El nuevo reglamento de protección de datos en la economía digital

1Agencia Española de Protección de Datos

EL NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS EN LA

ECONOMÍA DIGITAL

Jesús Rubí NavarreteAdjunto a la Directora

Agencia Española de Protección de DatosAdigital 14-03-2017


Transparencia de la información

• Configuración de la información como derecho del interesado y no como obligación del responsable

• Se incrementa la información que debe facilitarse cuando los datos se han obtenido del interesado (art. 13)– Identidad y contacto de responsable y, en su caso de su representante– Datos de contacto DPD, en su caso– Fines y base jurídica– Intereses legítimos del responsable o tercero– Destinatarios o categorías de destinatarios– Intención de realizar TID:

• Existencia o no de decisión de adecuación• Garantías adecuadas y medios para obtener copia de ellas o del

hecho de haberse prestado (TID por instrumento jurídicamente vinculante entre autoridades públicas, BCR, Cláusulas Tipo –Comisión UE o APD,s, - C.Conducta - Certificación ) o excepción por no repetitivas, nº limitado de interesados, intereses legítimos imperiosos . Derecho a obtener copia de las garantías o al hecho de que se han prestado.



– Plazo de conservación o criterios para su determinación (art. 13.2: garantía de tratamiento leal y transparente)

– Dº de acceso, rectificación o supresión, limitación del tratamiento, oposición y portabilidad

– Posibilidad de revocación del consentimiento– Derecho a presentar reclamación a APD– Si la comunicación de datos personales es un requisito

legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;

– Decisiones automatizadas –incluidos perfiles- e información significativa sobre la lógica aplicada, importancia y consecuencias previstas

– Tratamiento para fines distintos antes de dicho tratamiento, informando sobre dichos fines (art. 13.3)



Si los datos no se recaban del interesado deberá además informársele de:

– Categorías de datos que se van a tratar– Fuente de la que proceden los datos personales y, en su

caso, si proceden de “fuentes de acceso público”

Clarificación del plazo en caso de no recabarse los datos del interesado• Un mes, con carácter general (máximo)• Primera comunicación con el interesado si los datos se usan

para ese fin (máximo)• Primera cesión en caso de que se pretenda la misma (máximo)



Excepciones al deber de información• En general, cuando el interesado ya disponga de la

información y en la medida en que disponga de ella• Si los datos no proceden del interesado

– Aclaración del esfuerzo desproporcionado en caso de tratamiento con fines de archivo, estadísticos o de investigación científica o histórica

– Imposibilidad u obstaculización grave de los objetivos del tratamiento (identidad y contacto del responsable o DPD, fines, base jurídica, destinatarios y TID). Garantías adecuadas (incluso haciendo pública la información)

– Previsión legal expresa de tratamiento o revelación, con medidas oportunas de protección

– Obligación de secreto legal o profesional• Iconos normalizados (art. 12.7)


Transparencia de la información (art. 12)

• Medidas oportunas para facilitar información:– Concisa, transparente, inteligible, accesible (lenguaje claro

y sencillo) – En forma electrónica (sitio web): Complejidad de agentes y

tecnología (Publicidad en línea) (Cons.58) (El ecosistema de agentes en las cookies: Interrelación con la LSSI)

– Específicamente para niños– Por escrito u otros medios (incluso electrónicos si procede)– Verbalmente, cuando lo solicite el interesado demostrando

su identidad por otros medios– Recursos AEPD : Información por capas. Formato de tablas


Cuestiones generales sobre los restantes derechos

Modificaciones en la enumeración de los derechos• Se reconocen específicamente los derechos de rectificación y supresión

como derechos independientes y se regula detalladamente éste último• Se hace una referencia al “derecho al olvido” no del todo ajustada a la

doctrina del TJUE y se vinculan los derechos de supresión y oposición“strictu sensu”

