Este documento discute las novedades del Reglamento General de Protección de Datos de la Unión Europea. Resume los principales cambios en el consentimiento, incluyendo que debe ser específico, informado y revocable. También cubre las bases legítimas para el tratamiento de datos y los principios como la minimización de datos y la limitación de la finalidad. El documento concluye que estas nuevas normas buscan incrementar la confianza de los ciudadanos en la protección de sus datos personales.
Novedades Reglamento Europeo Protección de Datos. Jesús Rubí
1. 1Agencia Española de Protección de Datos
NOVEDADES DEL REGLAMENTONOVEDADES DEL REGLAMENTO
GENERAL DE PROTECCIÓN DEGENERAL DE PROTECCIÓN DE
DATOSDATOS
Jesús Rubí Navarrete
Adjunto a la Directora
Agencia Española de Protección de Datos
ALICANTE
12/01/2018
2. 2Agencia Española de Protección de Datos
Propuesta de Reglamento de E-privacyPropuesta de Reglamento de E-privacy
Objetivos de la Estrategia del Mercado Único Digital:Objetivos de la Estrategia del Mercado Único Digital:
•Aumentar la seguridad de servicios digitales
•Incrementar la confianza de los ciudadanos
•Consulta pública Comisión UE sobre la Directiva 2002/58/CE:
– Sobre la necesidad de normas específicas para el sector en
materia de confidencialidad de las comunicaciones
electrónicas: el 83,4% de los ciudadanos, las organizaciones
de consumidores y de la sociedad civil y el 88,9% de las
administraciones públicas que participaron en la consulta
reconocían esta necesidad
– Sobre la ampliación del ámbito de aplicación a nuevos
servicios de comunicaciones (OTT): el 76% de los ciudadanos
y de la sociedad civil y el 93,1% de las administraciones
públicas estaban a favor de la ampliación
3. 3Agencia Española de Protección de Datos
Propuesta de Reglamento de E-privacyPropuesta de Reglamento de E-privacy
– Sobre la modificación de las excepciones con respecto al
consentimiento para el tratamiento de datos de tráfico y
localización: el 49,1% de los ciudadanos y organizaciones
de consumidores y de la sociedad civil y el 36% de las
administraciones públicas preferían no ampliar las
excepciones
– Sobre el consentimiento para el uso de cookies: el 81,2%
de los ciudadanos y el 63% de las administraciones
públicas abogan por que se imponga a los fabricantes de
equipos terminales la obligación de comercializar
productos con las opciones de privacidad
predeterminadas activadas
4. 4Agencia Española de Protección de Datos
Propuesta de Reglamento de E-privacyPropuesta de Reglamento de E-privacy
•Encuesta EURObarómetro
– El 78% de los encuestados considera muy importante que para
acceder a la información de carácter personal almacenada en su
ordenador, móvil o tableta sea necesaria su autorización
– El 72% señala que es muy importante que esté garantizada la
confidencialidad de sus mensajes electrónicos y de la mensajería
instantánea en línea
– El 89% está de acuerdo con la opción de que la configuración
predeterminada de su navegador no permita compartir su
información
Conclusión: establecer garantías que incrementen la confianza y
garanticen la seguridad.
•Aprobación Reglamento (UE) 2016/679 (RGPD)
•Propuesta de Reglamento E-privacy (LGT y LSSI)
5. Reglamento UEReglamento UE
• Ámbito de aplicación material(art. 2.4)Ámbito de aplicación material(art. 2.4)
– Se entenderá sin perjuicio de la aplicación de la
Directiva 2000/31/CE, en particular sus normas
relativas a la responsabilidad de los prestadores
de servicios intermediarios establecidas en sus
artículos 12 a 15
•Inexistencia de una obligación general de
supervisión
•Exención de responsabilidad sobre contenidos
(LSSI)
•Responsables cuando tengan conocimiento
efectivo de una actividad ilícita, comunicado
por una autoridad competente (LSSI)
6. • Relación con la Directiva 2002/58/CE (art. 95)Relación con la Directiva 2002/58/CE (art. 95)
– El presente Reglamento no impondrá obligaciones
adicionales a las personas físicas o jurídicas en
materia de tratamiento en el marco de la
prestación de servicios públicos de
comunicaciones electrónicas en redes públicas
de comunicación de la Unión en ámbitos en los
que estén sujetas a obligaciones específicas con
el mismo objetivo establecidas en la Directiva
2002/58/CE.
