El consentimiento deja de ser la RG para ser “una causa mas”:
Ejecución de un contrato (hacer referencia a contrato o tipo de contrato) Cumplimiento del deber de una obligación legal (indicar la norma con rango
de Ley) Misión en interés público o ejercicio de poderes públicos (indicar la norma
con rango de Ley) Interés legítimo de responsable o tercero (explicitar el interés y buena
práctica ponderación) Consentimiento del interesado Excepcionalmente en supuestos de urgencias: Protección de intereses
vitales
Consentimiento “inequívoco” y “explícito”. No tácito
Venimos del consentimiento como Regla General y ahora va a costarmucho ”cambiar el chip” a que sea “una causa más” …
En España no tenemos tradición de balancear el interés legítimoporque durante mucho tiempo “no existía”… y ahora pasa a tener un lugarmuy importante. .
D. El tratamiento de datos de menores de edad
14 años en general, se requerirá elconsentimiento delPadre/Madre/Tutor/Representante Legal
La información dirigida a los mismos deberáexpresarse. en un lenguaje que sea fácilmentecomprensible por aquéllos
Articular los procedimientos que garanticenque se ha comprobado de modo efectivo la edaddel menor y la autenticidad del consentimientoprestado en su caso, por los padres, tutores orepresentantes legales
13 años pero 16 años en los servicios ofrecidos porInternet
Por debajo de esa edad, es necesario elconsentimiento de padres o tutores.
El aviso de privacidad debe estar escrito en unlenguaje que los niños puedan entender.
Se hará esfuerzos razonables para verificar enteniendo en cuenta la tecnología disponible.
El proyecto de LOPD es confuso y no queda claro si la mayoría deedad para tratamientos off line son los 13 años o más de 13 (y por tanto14).
En España ya se exigía articular los procedimientos que garanticenque se ha comprobado de modo efectivo la edad del meno y laautenticidad del consentimiento prestado porsus representantes y el RGPDrebaja la exigencia exigiendo sólo que se hagan esfuerzos razonables paraverificar en teniendo en cuenta la tecnología disponible. .
¿ Quién es el Encargado de Tratamiento? Persona física o jurídica, autoridad pública,servicio u otro organismo que trate datos personales por cuenta del responsable deltratamiento.
¿Cómo debe regularse la relación entre Responsable y el Encargado?
Contrato o acto jurídico similar que los vincule.
Deberá constar por escrito, inclusive en formato electrónico.
AEPD: NOVEDAD: "La posibilidad de regular esta relación a través de un acto
jurídico unilateral del responsable del tratamiento es una novedad del RGPD”.
Pero matiza que “en cualquier caso debe tratarse de un acto jurídico que establezca
y defina la posición del encargado del tratamiento, siempre y cuando ese acto vincule
jurídicamente al encargado del tratamiento.
Un ejemplo: una resolución administrativa que conste notificada al encargado del
tratamiento.
E. Regularización de los prestadores de servicios con acceso a datos (= Encargados de Tratamiento)
.
¿Cuál es el contenido mínimo de un contrato de encargo detratamiento?
Los contratos de encargo concluidos con anterioridad a la aplicación del RGPD en
mayo de 2018 deben modificarse y adaptarse para respetar este contenido, sin que
sean válidas las remisiones genéricas al artículo del RGPD que los regula.
1. Objeto, duración y naturaleza
2. Finalidad del tratamiento/s que se autoriza al encargado
3. Tipo de datos personales y categorías de interesados
4. Que el encargado tratará los datos personales únicamente siguiendo instrucciones
documentadas del responsable.
5. Deber de confidencialidad, secreto profesional
6. Medidas de seguridad, técnicas y organizativas.
7. Régimen de subcontratación
8. Colaboración en el cumplimiento de obligaciones del Responsable:
9. Finalización de la relación: supresión o devolución de datos
Diligencia en la elección y supervisión del Encargado
El Responsable de Tratamiento debe elegir un encargado del tratamiento que ofrezcagarantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas yorganizativas apropiadas. El Encargado ofrecerá conocimientos especializados, fiabilidad yrecursos.