• Se recogen nuevos derechos: limitación del tratamiento y portabilidadCondiciones generales (art. 12)• Obligación de atender los derechos a menos que se acredite la

imposibilidad de identificar al interesado• Plazo: un mes prorrogable por dos más según la complejidad y número de

solicitudes (información motivada sobre prórrogas) • Si no se da curso a la solicitud: obligación de informar en un mes acerca

de las razones y la posibilidad de acudir a la autoridad de control o los órganos judiciales

• Respuesta por medios electrónicos si el derecho se ejercitó por dichos medios salvo que el interesado manifieste lo contrario


Cuestiones generales sobre los restantes derechos

Condiciones generales• Gratuidad salvo en caso de solicitudes “manifiestamente

infundadas o excesivas, especialmente debido a su carácter repetitivo”, en que será posible– Cobrar un canon razonable en función de los costes

administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada

– Negarse a actuar respecto de la solicitud– Prueba a cargo del responsable

• Posibilidad de solicitar información adicional para garantizar la identificación del solicitante


Derecho de acceso

Alcance• Confirmación de la existencia de tratamiento• Acceso a los datos y a la información vinculada a los mismos

– Fines– Categorías de datos– Destinatarios o categorías de destinatarios– Plazo de conservación (de ser posible) o criterios de fijación– Información de derechos de rectificación, supresión, limitación u

oposición (no portabilidad)– Posibilidad de reclamación a la autoridad de control– Información disponible sobre el origen de los datos (datos no obtenidos

del interesado)– Existencia de decisiones automatizadas o perfilado (lógica aplicada e

importancia y consecuencias para el interesado)– Garantías adecuadas implantadas en caso de TID (Instrumento

jurídicamente vinculante entre autoridades y organismos públicos, BCR, C. Tipo Comisión o APD, C. de conducta o mecanismo de certificación)


Derecho de acceso

Modo de acceso: copia de los datos (y la información asociada)• Gratuidad de la primera copia y canon orientado a costes en

las ulteriores• Uso de medios electrónicos si el derecho se ejercitó por ellos

(salvo solicitud de otros modo (Cons. 63)Restricción: perjuicio de derechos de terceros (incluidos secretos comerciales y propiedad intelectual: Cons. 63)Aclaraciones (considerando 63 y 64)• Posibilidad de satisfacer el acceso mediante acceso remoto

seguro• Posibilidad de que el responsable pueda pedir aclaración al

interesado (Elevado volumen de información: Exigir especificación de la información o actividades de tratamiento)


Derecho de acceso

– Medidas razonables de verificación de la identidad(en particular, servicios en línea) (Cons. 64)

– Prohibición de conservación de datos para responder de posibles accesos (Cons. 64)


Derecho de rectificación

• Dº Rectificación (art. 16)– Rectificación de datos inexactos– Completar datos, teniendo en cuenta los fines del

tratamiento (inclusive mediante declaración adicional)

– Sin dilación indebida – Comunicación a cada uno de los destinatarios

(art. 19) (salvo imposibilidad o esfuerzo desproporcionado)

– Información sobre los destinatarios si el interesado la solicita (art. 19)


Derecho de supresión (“olvido”)• Derecho de supresión (art. 17)

– Supresión datos:• Innecesarios para fines del tratamiento• Revocación consentimiento y ausencia otra base jurídica

(distinción entre categorías especiales de datos o no)• Oposición (art. 21.1)

– Denegación por motivos legítimos imperiosos– Inversión de la carga de acreditación del “interés legitimo

imperioso• Oposición (art. 21.2)• Tratamiento ilícito• Cumplimiento obligación legal Dº UE o EEMM• Obtenidos en relación con la oferta SSI: Consentimiento

de niños y derecho a supresión cuando no sea niño(+ internet) (Cons. 65)


Supresión de enlaces

– Obligación del responsable de informar a terceros responsables de la solicitud del interesado de la supresión de enlaces, copias o réplicas cuando haya hecho públicos los datos. (la comunicación a editores de webs)• Adopción de medidas por el responsable (Medios

a su disposición: Cons. 66)• Tecnología disponible y coste

– Comunicación de la supresión a cada uno de los destinatarios (art. 19) (Salvo imposibilidad o esfuerzo desproporcionado)