7. 7Agencia Española de Protección de Datos
Los principios en el Reglamento (art. 5)Los principios en el Reglamento (art. 5)
Se mantienen principios similares a los de la Directiva con alguna adición
y estableciendo denominaciones:
•Principio de licitud, lealtad y transparencia
– La transparencia o información como nuevo principio
•Principio de minimización
– Reemplaza “no excesivos” con “limitados a lo necesario”; aspectos
cuantitativo y cualitativo del principio
– ““Los datos personales solo deben tratarse si la finalidad delLos datos personales solo deben tratarse si la finalidad del
tratamientotratamiento no pudiera lograrse razonablemente por otros mediosno pudiera lograrse razonablemente por otros medios””
Aclaración (Considerando 39)Aclaración (Considerando 39)
•Principio de exactitud
•Principio de limitación del plazo de conservación
– Nuevas normas para el tratamiento con fines de archivo o fines
estadísticos o de investigación científica histórica
•Principio de integridad y confidencialidad
– Seguridad y confidencialidad como principios y no como
obligaciones
•Principio de responsabilidad activa
8. 8Agencia Española de Protección de Datos
Especial referencia al principio de limitación de la finalidadEspecial referencia al principio de limitación de la finalidad
• Nuevas normas para el tratamiento con fines de archivo en interés público o fines
estadísticos o de investigación científica o histórica
• Test de verificación de la compatibilidad de un fin distinto al que justificó la
recogida (artículo 6.4). Elementos a considerar
– Relación entre los fines
– Contexto en que se hayan recogido los datos personales, en particular
relación entre los interesados y el responsable
• Aplicación del principio de expectativa razonable (Cdo. 50)Aplicación del principio de expectativa razonable (Cdo. 50)
– Naturaleza de los datos personales, en concreto si son datos sensibles o
relativos a condenas e infracciones penales
– Posibles consecuencias para los interesados del tratamiento ulterior previsto
– Existencia de garantías adecuadas como el cifrado o la seudonimización
• Algunos ejemplos (Cdo 50, párrafo segundo)Algunos ejemplos (Cdo 50, párrafo segundo)
– Supuestos en que el interesado ha consentido el tratamiento principalSupuestos en que el interesado ha consentido el tratamiento principal
– Investigación de actos o amenazas para la seguridad públicaInvestigación de actos o amenazas para la seguridad pública
– Supuestos de tratamientos sometidos a secreto legal o profesionalSupuestos de tratamientos sometidos a secreto legal o profesional
9. 9Agencia Española de Protección de Datos
Legitimación para el tratamiento en elLegitimación para el tratamiento en el
Reglamento (art. 6)Reglamento (art. 6)
Causas similares a las previstas en la Directiva (artículo 6,1)
a) ConsentimientoConsentimiento del interesado para uno o varios fines específicos
b) Tratamiento necesario para la ejecuciónejecución dede unun contratocontrato en el que
el interesado es parte o para la aplicación a petición de este de
medidas precontractualesprecontractuales
c) Tratamiento necesario para el cumplimiento de una obligaciónobligación
legallegal aplicable al responsable del tratamiento
d) Tratamiento necesario para proteger intereses vitales del
interesado o de otra persona física
e) Tratamiento necesario para el cumplimiento de una misiónmisión
realizadarealizada enen interésinterés públicopúblico oo enen elel ejercicioejercicio dede poderespoderes públicospúblicos
conferidos al responsable del tratamiento
f) Tratamiento necesario para la satisfacción de intereses legítimos
perseguidos por el responsable del tratamiento o por un tercero,
siempre que sobre dichos intereses no prevalezcan los intereses o los
derechos y libertades fundamentales del interesado que requieran la
protección de datos personales
– En particular cuando el interesado sea un niño.
– No aplicable al tratamiento realizado por las autoridades
públicas en el ejercicio de sus funciones.
10. 10Agencia Española de Protección de Datos
Consentimiento en el Reglamento (art.7)Consentimiento en el Reglamento (art.7)
Concepto legal:
•Manifestación de voluntad libre, específica, informada e inequívoca
•Ya sea mediante una declaración o una clara acción afirmativauna clara acción afirmativa
Régimen general (artículo 7 RGPD)
•Deberá ir referido a uno o varios fines específicosvarios fines específicos
•La carga de la prueba corresponde al responsable
•Cuando se otorgue en el contexto de una declaración escrita que también
se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal
forma que se distinga claramente de los demás asuntosdistinga claramente de los demás asuntos, de forma inteligible y
de fácil acceso y utilizando un lenguaje claro y sencillo
•Revocabilidad en cualquier momento
– No afecta a la licitud del tratamiento hasta ese momento
– Deberá informarse al interesado de esta posibilidad
– Retirar el consentimiento debe ser “tan fácil” como darlo.
