El Reglamento General de Protección de Datos

Marzo de 2018

Primer borrador

del RGPD

Opinión del

Supervisor

Europeo de

Protección de

Datos

Opinión 01/2012

del Grupo de

Trabajo del

Artículo 29

Resolución del

Comisario Europeo

de Protección de

Datos sobre la

reforma (en la “Spring

Conference de 2012”)

Informe de Jan

Philipp Albrecht Resolución

legislativa del

Parlamento Europeo:

Adopción de sus

posiciones en una

primera lectura de

texto del RGPD

Orientación

general del

Consejo sobre

el RGPD

Acuerdo del

Consejo, el

Parlamento y la

Comisión

2013 2014 2015 2012

25 de

enero

7 de

marzo

23 de

marzo

3 de

mayo

16 de

enero

12 de

marzo

15 de

junio

17 de

sept.

15 de

dic.

2016

14 de

abril

Declaración del Grupo

de Trabajo del

Artículo 29 sobre las

reuniones del Consejo

en su formación de

Justicia y Asuntos de

Interior (JAI)

Aprobación del

RGPD por el

Parlamento

Europeo

4 de

mayo

Publicación del

RGPD en el

Diario Oficial de

la Unión Europea

2018

Aplicación a partir de 25

de mayo 2

El proceso de aprobación de la norma

3

La importancia de la norma

Noticias sobre el reglamento general de

protección de datos

4

PRIVACY BY

DESIGN / BY

DEFAULT

DATA

PROTECTION

OFFICER

BRECHAS DE

SEGURIDAD

EVALUACIONES

DE IMPACTO

(PIA / PRIVACY

IMPACT

ASSESSMENT)

REGISTRO DE

TRATAMIENTOS

SEGURIDAD BASADA

EN LOS RIESGOS,

ENCRIPTACIÓN,

PSEUDONIMIZACIÓN.

5

¿Qué supondrá la aplicación del RGPD?

NUEVO

RÉGIMEN

SANCIONADOR

DERECHO A LA

PORTABILIDAD

INFORMACIÓN

Y

TRANSPARENCIA

CONSENTIMIENTO

A TRAVÉS DE

ACTOS POSITIVOS

173 considerandos 99 artículos 11 capítulos

CAPÍTULO I Disposiciones generales

CAPÍTULO II Principios

CAPÍTULO III Derechos del interesado

CAPÍTULO IV Responsable del tratamiento y encargado del tratamiento

CAPÍTULO V Transferencia de datos personales a terceros países u organizaciones

internacionales

CAPÍTULO VI Autoridades de control independientes

CAPÍTULO VII Cooperación y coherencia

CAPÍTULO VIII Recursos, responsabilidad y sanciones

CAPÍTULO IX Disposiciones relativas a situaciones específicas de tratamiento

CAPÍTULO X Actos delegados y actos de ejecución

CAPÍTULO XI Disposiciones finales

Estructura Reglamento

Dos meses para…

COMUNICACIÓN A

USUARIOS Y A

AUTORIDADES DE

CONTROL DE

BRECHAS DE

SEGURIDAD

CREACIÓN DE UNA

ESTRUCTURA DE

CUMPLIMIENTO

INTERNO Y

ASIGNACIÓN DE

RESPONSABILIDADES

(DPO)

DOCUMENTACIÓN

Y REGISTRRO

OBLIGATORIO DE

TRATAMIENTOS

¿Conozco los tratamientos que lleva a cabo mi

empresa?

ANÁLISIS PREVIO

DE

TRATAMIENTOS

QUE

REPRESENTEN

RIESGOS PARA LA

PRIVACIDAD

(PIAS)

ATENCIÓN DE

NUEVOS

DERECHOS DE LOS

INTERESADOS

(TRANSPARENCIA

E INFORMACIÓN

ADICIONALES;

DERECHO A LA

PORTABILIDAD)

¿Estoy preparado

para evaluar los

riesgos de un nuevo

tratamiento?

¿Cómo afectará el RGPD a la relación con los

clientes?

7

La importancia de la norma

Dato de carácter personal

8

Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo

concerniente a personas físicas identificadas o identificables.