Para demostrar que el Encargado (o Sub-encargados) ofrece garantías suficientes el RGPDprevé que la adhesión a CÓDIGOS DE CONDUCTA o la posesión de un CERTIFICADO deprotección de datos pueden servir como mecanismos de prueba.
La posibilidad de regular esta relación a través de un acto jurídicounilateral del responsable del tratamiento es una novedad del RGPDpero sólo aplica al sector público.
El proyecto de LOPD (Disposición transitoria quinta) consciente delproblema lo que hace es prorrogar esta obligación:
Los contratos artículo 12 firmados antes del 25 de mayo de 2018:
• Mantienen vigencia hasta fin contrato
• Pero:
• Si son indefinidos máximo 4 años desde 25 Mayo de 2018.
• Si prevén su prórroga al finalizar deberán adaptarse con anterioridad almomento en que estuviera prevista dicha prórroga.
NOVEDADES
Derecho a la PORTABILIDAD DE LOS DATOS
F. Derechos del ARCO
Derecho de Supresión (= Derecho al Olvido)
Derecho a la limitación en el tratamiento) tico
QUIERO QUE…
Gratuidad: no obstante hay supuestos en que puede cobrar una tasa o
canon razonable o incluso negarse a responder.
Ej. solicitudes abusivas que manifiestamente infundadas, excesivas, o aquellas
que tengan un carácter repetitivo.
Plazos: 1 MES. Puede ser prorrogado por 2 meses más en supuestos de
complejidad o número de solicitudes recibidas.
Medios Electrónicos: Se proporcionará medios para ejercicio por esta vía
Negativa a la solicitud: Cuando no se le conceda el derecho se informará
de la posibilidad de presentar la correspondiente reclamación ante la
Autoridad competente.
Información adicional: en aquellos casos en los que existan dudas
razonables sobre la identidad de la persona física que realiza la solicitud.
G. Pongamos el zoom en las medidas de seguridad
Novedad: Las medidas se derivarán del AARR y Evaluación de impacto …
Privacy by default
Privacy by design
Notificación de violaciones o brechas de seguridad
No existe tradición generalizada del análisis de riesgos en el ámbitode la protección de datos: muchos tendrán que “ponerse las pilas” en estecampo.
Que no exista una serie de medidas tasadas por tipo de datos nosignifica que - después de realizado el análisis de riesgos del tratamiento -no se puedan traducir a niveles de medidas ni que las medidas de dichosniveles no puedan ser coincidentes con las que establecía el RD 1720/2007como hace por ejemplo la GUIA 803 del CCN para el ENS
H. EL DPD
a) ANTECEDENTES
Directiva 95/46 permitía omitir la notificación cuando se dieran ciertas
condiciones, entre las que se exigía haber designado DPD.
b) ANTES LA SITUACIÓN ERA ASIMÉTRICA
Términos utilizados:
•DPO (Data Protection Officer)
•DSO (Responsable de Seguridad)
•Fuente: http://www.aspectosprofesionales.info/2012/04/el-delegado-de-proteccion-de-datos.html
c) AHORA SUPUESTOS DE OBLIGATORIEDAD DPD
RGPD
1. Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los
tribunales que actúen en ejercicio de su función judicial”.
2. Cuando las actividades principales consistan en operaciones de tratamiento que, en razón
de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de
interesados a gran escala”.
3. Cuando as actividades principales consistan en el tratamiento a gran escala de
categorías especiales de datos y de datos relativos a condenas e infracciones penales.