•Libertad del consentimientoLibertad del consentimiento. Regla especial sobre la prestación el
consentimiento en el marco de un contrato cuando se vincula el mismo encontrato cuando se vincula el mismo en
relación con tratamientos no son necesarios para su ejecuciónrelación con tratamientos no son necesarios para su ejecución
11. 11Agencia Española de Protección de Datos
Algunas aclaracionesAlgunas aclaraciones
•Se considera que puede existir un acto afirmativo claro en supuestos como una
declaración por escrito, inclusive por medios electrónicos, o una declaración
verbal (Cdo. 32)
•También puede considerarse acto afirmativoacto afirmativo marcar una casilla de un sitio webcasilla de un sitio web
en interneten internet, escoger parámetros técnicosescoger parámetros técnicos para la utilización de servicios de laservicios de la
sociedad de la informaciónsociedad de la información,, o cualquier otra declaración o conducta que indique
claramente en este contexto que el interesado acepta la propuesta de tratamiento
de sus datos personales (Cdo. 32)
•Otras reglas a tener en cuenta
– El silencio, las casillas ya marcadas o la inacción no deben constituirEl silencio, las casillas ya marcadas o la inacción no deben constituir
consentimiento (Cdo. 32)consentimiento (Cdo. 32)
– Cuando el tratamiento tenga varios fines, debe darse el consentimientoCuando el tratamiento tenga varios fines, debe darse el consentimiento
para todos ellos (Cdo. 32)para todos ellos (Cdo. 32)
– No debe considerarse libremente prestado cuando el interesado no gozaNo debe considerarse libremente prestado cuando el interesado no goza
de verdadera o libre elección o no puede denegar o retirar sude verdadera o libre elección o no puede denegar o retirar su
consentimiento sin sufrir perjuicio alguno (Cdo 42)consentimiento sin sufrir perjuicio alguno (Cdo 42)
– No debe constituir un fundamento jurídico válidoNo debe constituir un fundamento jurídico válido para el tratamiento de
datos de carácter personal en un caso concreto en el que exista unexista un
desequilibro clarodesequilibro claro entre el interesado y el responsable del
tratamiento”(Cdo. 43)
– Informe AEPD 0195/2017
Interés legítimoInterés legítimo
12. 12Agencia Española de Protección de Datos
• El RGPD no implica necesariamente una obligación de recabar unEl RGPD no implica necesariamente una obligación de recabar un
nuevo consentimientonuevo consentimiento si el que se hubiera obtenido antes de su
aplicación fuese conforme a los requisitos que establece
– Siguen siendo válidos los consentimientos expresos y los
consistentes en una manifestación o clara acción afirmativa
– El Cdo. 32 clarifica supuestos que pueden considerarse
consentimiento (declaración, marcación de una casilla, selección de
parámetros)
– En ningún caso hay aplicación retroactiva, dado que las normas del
RGPD no se aplican a tratamientos anteriores al momento en que
produce plenos efectos
• Cuando se preste el consentimiento para el tratamiento de datos con
múltiples finalidades será preciso dar el consentimiento para todos
ellos (Cdo. 32). En particular:
– Consentimientos específicos en el marco de un contrato
– Consentimientos específicos en el marco de declaraciones
Algunas consecuenciasAlgunas consecuencias
13. 13Agencia Española de Protección de Datos
• En caso de que se recabe el consentimiento para variasconsentimiento para varias
finalidadesfinalidades
– Sería posible agruparlasagruparlas en virtud de su vinculación (por
ejemplo, consentimiento para la recepción de
publicidad propia o de terceros)
– Pero deberían desagregarse cuando los tratamientosdesagregarse cuando los tratamientos
impliquen conductas distintasimpliquen conductas distintas (por ejemplo tratamiento
por quien recaba los datos y cesión a terceros)
– En ningún caso la falta de consentimiento podría implicar
la denegación de un servicio si el tratamiento no es
necesario para su prestación (art. 7.4)
• En todo caso, el responsable deberá probar que cuenta con
el consentimiento y que ha sido prestado por el afectado a
través de los medios que resulten pertinentes
14. 14Agencia Española de Protección de Datos
• El consentimiento “tácito” o “por omisión”El consentimiento “tácito” o “por omisión”
– Estos consentimientos no resultan conformes al RGPD, por lo que no sería válidono sería válido
persistir en el tratamiento sobre su sola base a partir de 25 de mayo de 2018persistir en el tratamiento sobre su sola base a partir de 25 de mayo de 2018 (Cdo 171
a sensu contrario).
– El período transitorioEl período transitorio de adaptación de los consentimientos sería el actual, dado quesería el actual, dado que
el RGPD está en vigor pero no es plenamente aplicableel RGPD está en vigor pero no es plenamente aplicable.
– Los tratamientos basados en el “consentimiento tácito” deberán encontrarencontrar
fundamento en otra causa de legitimaciónfundamento en otra causa de legitimación
• Mediante una nueva solicitud del consentimientoconsentimiento
• Mediante, en su caso, la aplicación de alguna otra causa de legitimación y, en
particular, la ponderación del derecho y el interés legítimoel interés legítimo del responsable
– El Cdo. 47 reconoce que el tratamiento con fines de mercadotecnia directa
puede considerarse realizado por interés legítimo, aunque deberá ponderarse
ese interés con la posible intrusión en el derecho fundamental
– Para determinar si es posible aplicar esta regla habrá de atenderse a las
circunstancias de cada tratamiento concreto y, en particular, el origen de los datos,
el alcance de la información tratada o la finalidad perseguida, no siendo posible fijar
una respuesta únicauna respuesta única. Por ejemplo
• Envío de comunicaciones comerciales sobre los propios productos o serviciosEnvío de comunicaciones comerciales sobre los propios productos o servicios
podría ser adecuada a la vista de la Directiva e-privacy y la LSSI
• Tratamiento de datos que el afectado hubiese hecho manifiestamente públicosTratamiento de datos que el afectado hubiese hecho manifiestamente públicos
15. 15Agencia Española de Protección de Datos
Algunas aclaraciones (considerandos 47 a 49)Algunas aclaraciones (considerandos 47 a 49)
•Punto de partida: aplicación del principio de expectativa razonable derivada de la
relación del afectado con el responsable
– Existencia de una “relación pertinente o apropiada” (cliente, empleado, etc.)
