En este seminario que hemos realizado junto a Novicell explicamos desde el punto de vista legal, los nuevos cambios y aplicaciones de la Ley de protección de datos, mientras nuestro colaborador lo ha explicado desde el punto de vista técnico.
4. Quiénes somos
AGM Abogados es una firma de asesoría
jurídica y financiera que lleva más de 30 años
en el mercado español y que cuenta con
sedes internacionales en distintos
continentes.
Está integrado por un equipo de más de 100
profesionales entre abogados, economistas y
personal de apoyo.
Nuestro compromiso con el cliente no se
limita a cubrir sus necesidades cuando éstas
se producen, sino a prevenirlas.
Asimismo, nuestra vocación multidisciplinar
permite afrontar operaciones que exijan un
asesoramiento integral.
En definitiva, en AGM Abogados queremos
ser aquello que nuestros clientes esperan de
nosotros. Tenemos vocación de ser un
despacho de referencia que ofrece todos
aquellos servicios, tanto a nivel nacional
como internacional, que contribuyen a
asegurar el éxito en las actividades de
nuestros clientes.
“Nuestra misión es ofrecer
soluciones integradoras prestando
servicios especializados”
2www.agmabogados.com
6. 5.
6.
7.
Índice
Medidas de responsabilidad activa:
a. Análisis de riesgos
b. Registro de actividades de tratamiento
c. Medidas de seguridad (anonimización)
d. Violaciones de protección de datos
e. Evaluaciones de impacto
f. Delegado de Protección de Datos
4www.agmabogados.com
Transferencias internacionales
Información de interés general
7. El Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016.
Será de aplicación en MAYO 2018 > 2 años periodo de transición > ADAPTACIÓN.
El RGPD es directamente aplicable sin necesidad de transposición à en trámite la nueva LEY
ORGÁNICA DE PROTECCIÓN DE DATOS.
Dos elementos CLAVE en el RGPD:
1. Principio de responsabilidad proactiva (actitud consciente, diligente y proactiva)
¿Qué datos se tratan?
¿Con qué finalidad se tratan?
¿Qué tipo de tratamiento se lleva a cabo?
¿Son adecuadas las medidas de seguridad?
2. Enfoque del riesgo:
Análisis del riesgo para los derechos y libertades de las personas
5www.agmabogados.com
1. Introducción
9. INEQUÍVOCO: el que se ha prestado mediante una manifestación del interesado o mediante una clara
acción afirmativa.
Tiene que ser además EXPLÍCITO en los siguientes casos:
Tratamiento de datos sensibles (raza, etnia, religión, afiliación, política, datos genéticos, salud,
vida sexual).
Adopción de decisiones automatizadas.
Transferencias internacionales.
Consentimiento ESPECÍFICO para cada tratamiento.
OBLIGACIONES:
Información: concisa, transparente, inteligible
y de fácil acceso.
Actualizar derechos de los interesados.
Incluir información sobre:
Base jurídica del tratamiento.
Transferencias internacionales.
Datos del Delegado del Protección de datos, si lo hay.
Elaboración de perfiles.
7www.agmabogados.com
a) Consentimiento
RECOMENDACIONES:
Revisar formularios de
recogida de
consentimiento.
Adaptación de los mismos
incluyendo información
requerida por el RGPD.
10. Obligación del RESPONSABLE del tratamiento.
¿CUÁNDO se debe informar?
Cuando se obtienen directamente de los interesados > en el momento de recogida.
Cuando se obtienen de fuentes de acceso público/cesión legítima > en un plazo razonable:
Antes de 1 mes desde que se obtuvieron los datos.
Antes de la 1ª comunicación con el interesado.
Antes de la comunicación a otros destinatarios.
SALVO:
Comunicación imposible/esfuerzo desproporcionado.
Datos de carácter confidencial por un deber legal de secreto.
Obligación del RESPONSABLE del tratamiento.
¿CÓMO informar? > POR CAPAS
Formularios en papel.
Navegación o formularios web.