+ PLOPD: Supuestos concretos
+ CONVENIENCIA: Sanciones, complejidad, etc…
d) FUNCIONES DEL DPD
RGPD
1. Informar y asesorar al responsable, al encargado y empleados.
2. Supervisar el cumplimiento incluyendo asignación de responsabilidades,concienciación y formación del personal.
3. Asesorar acerca de la evaluación de impacto y supervisar su aplicación.
4. Cooperar con la autoridad de control
5. Actuar como punto de contacto en cuestiones relativas al tratamiento de losdatos, incluyendo las consultas previas.
Según el ESQUEMA DE CERTIFICACIÓN D E DPD Y RECOME
ESQUEMA DE CERTIFICACIÓN Y RECOMENDACIONES PARA AAPP
1. Cumplimiento de principios relativos al tratamiento: limitación de finalidad, minimización o exactitud de los datos
2. Identificación de las bases jurídicas de los tratamientos
3. Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos
4. Existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas
5. Diseño e implantación de medidas de información a los afectados por los tratamientos de datos
6. Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los
interesados
7. Valoración de las solicitudes de ejercicio de derechos por parte de los interesados
8. Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos requeridos
9. Identificación de los instrumentos de TID adecuados a las necesidades y características de la organización y de las razones
que la
10. Diseño e implantación de políticas de protección de datos
11. Auditoría de protección de datos
12. Establecimiento y gestión de los registros de actividades de tratamiento
13. Análisis de riesgo de los tratamientos realizados
14. Implantación de las medidas de protección de datos desde el diseño y por defecto adecuadas a los riesgos y naturaleza de los
tratamientos
15. Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos
16. Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos y de notificación a las autoridades y a
los afectados
17. Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos
18. Realización de evaluaciones de impacto sobre la protección de datos
19. Relaciones con las autoridades de supervisión
20. Implantación de programas de formación y sensibilización del personal en materia de protección de datos
• Cuando el responsable o el encargado del tratamiento hubieran designado un DPD
• GESTIÓN PREVIA A LA RECLAMACIÓN:
•El afectado se podrá dirigir al DPD de la entidad contra la que se reclame.•EL DPD comunicará al afectado la decisión que se hubiera adoptado en el plazomáximo de dos meses a contar desde la recepción de la reclamación.
• Si el afectado presenta RECLAMACIÓN DIRECTAMENTE ANTE LA AUTORIDAD DE CONTROL:
•Las autoridades podrán remitir la reclamación al delegado de protección de datos afin de que por el mismo se dé respuesta a la misma en el plazo de un mes.
+ PLOPD Gestión de reclamaciones
e) POSIBILIDADES DE CONFIGURACIÓN
A. INTERNO/EXTERNO
Dependerá del tipo, actividad y tamaño de organIzación
B. UNIPERSONAL O COLECTIVO
La organización cual se adapta mejor a sus necesidades.
PLOPD Dice que puede ser una persona física o jurídica
.
33
f) POSICIÓN DEL DPD
• PARTICIPACIÓN del DPD en todas las cuestiones relativas a la protección de
datos personales
• RECURSOS NECESARIOS
• INDEPENDENCIA
• No recibirá instrucciones.
• Depende directamente del más alto nivel jerárquico.
• DESPIDO O SANCIÓN
• Concepto amplio de sanción
• No podrá ser sancionado o destituido por el hecho de desempeñar sus
funciones…. PLOPD: salvo que incurriera en dolo o negligencia grave en su
ejercicio”.
• COMPATIBILIDAD CON OTRAS FUNCIONES. ANÁLISIS DE CONFLICTO DE
INTERESES.
g) CUALIDADES DEL DPD
EXPLÍCITAS (ART. 37 RGPD)
1.Cualidades profesionales2.Conocimientos especializados del Derecho3.Práctica en materia de protección de datos4.Capacidad para ejecutar las tareas contempladas en el art. 39.
Considerando 97:
El nivel de conocimientos especializados necesario se debe determinar, en particular, en función delas operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para losdatos personales tratados por el responsable o el encargado.
Pese a las “aclaraciones” del grupo de trabajo del artículo 29 lossupuestos de exigencia de DPD no son nada claros. ¿Es una Ley Orgánica ellugar para aclararlos? Creo que no.
La certificación no es exigible legalmemte (aunque creo que elmercado la irá exigiendo en ciertos supuestos). Pero lo que si que deberíagarantizarse es la formación y capacitación mínima.
Puedes continuar profundizando en las luces y sombras en:
https://dpd.aec.es/blog/