•En todo caso es exigible una evaluación meticulosa vinculada al principio de
expectativa legítima o razonable cuando el tratamiento se demore en el tiempo (por
ejemplo, en cesiones ulteriores)
•Algunos ejemplos de posibles intereses legítimos a valorar (no determina la
prevalencia, sino sólo la existencia de intereses legítimos atener en cuenta)
– Prevención del fraude (si se cumple el principio de minimización)
– Marketing directo
– Transmisiones de datos dentro de Grupos empresariales para fines
administrativos internos
• Por ejemplo, centralización de datos de clientes o empleados
– Transmisiones para garantizar la seguridad de las redes, por ejemplo a los CERT
• Para impedir el acceso no autorizado a las redes de comunicaciones
electrónicas y la distribución malintencionada de códigos, y frenar ataques
de «denegación de servicio» y daños a los sistemas informáticos y de
comunicaciones electrónicas
16. 16Agencia Española de Protección de Datos
Tratamiento de datos sensibles en el RGPDTratamiento de datos sensibles en el RGPD
Inclusión de nuevas categorías de datosInclusión de nuevas categorías de datos
•Datos genéticosDatos genéticos
– Datos personales relativos a las características genéticas heredadas o adquiridas de una
persona física que proporcionen una información única sobre la fisiología o la salud de esa
persona, obtenidos en particular del análisis de una muestra biológica de tal persona
•Datos biométricosDatos biométricos
– Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las
características físicas, fisiológicas o conductuales de una persona física que permitan o
confirmen la identificación única de dicha persona, como imágenes faciales o datos
dactiloscópicos
– Aclaración:Aclaración: El tratamiento de fotografías no debe considerarse sistemáticamente tratamientotratamiento de fotografías no debe considerarse sistemáticamente tratamiento
de categorías especiales de datos personalesde categorías especiales de datos personales, pues únicamente se encuentran comprendidas
en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicostratadas con medios técnicos
específicos permita la identificación o la autenticación unívocas de una persona físicaespecíficos permita la identificación o la autenticación unívocas de una persona física
(Considerando 51)(Considerando 51)
•Especialidades en datos de condenas, medidas de seguridad e infracciones penales, que no son
considerados estrictamente datos sensibles pero respecto de los que se limita el tratamiento
– Sólo podrán tratarse bajo la supervisión de las autoridades públicas o cuando lo autorice el
Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los
derechos y libertades de los interesados
– Solo podrá llevarse un registro completo de condenas penales bajo el control de las
autoridades públicas
17. 17Agencia Española de Protección de Datos
Regla general:Regla general: queda prohibido su tratamiento (igual que en la Directiva)
Excepciones a la prohibición
•Consentimiento
• La Ley nacional podrá establecer casos en que el mismo no sea posible
•Habilitación en el ámbito del derecho laboral y de seguridad o protección
social
• Puede basarse en Convenio Colectivo
•Tratamiento para la protección de intereses vitales del afectado o un tercero
•Entidades exceptuadas
• Limitado exclusivamente a los miembros actuales o antiguos o a
personas que mantengan contactos regulares
• Siempre que los datos personales no se comuniquen fuera de ellos sin el
consentimiento de los interesados
•Datos manifiestamente públicos
•Tratamiento necesario por razones de Interés público esencial según la Ley UE
o Nacional siempre que sea proporcional a la finalidad perseguida
18. 18Agencia Española de Protección de Datos
El deber de informar/principio deEl deber de informar/principio de
transparencia en el Reglamentotransparencia en el Reglamento
Configuración de la información como derecho del interesado y no como obligación del
responsable
Se incrementa la información que habrá de facilitarseincrementa la información que habrá de facilitarse cuando los datos se recaban del
afectado
•Identidad y los datos de contacto del responsable y, en su caso, de su representante
•Datos de contacto del delegado de protección de datosde contacto del delegado de protección de datos
•Fines y base jurídica del tratamientobase jurídica del tratamiento
•Intereses legítimos del responsable o de un terceroIntereses legítimos del responsable o de un tercero
•Destinatarios o las categorías de destinatarios de los datos personales
•Transferencias previstasTransferencias previstas
•Plazo de conservaciónPlazo de conservación
•Derechos de acceso, rectificación o supresión, limitación del tratamiento, oposición y
portabilidad
•Posibilidad de revocación del consentimiento
•Derecho a presentar una reclamación ante una autoridad de control;
•Si la comunicación de datos personales es obligatoria y las posibles consecuencias de
que no facilitar los datos
•Existencia de decisiones automatizadas, incluida la elaboración de perfiles la lógicaExistencia de decisiones automatizadas, incluida la elaboración de perfiles la lógica
aplicada y las consecuencias previstasaplicada y las consecuencias previstas
19. 19Agencia Española de Protección de Datos
Si los datos no se recaban del interesado deberá además informársele deno se recaban del interesado deberá además informársele de:
•Categorías de datos que se van a tratarCategorías de datos que se van a tratar
•Fuente de la que proceden los datos personalesFuente de la que proceden los datos personales y, en su caso, si proceden