RLOPD

Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier

información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se

considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

Datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura,

física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su

porcentaje de discapacidad y a su información genética.

Dato disociado: aquél que no permite la identificación de un afectado o interesado.

Datos personales: toda información sobre una persona física identificada o identificable (el «interesado»); se considerará

identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número

de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica,

económica, cultural o social.

Directiva 95/46/CE

LOPD

Datos de carácter personal: Cualquier información referida a una persona física identificadas o identificables.

Datos personales obtenidos a partir de un

tratamiento técnico específico, relativos a las

características físicas, fisiológicas o conductuales de

una persona física que permitan o confirmen la

identificación única de dicha persona, como

imágenes faciales o datos dactiloscópicos

9

Dato biométrico

Datos genético

Datos relativos

a la salud

Datos personales relativos a las características

genéticas heredadas o adquiridas de una persona

física que proporcionen una información única sobre

la fisiología o la salud de esa persona, obtenidos en

particular del análisis de una muestra biológica de tal

persona

Datos personales relativos a la salud física o mental

de una persona física, incluida la prestación de

servicios de atención sanitaria, que revelen

información sobre su estado de salud

Cualquier información relativa a una persona física

identificada o identificable (“el interesado”). Dato personal

Se considerará persona física identificable

toda persona cuya identidad pueda

determinarse, directa o indirectamente,

en particular mediante un identificador,

como por ejemplo un nombre, un número

de identificación, datos de localización, un

identificador en línea o uno o varios

elementos propios de la identidad física,

fisiológica, genética, psíquica, económica,

cultural o social de dicha persona;

RGPD

Dato de carácter personal

10

Categoría ¿Dato personal? Informe/Sentencia

Nombre y apellidos Sí N/A

DNI Sí Informe AEPD 0334/2008

Imagen Sí Comparecencia del Dir. de la AEPD en el

Congreso (2006)

Matrícula del coche Sí, como norma general [Informe AEPD 425/2006 ]

SAN 26-12-2013

Correo electrónico Sí Informe AEPD 15-11-2005

Número de teléfono móvil Depende SAN 17-09-2008

Domicilio Sí Informe AEPD 182/2008

Dirección IP Sí Informe AEPD 327/2003

Firma Sí Informe AEPD 502/2014

Dato de carácter personal

11

Artículo 6. Consentimiento del afectado

1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley

disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones

propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un

contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o

cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los

términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su

tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del

tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del

interesado.

3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le

atribuyan efectos retroactivos.

4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter

personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos

fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable de fichero excluirá del

tratamiento los datos relativos al afectado.

Licitud del tratamiento

LOPD

12

Artículo 7

Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

a) el interesado ha dado su consentimiento de forma inequívoca, o

b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas

precontractuales adoptadas a petición del interesado, o

c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o

d) es necesario para proteger el interés vital del interesado, o

e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al

responsable del tratamiento o a un tercero a quien se comuniquen los datos, o

f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o

terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades

fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.

Licitud del tratamiento

Directiva 95/46/CE

Para que el tratamiento sea lícito de acuerdo

con el RGPD, debe cumplir con

alguna de las siguientes

previsiones:

Que el tratamiento sea necesario para la ejecución de un contrato.

Que el interesado haya prestado su consentimiento específico para que se traten sus datos personales para uno o varios fines.

Que sea necesario para cumplir con una obligación legal aplicable al responsable del

tratamiento.

Que sea necesario para proteger los intereses vitales del interesado o de una persona

física.

Que sea necesario para el cumplimiento de un interés público o en el ejercicio de

poderes públicos del responsable del tratamiento.

Que sea necesario para satisfacer los intereses legítimos del responsable del

tratamiento o de un tercero, siempre que no contravengan con los intereses, derechos y

libertades del interesado (sobre todo si se trata de un menor).

Licitud del tratamiento (Artículo 6)

RGPD

No aplicable a las Administraciones

Públicas en el ejercicio de sus

funciones

Turno de preguntas

14

MUCHAS GRACIAS

María Luisa González Tapia

(+34) 91 576 19 00

mlgonzalez@ramoncajal.com

www.ramoncajalabogados.com