Entrevista telefónica.
Registro de aplicaciones móviles, etc.
8www.agmabogados.com
b) Deber de informar
11. 9www.agmabogados.com
Epígrafe Información Básica (1ª capa) Información adicional (2ª capa)
Responsable Identidad del responsable del
tratamiento
Datos de contacto del responsable.
Identidad y datos del representante.
Datos de contacto del DPO.
Finalidad Descripción sencilla de los fines
del tratamiento, elaboración de
perfiles
Descripción amplia de los fines de tratamiento.
Plazos/criterios de conservación de datos.
Decisiones automatizadas, perfiles.
Legitimación Base jurídica del tratamiento Detalle de la base jurídica; obligación legal, interés público, interés legítimo.
Obligación o no de facilitar datos y consecuencias de no hacerlo.
Destinatarios Previsión o no de cesiones Destinatarios o categorías de destinatarios.
Previsión o no de transferencias a
terceros países
Adecuación, garantías, situaciones específicas aplicables en terceros países.
Derechos Referencia al ejercicio de los
derechos
Derechos de acceso, rectificación, supresión, portabilidad, limitación, oposición.
Derecho a retirar el consentimiento prestado.
Derecho a reclamar ante la Autoridad competente.
Procedencia Fuente de los datos (cuando no
proceden de los interesados)
Información detallada del origen de los datos, incluso si proceden de fuentes públicas.
Categorías de los datos que se traten.
b) Deber de informar
13. Facilitar el ejercicio por medios electrónicos.
Plazo de información al interesado > 1 mes > 2 meses solicitudes complejas.
Tomar medidas para verificar la identidad de quienes ejercitan los derechos.
Colaboración de encargados de tratamiento para atender las respuestas a los ejercicios de los
derechos de los interesados.
GRATUITO, salvo:
Solicitudes manifiestamente infundadas, excesivas, repetitivas > el responsable podrá cobrar un
canon.
11www.agmabogados.com
a) Procedimiento para el ejercicio
15. No utilización de los datos del afectado.
Se puede solicitar cuando:
Ejercicio de los derechos de rectificación/oposición, estando la solicitud en trámite.
Tratamiento ilícito, pero el interesado se opone al borrado de los datos.
Cuando ya no siendo procedentes, el interesado solicite su conservación para la formulación,
ejercicio, defensa de reclamaciones.
El responsable sólo los puede tratar:
Con el consentimiento de interesado.
Para la formulación, el ejercicio o la defensa de las reclamaciones.
Para proteger los derechos de otra persona física o jurídica.
Por razones de interés público de la UE o de un Estado miembro.
13www.agmabogados.com
d) Limitación del tratamiento
16. Derecho avanzado del derecho de acceso > la copia debe proporcionarse en un formato estructurado,
de uso común y lectura mecánica.
Los datos se transmiten directamente de un responsable a otro, siempre que ello sea técnicamente
posible.
Sólo puede ejercitarse:
Cuando el tratamiento se realiza por medio automatizados.
Cuando el tratamiento se base en un consentimiento/contrato.
Cuando se trate de datos proporcionados por el propio interesado.
14www.agmabogados.com
e) Portabilidad
20. Formalización del encargo en:
Contrato.
Acto Jurídico.
CONTENIDO mínimo del contrato:
Objeto, duración, naturaleza y finalidad del tratamiento.
Tipos de datos personales y categorías de los interesados.
Tratamiento de datos por parte del encargado siguiendo instrucciones del responsable.
Condiciones para dar autorización/consentimiento a subcontrataciones.
Asistencia mutua para el ejercicio de los derechos de los interesados.
Deber de confidencialidad.
Medidas de seguridad.
Destino de los datos al finalizar la prestación > supresión.
18www.agmabogados.com
c) Contenido del contrato de
encargo
22. Valoración del riesgo de los tratamientos que realicen.
El análisis variará en función de:
Los tipos de tratamientos.
La naturaleza de los datos.