de “fuentes de acceso público”
•Clarificación del plazoplazo en caso de no recabarse los datos del interesado
•Un mes, con carácter generalUn mes, con carácter general
•Primera comunicación con el interesadoPrimera comunicación con el interesado si los datos se usan para ese fin
•Primera cesiónPrimera cesión en caso de que se pretenda la misma
ExcepcionesExcepciones al deber de información
•En general, cuando el interesado ya disponga de la información
•Si los datos no proceden del interesadono proceden del interesado
– Aclaración del esfuerzo desproporcionado en caso de tratamiento con
fines de archivo, estadísticos o de investigación científica o histórica
– Previsión legal expresa de tratamiento o revelación, con medidas
oportunas de protección
– Obligación de secreto legal o profesional
Exigencia de claridadde claridad, concisión y fácil acceso (información por capas y tablas)concisión y fácil acceso (información por capas y tablas)
20. 20Agencia Española de Protección de Datos
Cuestiones generales sobre los restantesCuestiones generales sobre los restantes
derechos en el Reglamentoderechos en el Reglamento
• Se recogen nuevos derechos: limitación del tratamiento y portabilidad
Condiciones generalesCondiciones generales
• Obligación de atender los derechos a menos que se acredite la
imposibilidad de identificar al interesado
• Plazo: un mes prorrogablePlazo: un mes prorrogable por dos más según la complejidad y número
de solicitudes
• Respuesta por medios electrónicosRespuesta por medios electrónicos si el derecho se ejercitó por dichos
medios salvo que el interesado manifieste lo contrario
– Si no se da curso a la solicitud: obligación de informar en un mes
acerca de las razones y la posibilidad de acudir a la autoridad de
control o los órganos judiciales
21. 21Agencia Española de Protección de Datos
Condiciones generalesCondiciones generales
•Gratuidad salvo en caso de solicitudes “manifiestamente
infundadas o excesivas, especialmente debido a su carácter
repetitivo”, en que será posible
– Cobrar un canon razonable en función de los costes
administrativos afrontados para facilitar la información o
la comunicación o realizar la actuación solicitada
– Negarse a actuar respecto de la solicitud.
•Posibilidad de solicitar información adicional para garantizar
la identificación del solicitante
22. 22Agencia Española de Protección de Datos
Derecho de acceso en el ReglamentoDerecho de acceso en el Reglamento
AlcanceAlcance
•Confirmación de la existencia de tratamientoConfirmación de la existencia de tratamiento
•Acceso a los datos y a la información vinculadaAcceso a los datos y a la información vinculada a los mismos
– Fines
– Categorías de datos
– Categorías (al menos) de destinatarios
– Plazo de conservación o criterios de fijación
– Información de derechos de rectificación y supresión
– Posibilidad de reclamación a la autoridad de control
– Información disponible sobre el origen de los datos
– Existencia de decisiones automatizadas o perfilado
– Garantías adecuadas implantadas en caso de transferencia
Modo de acceso: copia de los datos (y la información asociada)Modo de acceso: copia de los datos (y la información asociada)
•Gratuidad de la primera copia y canon orientado a costesGratuidad de la primera copia y canon orientado a costes en las ulteriores
•Uso de medios electrónicos si el derecho se ejercitó por ellos
Restricción: perjuicio de derechos de tercerosRestricción: perjuicio de derechos de terceros
Aclaraciones (considerando 63)Aclaraciones (considerando 63)
•PosibilidadPosibilidad de satisfacer el acceso mediante acceso remoto seguroacceso mediante acceso remoto seguro
•Posibilidad de que el responsable pueda pedir aclaración al interesado
23. 23Agencia Española de Protección de Datos
Supuestos de ejercicio del derecho a laSupuestos de ejercicio del derecho a la
supresión (“olvido”)supresión (“olvido”)
Revocación del consentimientoRevocación del consentimiento
•“El interesado retire el consentimientoretire el consentimiento en que se basa el tratamiento de
conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra
a), y este no se base en otro fundamento jurídico”
Configuración tradicional del derecho de cancelaciónConfiguración tradicional del derecho de cancelación
•“Los datos personales ya no sean necesarios en relación con los finesno sean necesarios en relación con los fines para los que
fueron recogidos o tratados de otro modo”
•“Los datos personales hayan sido tratados ilícitamentehayan sido tratados ilícitamente”
•“Los datos personales deban suprimirse para el cumplimiento de una obligacióndeban suprimirse para el cumplimiento de una obligación
legallegal establecida en el Derecho de la Unión o de los Estados miembros que se
aplique al responsable del tratamiento”
Derecho de oposiciónDerecho de oposición
•“El interesado se oponga al tratamiento con arreglo al artículo 21al artículo 21,, apartado 1apartado 1, y nono
prevalezcan otros motivos legítimosprevalezcan otros motivos legítimos para el tratamiento, o el interesado se opongase oponga al
tratamiento con arreglo al artículo 21arreglo al artículo 21, apartado 2apartado 2”
– Inversión de la carga de acreditación del “interés legítimo imperioso” (art.21)
Datos de menores de edadDatos de menores de edad
•“los datos personales se hayan obtenido en relación con la oferta de servicios de la
sociedad de la información mencionados en el artículo 8, apartado 1”
24. 24Agencia Española de Protección de Datos
Derecho de supresión (“olvido”).Derecho de supresión (“olvido”).