– Información sobre los destinatarios si el interesado lo solicita (art. 19)


Derecho de supresión (“olvido”) Excepciones

Excepciones• Ejercicio de las libertades de expresión e información• Cumplimiento de una obligación legal que requiera el

tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento,

• Tratamiento para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable

• Razones de interés público en el ámbito de la salud pública• Fines de archivo en interés público, fines de investigación

científica o histórica o fines estadísticos, en la medida en que el derecho pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento

• Formulación, ejercicio o defensa de reclamaciones


Derecho a la limitación del tratamiento (art. 18)

Concepto: “marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro”.Naturaleza: diferencias con el bloqueo de los datos• Derecho del afectado vs. obligación legal del responsableSupuestos• Equivalentes a la “cancelación cautelar”

– “El interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos”

– “El interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado”

• Por voluntad del afectado– “El tratamiento sea ilícito y el interesado se oponga a la supresión de

los datos personales y solicite en su lugar la limitación de su uso” – “El responsable ya no necesite los datos personales para los fines del

tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones”


Derecho a la limitación del tratamiento

• Consecuencias (art. 18.2):– Tratamiento limitado a la conservación salvo:

• Consentimiento• Formulación, ejercicio o defensa de reclamaciones• Protección derechos de personas físicas o jurídicas• Interés público importante UE o EEMM

– Comunicación a los destinatarios salvo imposibilidad o esfuerzo desproporcionado (art. 19)

• Derechos de los interesados– Ser informado antes del levantamiento de la limitación

(art. 18.3)– Información sobre los destinatarios si el interesado lo

solicita (art. 19)


• Métodos: (Cons. 67)– Traslado temporal a otro sistema de

almacenamiento– Restricción de acceso a usuarios– Retirada temporal de datos publicados en internet– Ficheros automatizados: medios técnicos que

impidan el tratamiento ulterior o la modificación– Indicación clara de la limitación en el sistema– Comunicación a cada uno de los destinatarios (salvo

imposibilidad o esfuerzo desproporcionado) (art. 19)


Derecho a la portabilidad

Derecho del interesado a • Recibir los datos personales que le incumban, • Que haya facilitado a un responsable del tratamiento, • En un formato estructurado y de uso habitual y de lectura mecánica • Y a transmitirlos a otro responsable del tratamiento sin que lo impida el

responsable del tratamiento al que se hubieran facilitado los datosRequisitos para que pueda ejercitarse (acumulativos):• El tratamiento esté basado en el consentimiento o en un contrato• El tratamiento se efectúe por medios automatizadosModo de ejercicio• Podrá implicar la transmisión directa de responsable a responsable a

instancia del interesado “cuando sea técnicamente posible” (No obliga a adoptar sistemas de tratamiento técnicamente compatibles: Cons. 68)

• Derecho complementario al de acceso


Derecho a la portabilidad

• Limitaciones:– Base jurídica distinta para el tratamiento de los datos– Cumplimiento de misión en interés público o en ejercicio de

poderes conferidos al responsable (art. 20.3)• Obligación legal (Cons. 68)• Respeto a los derechos y libertades de otros interesados

afectados (art. 20.4)• Respeto del derecho a la supresión del interesado y las

limitaciones al mismo (Art. 20.3 y Cons. 68)• Respeto a la conservación de los datos facilitados para la

ejecución de un contrato en la medida y tiempo necesarios para la ejecución (Cons. 68)


Derecho de oposición

• Dº oposición (art. 21) General:– Tratamiento basado en interés legítimo o

cumplimiento de misión en interés público o ejercicio de poderes públicos• Dº a oponerse en cualquier momento por motivos

de su situación particular• Cese en el tratamiento salvo:

– Prevalencia de intereses legítimos imperiosos (demostración de prevalencia por responsable: Cons. 69) (Inversión de la prueba)