El número de interesados afectados.
La cantidad y variedad de tratamientos que en una misma organización se lleven a cabo.
Grandes organizaciones.
Organizaciones de menor tamaño y tratamientos de poca complejidad:
Análisis documentado.
Ranking de riesgo:
¿Se tratan datos sensibles? SÍ < NO
¿Se tratan datos de un gran número de personas? SÍ < NO
¿Se realiza elaboración de perfiles? SÍ < NO
¿Se cruzan datos con otros disponibles en otras fuentes? SÍ < NO
¿Se pretenden utilizar los datos para varias finalidades? SÍ < NO
¿Análisis masivo de datos (big data)? SÍ < NO
¿Utilización de técnicas invasivas de la privacidad (videovigilancia, geolocalización, etc.)? SÍ < NO
20www.agmabogados.com
a) Análisis de riesgos
23. Similar a la información que se comunica actualmente a la AEPD mediante la comunicación de
ficheros.
Exentas empresas con menos de 250 trabajadores, salvo que:
El tratamiento entrañe un riesgo para los derechos y libertades de los interesados y no sea
ocasional.
Datos especialmente protegidos.
Datos relativos a condenas e infracciones penales.
Registro de operaciones de tratamiento:
Nombre y datos de contacto del Responsable y DPO.
Finalidades del tratamiento.
Descripción de las categorías de interesados.
Transferencias internacionales de datos.
21www.agmabogados.com
b) Registro de actividades de
tratamientos
24. Aplicación de las medidas desde el inicio del tratamiento.
El actual Documento de Seguridad puede seguir siendo útil, si tras realizar el análisis de riesgos se
concluye que las medidas de seguridad contempladas en el mismo son apropiadas.
Medidas técnicas y organizativas teniendo en cuenta:
El coste de la técnica.
Los costes de aplicación.
La naturaleza, el contexto y los fines del tratamiento.
Los riesgos para los derechos y libertades.
Aplicación de los principios ya conocidos:
Datos necesarios.
Cantidad de los datos.
Calidad de los datos.
Extensión del tratamiento.
Periodo de conservación.
PROCESOS DE ANONIMIZACIÓN /SEUDONIMIZACIÓN de los datos.
22www.agmabogados.com
c) Medidas de seguridad
25. Todo incidente que ocasione: la destrucción, pérdida o alteración accidental o ilícita de datos
personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no
autorizados a dichos datos. Ejemplos:
La pérdida de un ordenador portátil.
El acceso no automatizado a una base de datos por personal no autorizado.
Borrado accidental de datos.
Notificación a la autoridad competente > plazo > 72 horas.
Incluir en la notificación:
La naturaleza de la violación.
Categorías de los datos e interesados afectados.
Medidas correctivas.
Medidas para minimizar efectos negativos.
Cuando afecte a los derechos y libertades de los afectados > notificación también a ellos.
23www.agmabogados.com
d) Notificación de violaciones de
protección de datos
26. 24www.agmabogados.com
Para tratamientos de alto riesgo.
Se pueden realizar consultas a la AEPD, que puede dar recomendaciones o limitar el tratamiento.
Supuestos de alto riesgo:
La AEPD elaborará listados sobre supuestos de tratamiento de alto riesgo.
Elaboración de perfiles sobre cuya base se tomen decisiones jurídicas.
Tratamientos a gran escala de datos personales:
Volumen absoluto de datos en relación a una determinada población.
Volumen de datos y variedad de datos.
Duración y permanencia de la actividad del tratamiento.
La extensión geográfica de la actividad del tratamiento.
e) Evaluación de impacto
27. 25www.agmabogados.com
Persona con cualificaciones profesionales en materia jurídica y tecnológica (proceso de Certificación
establecido por la AEPD > la Certificación no es un requisito indispensable para el acceso a la
profesión).
Comunicación de la designación a la AEPD.
Contrato laboral/mercantil. Jornada completa/parcial.
Requisitos de sus funciones:
Total autonomía en el ejercicio de sus funciones.