Especialidades y excepcionesEspecialidades y excepciones
Supresión de enlacesSupresión de enlaces
•Cuando el responsable haya hecho públicos los datos y proceda la supresiónCuando el responsable haya hecho públicos los datos y proceda la supresión
•Obligación de informar a los responsables que estén tratandoObligación de informar a los responsables que estén tratando los datos personales
de la solicitud del interesado de supresión de cualquier enlacesupresión de cualquier enlace a esos datos
personales, o cualquier copia o réplica de los mismoso cualquier copia o réplica de los mismos
•Límites: tecnología disponible y coste de su aplicacióntecnología disponible y coste de su aplicación
ExcepcionesExcepciones
•Ejercicio de las libertades de expresión e información
•Cumplimiento de una obligación legal que requiera el tratamiento de datos
impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al
responsable del tratamiento,
•Tratamiento para el cumplimiento de una misión realizada en interés público o en el
ejercicio de poderes públicos conferidos al responsable
•Razones de interés público en el ámbito de la salud pública
•Fines de archivo en interés público, fines de investigación científica o histórica o
fines estadísticos, en la medida en que el derecho pudiera hacer imposible u
obstaculizar gravemente el logro de los objetivos de dicho tratamiento
•Formulación, ejercicio o defensa de reclamaciones
25. 25Agencia Española de Protección de Datos
Derecho a la limitación del tratamientoDerecho a la limitación del tratamiento
Concepto:Concepto: “marcado de los datos de carácter personal conservados con elmarcado de los datos de carácter personal conservados con el
fin de limitar su tratamiento en el futurofin de limitar su tratamiento en el futuro”.
Naturaleza:Naturaleza: diferencias con el bloqueo de los datos
•Derecho del afectado vs. obligación legal del responsable
SupuestosSupuestos
•Equivalentes a la “cancelación cautelarcancelación cautelar”
– “El interesado impugne la exactitud de los datos personalesimpugne la exactitud de los datos personales, durante
un plazo que permita al responsable verificar la exactitud de losverificar la exactitud de los
mismosmismos”
– “El interesado se haya opuesto al tratamientoopuesto al tratamiento en virtud del artículo 21del artículo 21,
apartado 1apartado 1, mientras se verifica si los motivos legítimosse verifica si los motivos legítimos del
responsable prevalecen sobre los del interesado”
•Por voluntad del afectadovoluntad del afectado
– “El tratamiento sea ilícito y el interesado se oponga a la supresióntratamiento sea ilícito y el interesado se oponga a la supresión de
los datos personales y solicite en su lugar la limitación de su uso”
– “El responsableresponsable ya no necesite los datos personalesno necesite los datos personales para los fines del
tratamiento, pero el interesado los necesite para la formulaciónpero el interesado los necesite para la formulación, el
ejercicio o la defensa de reclamacionesejercicio o la defensa de reclamaciones”
26. 26Agencia Española de Protección de Datos
Derecho a la portabilidadDerecho a la portabilidad
Derecho del interesado aDerecho del interesado a
•Recibir los datos personales que le incumban,Recibir los datos personales que le incumban,
•Que haya facilitado a un responsable del tratamiento,
•En un formato estructurado y de uso habitual y de lectura mecánica
•Y a transmitirlos a otro responsable del tratamiento sin que lo impida el
responsable del tratamiento al que se hubieran facilitado los datos
RequisitosRequisitos para que pueda ejercitarse (acumulativos):para que pueda ejercitarse (acumulativos):
•El tratamiento esté basado en el consentimiento o en un contratoesté basado en el consentimiento o en un contrato
•El tratamientotratamiento se efectúe por medios automatizadosmedios automatizados
Modo de ejercicioModo de ejercicio
•Podrá implicar la transmisión directa de responsable a responsablela transmisión directa de responsable a responsable a instancia
del interesado “cuando sea técnicamente posiblecuando sea técnicamente posible”
LimitacionesLimitaciones
•Exceptuado cuando el tratamiento se funde en el cumplimiento de una misión de
interés público o inherente al ejercicio del poder público
•Aplicación a datos facilitados directamente o resultado del funcionamientofacilitados directamente o resultado del funcionamiento, peropero
no a los datos inducidosno a los datos inducidos (criterio del WP29)
27. 27Agencia Española de Protección de Datos
Otros derechosOtros derechos
Derecho de rectificaciónDerecho de rectificación
•Vinculación directa con el carácter inexacto o incompletocarácter inexacto o incompleto de los datos
Derecho de oposiciónDerecho de oposición
•General
– Basado en motivos relacionados con la situación personal delmotivos relacionados con la situación personal del
afectadoafectado
– Inversión de la prueba: será el responsable el que deberá justificar