– Formulación, ejercicio o defensa de reclamaciones



• Información al interesado sobre el dº de oposición, a más tardar, en la primera comunicación al interesado ( art. 21.4)

• Presentación clara y al margen de cualquier otra información (art. 21.4)



– Mercadotecnia directa• Oposición al tratamiento, incluida la elaboración de

perfiles relacionados con ella• Sobre tratamientos iniciales o ulteriores• En cualquier momento y sin coste• Información explicita al interesado, a más tardar en

primera comunicación comercial (Cons. 70)• Información clara y al margen de otra información

– Servicios S.I.• Oposición por medios automatizados que apliquen

especificaciones técnicas• Sin perjuicio Directiva 2002/58/CE



– Investigación científica o histórica y estadística• Oposición por motivos de situación personal• Salvo tratamiento necesario para misión de

interés público


Decisiones individuales automatizadas

• Decisiones individuales automatizadas (incluidos perfiles (art. 22)– No ser objeto de una decisión:

• Basada únicamente en tratamiento automatizado• Que produzca efectos jurídicos en él o le afecte

significativamente de modo similar:– Denegación automática de crédito en línea o los

servicios de contratación en red sin intervención humana (Cons. 71)

• Incluida la elaboración de perfiles:– Cualquier tratamiento que evalúe aspectos

personales (Cons. 71)



– Analizar o predecir intereses personales, rendimiento en el trabajo, situación económica, salud, la fiabilidad o el comportamiento, la situación o los movimientos del interesado (Cons. 71)

– Utilizar procedimientos matemáticos y estadísticos adecuados para la elaboración de perfiles (Cons. 71)

– Aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, la corrección de factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error

– Tener en cuenta los posibles riesgos para el interesado– Impedir efectos discriminatorios por raza u origen étnico,

opiniones políticas, religión, creencias, afiliación sindical condición genética, estado de salud, orientación sexual o den lugar a medidas que produzcan este efecto (Cons. 71)



– Excepciones:• Necesaria para la celebración o ejecución de

contrato• Consentimiento explícito del interesado• Garantías adecuadas: Mínimo: Derecho a obtener

intervención humana, expresar punto de vista e impugnar la decisión (información específica y explicación de la decisión tomada (Cons. 71)

• Autorizada por Dº UE o EEMM con garantías adecuadas (Control y prevención del fraude y la evasión fiscal: Cons. 71



– Tratamientos excluidos• Categorías especiales de datos (salvo

consentimiento explicito o interés público esencial con garantías adecuadas)

• Menor (Cons. 71)


Limitaciones

– Limitaciones (art. 23)• Seguridad del Estado, defensa, seguridad pública (incluye

catástrofes naturales o de origen humano: Cons. 73)• Prevención, investigación, detección o enjuiciamiento de

infracciones penales o ejecución de sanciones penales• Objetivos importantes de interés público general (UE o EEMM)

(económico o financiero, fiscal, presupuestario, monetario, sanidad pública y Seguridad Social)

• Protección de la independencia judicial y procedimientos judiciales

• Prevención, investigación y enjuiciamiento de normas deontológicas de profesiones reguladas

• Funciones de supervisión, inspección o reglamentación (incluso ocasional, con ejercicio de autoridad pública excepto independencia judicial)


Limitaciones• Protección derechos y libertades de terceros• Ejecución demandas civiles

– Garantías mínimas de las limitaciones basadas en medidas legislativas (art. 23.2). Disposiciones específicas sobre:• Finalidad• Categorías de datos• Alcance de las limitaciones establecidas• Garantías para evitar accesos o transferencias ilícitas o

abusivas• Determinación de responsables o categorías de ellos• Plazos de conservación y garantías aplicables• Riesgos para derechos y libertades de los interesados• Dº Información sobre limitaciones (salvo si perjudican sus

fines)


MUCHAS GRACIAS

El nuevo reglamento de protección de datos en la economía digital

Law

Transcript of El nuevo reglamento de protección de datos en la economía digital