Relación directa con el órgano de Administración.
Obligatorio para:
Autoridades y organismos públicos.
Tratamientos que requieran observación sistemática y habitual a gran escala.
Tratamientos a gran escala de datos sensibles.
f) Delegado de Protección de
Datos (DPO)
28. 26www.agmabogados.com
Los datos sólo pueden ser comunicados fuera del espacio Económico Europeo:
A países o sectores específicos previamente autorizados por la Comisión.
Cuando se garanticen medidas de protección adecuadas en el destino.
Cuando aunque el país no sea seguro, se realice de forma puntual y no suponga perjuicio para el
afectado, y se realice en virtud de un interés legítimo del responsable.
6. Transferencias internacionales
29. Contacto
BARCELONA
Pau Clarís, 139 - 08009
Tel.: +34 93 487 11 26
agm@agmabogados.com
MADRID
Paseo de la Castellana, 114 - 28046
Tel.: +34 91 562 13 86
madrid@agmabogados.com
SHANGHAI
Crystal Century Plaza – Room 17A
567 Weihai Road - 200041
WeChat: AGM_Abogados
shanghai@agmabogados.com
SABADELL
C/del Sol, 217, Local- 08201
Tel.: +34 93 715 51 36
sabadell@agmabogados.com
PARÍS
27, rue Dumont d’Urville - 75116
Tel.: +33 1 44 43 00 70
paris@agmabogados.com
Oficina de representación
México DF
27www.agmabogados.com
34. RIGHT
DUTY
“A duty to obtain and process personal data
fairly and lawfully”
Everyone has the right to respect for his private and
family life, his home and his correspondence.
39. WHAT IS PERSONAL DATA?
"Personal data" means any information relating to an identified or identifiable
natural person ("data subject"); an identifiable person is one who can be
identified, directly or indirectly, in particular by reference to an identifier such as a
name, an identification number, location data, online identifier or to one or more
factors specific to the physical, physiological, genetic, mental, economic, cultural
or social identity of that person.
43. B2B LEAD
STRANGER VISITOR LEAD CUSTOMER
User Story Sees a social media post Visits our blogpost about
GDPR
Downloads the whitepaper,
receives a newsletter and
attends a seminar
-
Systemer /
Processor
-
-
Data - • IP Addresse
• Timestamp
• Behavior
• Company name*
• Name
• E-mail
• Company
• Titel
• Phonenumber
…
GDPR - • Data processor
agreement
• Consent
• Informativ Consent
• Policies (access)
• Right to be forgotten
• Storing
• Justification
• Consequence-analysis
•
-
CRM
45. User Story:
New customer registers for an insurance product and submits required information
Externally Internally
CRM
3. Party
Employees
Services
ERP
Consent/Agreement
Data processing agreement
Policies
Technical
Data Protection responsibility
47. CRM
Services
ERP
User Story:
New customer registers for an insurance product and submits required information
Externally Internally 3. Party
Employees
Consent/Agreement
Data processing agreement
Policies
Technical
Data Protection responsibility
48. CRM
Services
ERPSubmits history of
health and payment
information
Send to CRM
Saved in CRM
Presented to
account
manager
Send to
Gateway
Payment
Service
Created In ERP
User Story:
New customer registers for an insurance product and submits required information
Externally Internally 3. Party
Employees
Consent/Agreement
Data processing agreement
Policies
Technical
Data Protection responsibility
49. CRM
Services
ERPSubmits history of
health and payment
information
Send to CRM
Saved in CRM
Presented to
account
manager
Send to
Gateway
Payment
Service
Created In ERP
User Story:
New customer registers for an insurance product and submits required information
Externally Internally 3. Party
Employees
Consent/Agreement
Data processing agreement
Policies
Technical
Data Protection responsibility
51. User Story:
Client reports incident/damage and sends information to be processed
CRM
Receptionist
Finds contact
information
Recipient
Forwards
Sends mail
Account Manager
Creates case in
CRM system
Externally Internally 3. Party
52. User Story:
Kunde anmelder skade og indsender oplysninger til Trust Forsikring
Eksternt Internt
CRM
3. part
Reception
Finder
kontaktoplysninger
Modtager
Forwarder
Sender mail
Sagsbehandler
Opretter skade
53. User Story:
Kunde anmelder skade og indsender oplysninger til Trust Forsikring
Eksternt Internt
CRM
3. part
Reception
Finder
kontaktoplysninger
Modtager
Forwarder
Sender mail
Sagsbehandler
Opretter skade
54. CRM
Case Worker
Finds Incident Form
Sends to CRM
Case is created
in the system
Notification to
employee
Fills in information
Externally Internally 3. Party
User Story:
Client reports incident/damage and sends information to be processed
57. Externally Internally
CRM
3. part
Case Worker
ERP
User Story:
Client wants to execute her right to be forgotten, or to have her data with her.