“motivos imperiosos para el tratamiento” que prevalezcan sobre los
derechos de los afectados
•Opt-out en marketing directoOpt-out en marketing directo
– Incluye también la oposición a la elaboración de perfilesIncluye también la oposición a la elaboración de perfiles
– Sin necesidad de especificar ningún motivo concretoSin necesidad de especificar ningún motivo concreto
– Obligación de especificación concreta y separada del derecho en laObligación de especificación concreta y separada del derecho en la
primera comunicación comercial que se le dirijaprimera comunicación comercial que se le dirija
– Posibilidad de ejercicio en todo caso a través de mediosPosibilidad de ejercicio en todo caso a través de medios
automatizadosautomatizados
•Opt out en caso de tratamiento con fines de investigación y estadísticos
– Excepción: tratamiento por razones de interés público
28. 28Agencia Española de Protección de Datos
Otros derechosOtros derechos
Decisiones automatizadasDecisiones automatizadas
•ReferenciaReferencia expresa a la elaboración de perfileselaboración de perfiles
•Derecho a no ser objetoDerecho a no ser objeto de una decisión que “produzca efectosproduzca efectos”
sobre el afectado o “le afecte significativamentele afecte significativamente de modo similar
•ExcepcionesExcepciones
– Vinculación a contratoVinculación a contrato
– Autorización por el derecho Nacional o de la UEAutorización por el derecho Nacional o de la UE
– Consentimiento explícitoConsentimiento explícito
•Salvo en caso de habilitación legalSalvo en caso de habilitación legal, el interesado tiene derecho aderecho a
obtener intervención humanaobtener intervención humana en la decisión y que el interesado
pueda dar su opinión e impugnar la decisiónpueda dar su opinión e impugnar la decisión
•Salvo que exista consentimiento o interés público, no podrá implicar
datos sensibles
Obligación de comunicación de la rectificación, supresión o
limitación del tratamiento a los cesionarios
29. 29Agencia Española de Protección de Datos
LimitacionesLimitaciones
Alcance de las excepcionesAlcance de las excepciones
•Derechos del Capítulo II y Principios del artículo 5 en cuanto se vinculen
al ejercicio de derechos
Catálogo de supuestos que las justificanCatálogo de supuestos que las justifican
•Reiteración del catálogo del artículo 13.1 de la Directiva
•Novedades
– Referencia a “objetivos importantes de interés público general” y
no sólo a los de carácter económico o financiero
– Protección de la independencia judicial
– Ejecución de demandas civiles.
Requisitos formalesRequisitos formales
•Formulación por Ley que respete los derechos y libertadesFormulación por Ley que respete los derechos y libertades
fundamentales y sea una medida necesaria y proporcionada en una
sociedad democrática para el logro de los objetivos
•Se fija expresamente el contenido mínimo de dicha disposiciónSe fija expresamente el contenido mínimo de dicha disposición para
asegurar el establecimiento de las garantías adecuadas
30. 30Agencia Española de Protección de Datos
Responsable y encargado del tratamientoResponsable y encargado del tratamiento
• Obligación general de diligencia en selección de encargadode diligencia en selección de encargado
• Regulación más detalladaRegulación más detallada que en Directiva Contrato que fijeContrato que fije
• Objeto, duración, naturaleza y finalidad del tratamiento, tipo
de datos personales, categorías de interesados afectados,
obligaciones y derechos del responsable del tratamiento
• Obligación de tratar los datos únicamente siguiendoúnicamente siguiendo
instrucciones documentadas del responsableinstrucciones documentadas del responsable
• Confidencialidad de personas que manejen datos
• Medidas de seguridad “conforme al artículo 32”
• Contratación de subencargadosContratación de subencargados con autorización previaautorización previa,
general o específicageneral o específica, del responsable, y posibilidad deposibilidad de
rechazar subencargadosrechazar subencargados
• Asistencia al responsable en ejercicio de derechos y en
cumplimiento de obligaciones de arts. 32 a 36 ( seguridad,
notificación de violaciones de seguridad, evaluaciones de
impacto, consulta previa a la AEPD)
31. 31Agencia Española de Protección de Datos
Responsable y encargado del tratamientoResponsable y encargado del tratamiento
- Algunas peculiaridadespeculiaridades
• Previsión de que el responsable “realice auditoríasauditorías y
contribuya a ellas, incluidas las inspecciones dirigidas
por el responsable o por otro auditor autorizado por
dicho responsable”
• Fin de la prestación implica borrado o devoluciónborrado o devolución de
datos, sin incluir transferencia a otro encargado
• Obligación de informarinformar al responsable “si, en su
opinión, una instrucción infringe el presenteinstrucción infringe el presente
ReglamentoReglamento o las disposiciones nacionales o de la