Can be withheld
payment
Can be a manual
process
Does also mean 3.
party
60. ANCHOR
Purpose:
Identify your role under GDRP
Have a clear sense of:
• Which personal data are you using?
• Who has access to personal data?
• Where and how is personal data stored?
• When is personal data deleted?
• How is personal data deleted?
...
Identify your need for working with personal data and map it to the how
it is used in the organization today.
Identify the tasks and measures which needs to be taken and carried
out.
Format:
Workshop with stakeholder, and interviews with key personnel in the
organization.
Result:
Report of findings and overview of tasks needed to be carried out.
Scope:
62. PLANNING
Purpose:
Identify and give the needed mandate to the team driving the and
fulfilling the tasks.
Allocate resources both internally and externally.
Identify a Change Agent across the organization.
Planning and estimation of the roadmap ahead and have the critical
path defined and identified.
Format:
Workshop
Result:
A planned project with clear milestones.
A team with clearly defined roles and responsibility in regard to driving
and fulfilling the tasks in the project.
A clear overview of the time, ressources and money needed to complete
to project
Scope:
10 - 15 Hours*
63. EXECUTE
Purpose:
• Establish and create documentation and policies.
• Review legal texts concerning personal data
• Data Processor Agreements
• Internal policies
• Internal documentation, consequence analysis, justification, processes
• Operational procedures for how to delete or port data
• Operational procedures for what to do in case of data breach.
• Consent and information
• IT-architecture overview of how and where personal data is stored and moved
around.
• Internal education
• Audit
• New security measures
• Passwords and user accounts
• Review of current business design
• Create contact forms
• Data washing - getting rid of personal data not used or not obtained with the right
consent.
• Flow for collecting consent from existing users/clients
Result:
Measurable and tangible artifacts and solutions, bringing the company in
compliance with GDPR
Scope:
64. EVALUERING
Purpose:
Evaluation of the ended project.
Identification of any missing tasks.
Planning the next revisit of the Anchor step.
• Motivated or triggered by:
• Changes in the organization
• Changes in GDPR.
• Changes in the IT landscape
• New software etc.
• Changes to the way the organization uses personal data.
Format:
Workshop og audit
Result:
Sign off on compliance process
Scope:
10 Hours*
67. KICK START - PACKAGE
• Anchor step light
• Website audit
• Flow of data from and to the website
• Legal audit on privacy copy/text
• Identification of todos
Result: Action plan and tasks needed to be carried out
regarding the website.
68. SUMMED UP
1. Appoint a Change Agent to take charge of the process.
2. Start asking yourself the right questions:
1. Why, which, who, when, what
3. Follow the flow of data in your organization
1. Collecting, Moving, Storing, Loading and Processing
4. Document
1. Responsibility| Processing| Policies| Procedures
5. Make a emergency procedure
1. What do we do if data is lost (breached/stolen)
6. Do recurring evaluation
7. Remember it is about the freedom and rights of the individual
8. Make a choice about what you want to handle yourself or need help to from us
9. Ask us how to get started if you are still in doubt!.