Unión en materia de protección de datos”
32. 32Agencia Española de Protección de Datos
Responsable y encargado del tratamientoResponsable y encargado del tratamiento
• Revisión en periodo transitorio
• Modulaciones: guía sobre cloud computing
(Instrucciones, Subencargados, Auditoría …)
• Directrices para la elaboración de contratos
entre responsables y encargados del
tratamiento
33. 33Agencia Española de Protección de Datos
Códigos de ConductaCódigos de Conducta
•Obligación general de promociónpromoción para EEMM, APD, CEPD y
COM
•Promovidos por asociaciones y otros organismosasociaciones y otros organismos
representativosrepresentativos de categorías de responsables o
encargados
•Objetivo Especificar aplicación del RGPDEspecificar aplicación del RGPD
•RGPD recoge contenido indicativocontenido indicativo
• Intereses legítimos perseguidos por los responsables del
tratamiento en contextos específicos
• Recogida de datos personales
• Seudonimización de datos personales
• Información proporcionada al público y a los interesados
• Ejercicio de los derechos de los interesados…
34. 34Agencia Española de Protección de Datos
Códigos de ConductaCódigos de Conducta
•Posibilidad de que haya un organismo específicoorganismo específico
de supervisiónde supervisión,, sin perjuicio de competencias de
APD
•Si ese órgano existe necesidad de incluir
mecanismos que permitan el ejercicio de sus
funciones de supervisión
•Procedimientos de mediación y resolución
extrajudicial de conflictos
•Adhesión a códigos de conducta aprobados:
elementos para demostrar cumplimiento (art.24.3 y
varios: EIPD, seguridad, TID)
35. 35Agencia Española de Protección de Datos
Códigos de ConductaCódigos de Conducta
•Organismo de supervisiónOrganismo de supervisión
•Debe ser acreditado por APDacreditado por APD, siguiendo criterios
que han de ser aprobados por CEPD
•Criterios deben incluir
• Independencia y pericia
• Procedimientos de evaluación y supervisión
• Procedimientos para atender reclamaciones
de interesados
• Ausencia de conflicto de intereses
36. 36Agencia Española de Protección de Datos
DIRECTIVA/LOPDDIRECTIVA/LOPD
Sin autorización, pero con obligación de
notificación a la AEPD
•A países con nivel adecuado de protección
•Amparadas en una previa resolución de
autorización de encargado a subencargado o
de consideración de garantías adecuadas
•Excepciones
Autorización previa de la AEPD
•Cláusulas contractuales tipo
•Contratos “ad hoc”
•BCR
RGPDRGPD
Sin necesidad de autorización específica
•A países, territorios, sectores u organismos
internacionales declarados de nivel adecuado
de protección
•BCR
•Cláusulas tipo adoptadas por la Comisión
•Cláusulas tipo adoptadas por una APD
•Instrumento jurídicamente vinculante entre
autoridades públicas
•Mecanismos de certificación
•Códigos de conducta
•Excepciones (notificación APD cuando es en
intereses legítimos imperiosos del responsable)
Necesidad de autorización por las APD
•Contratos “ad hoc”
•Acuerdos administrativos entre autoridades
públicas
Régimen de autorizaciones para las TIDRégimen de autorizaciones para las TID
•AUTORIZACIONES OTORGADAS Y TRANSFERENCIAS A PAÍSES DE NIVEL ADECUADO
REALIZADAS VIGENTES HASTA SU MODIFICACIÓN, SUSTITUCIÓN O DEROGACIÓN
37. 37Agencia Española de Protección de Datos
Modelo de supervisiónModelo de supervisión
• Acciones correctivas
• Sancionar con una advertenciaadvertencia cuando las operaciones
de tratamiento previstas puedan infringir RGPD
• Sancionar con apercibimientoapercibimiento cuando las operaciones de
tratamiento hayan infringido RGPD
• Ordenar al responsable o encargado del tratamiento que
atiendan las solicitudesatiendan las solicitudes de ejercicio de los derechos
• Ordenar que las operaciones de tratamiento se ajusten aoperaciones de tratamiento se ajusten a
las disposiciones del RGPDlas disposiciones del RGPD, de una determinada manera y
dentro de un plazo especificado
• Ordenar al responsable que comunique al interesado lascomunique al interesado las
violaciones de la seguridadviolaciones de la seguridad de los datos personales
38. 38Agencia Española de Protección de Datos
Modelo de supervisiónModelo de supervisión
• Multas deberán ser efectivasefectivas, proporcionadasproporcionadas y disuasoriasdisuasorias
• Cantidad deberá modularse atendiendo a circunstancias del caso
• Aplicables a responsables y encargados
• Infracciones y sanciones:
•Multa hasta 10 M €10 M € o para empresas, optándose por la de mayor
cuantía, hasta el 2 % de volumen de negocio anual a nivel mundial2 % de volumen de negocio anual a nivel mundial
• Obligaciones de responsable o encargado
• Obligaciones de organismos de certificación
• Obligaciones de organismos de supervisión de códigos de
conducta
•Multa hasta 20 M €20 M € o hasta el 4%4%
• Principios básicos
• Derechos
• Transferencias internacionales..
•Multa hasta 20 M €20 M € o hasta el 4%4%
• Incumplimiento de resoluciones de APD