Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE DATOS

657 visualizaciones

Publicado el

Ponente: JAVIER ALVAREZ HERNANDO
Taller: VISION PRACTICA PARA LA EMPRESA: NOVEDADES EN PROTECCION DE DATOS Y COMPLIANCE.
ORGANIZA: THOMSON REUTERS
LUGAR: ASOCIACION DE LA PRENSA DE MADRID.
FECHA: 22/09/2017
BREVE REFERENCIA AL CONTENIDO:
Novedades del Reglamento General de Protección de Datos, de aplicación a partir de Mayo de 2018. El Reglamento establece un cambio de paradigma en materia de protección de datos. Propone un modelo basado en criterios como, la responsabilidad activa, flexibilidad, la importancia del contexto y la cooperación, dirigido tanto a entidades públicas, privadas, autoridades de protección de datos.
En la presentación se analizan las novedades más importantes, a juicio del ponente, que ofrece la nueva regulación sobre privacidad.

Publicado en: Derecho
  • Sé el primero en comentar

ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE DATOS

  1. 1. Madrid, 22 de septiembre de 2017. Asociación de la Prensa de Madrid VISION PRÁCTICA PARA LA EMPRESA: NOVEDADES EN PROTECCION DE DATOS Y COMPLIANCE ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE DATOS Javier Alvarez Hernando. Abogado. @_JavierAlvarez
  2. 2. MARCO JURÍDICO Novedades Reglamento: o Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). o Real Decreto 1720/2007, de 21 de diciembre, de desarrollo de la LOPD. o Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE: § Aplicable a partir del 25 de mayo de 2018. § Propone un modelo de protección de datos basado en criterios como la responsabilidad activa, la flexibilidad, la importancia del contexto y la cooperación. o Anteproyecto de la Ley Orgánica de Protección de Datos de carácter personal.
  3. 3. Protección de datos. Novedades introducidas por el Reglamento Europeo. • El derecho a la protección de datos sigue considerándose como un derecho fundamental (no absoluto), si bien ahora se reconoce expresamente en el REPD (Considerandos 1 y 4) y en el Anteproyecto LOPD (art. 1.2).
  4. 4. ü El REPD establece un cambio de paradigma en materia de protección de datos. Propone un modelo basado en criterios como, la responsabilidad activa, flexibilidad, la importancia del contexto y la cooperación, dirigido tanto a entidades públicas, privadas, autoridades de protección de datos. ü Reglamento implica una aplicación directa, sin necesidad de transposición, y un desplazamiento de normas nacionales. Cabe su desarrollo por los Estados Miembros en supuestos de aclaración de conceptos, determinar las condiciones del tratamiento para cumplir una ley o en interés público (art 6.2) o tratamiento de datos sensibles (art. 9.2); limitar los derechos de los interesados (art. 23.1); multas si o no a AAPP (83.7); otras sanciones que no sean multas (84.1); consentimiento menores; extensión DPD otros sectores… ü NO se contempla la inscripción, modificación o supresión de ficheros (RGPD). DESAPARECE LA OBLIGACION. Protección de datos. Novedades introducidas por el Reglamento Europeo.
  5. 5. Ámbito de aplicación más amplio: el REPD se aplica a responsables y a encargados: • establecidos en la UE si tratan datos personales. • no establecidos en la UE si realizan tratamiento de datos que deriven de la oferta de bienes y servicios destinados a ciudadanos europeos, o bien como consecuencia de la monitorización o seguimiento de su comportamiento. Estas organizaciones deben designar un representante en la UE e informar de ello a los ciudadanos.
  6. 6. Definiciones más amplias y conceptos nuevos: ü Datos personales: Se entiende por dato personal (art. 4.1 REPD): (... toda información sobre una persona física identificada o identificable (“el interesado"); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador (NOVEDAD), como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona… ü Datos sensibles: se incluyen datos genéticos y biométricos. ü Seudonomización: no es un método de anonimización; simplemente, reduce la vinculabilidad de un conjunto de datos con la identidad original del interesado y es, en consecuencia, una medida de seguridad útil. Consiste en la sustitución de un atributo (normalmente un atributo único) por otro en un registro.
  7. 7. Novedades en el Reglamento Europeo de Protección de Datos. Datos de contacto de personas jurídicas o Con el RLOPD actualmente vigente, los datos de contacto de personas jurídicas en determinadas circunstancias, se les excluía del ámbito de aplicación de la LOPD, cuestión que parece cambiar con el Reglamento Europeo que no hace mención alguna a exclusiones para este tipo de datos, si bien el tratamiento de estos datos encuentra su legitimación en la regla de ponderación de intereses del artículo 6.1 f) del REPD. o El anteproyecto de reforma de la LOPD (artículo 12) señala que es posible que ese tratamiento se encuentre amparado en la regla de ponderación de intereses del art. 6.1 f) del REPD si: • Tratamiento de mínimos datos imprescindibles para su localización profesional. • Tratamiento con fines de mantenimiento de relaciones de cualquier tipo con la persona jurídica. o Artículo 6 REPD Licitud del tratamiento 1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
  8. 8. Legitimación para tratar datos personales ü El Reglamento Europeo mantiene los principios ya recogidos tanto en la Directiva 95/46/CE, como en la LOPD, consistente en que todo tratamiento de datos personales exige una base jurídica que lo legitime, a saber (art. 6 REPD): • Consentimiento de afectado. • Existencia de una relación contractual. • Existencia de un interés legítimo prevalente del responsable o de terceros a los que se ceden o comunican los datos personales. No aplicable a la AAPP. • Justificado en una necesidad vital del interesado. • Cuando resulte una obligación legal para el responsable del tratamiento. • Exista un interés público o se derive del ejercicio de poderes públicos. ü Este principio de tratamiento leal y lícito debe vincularse al principio de transparencia.
  9. 9. Consentimiento inequívoco y explícito. ü El Reglamento impone que el consentimiento para tratar datos personales, con carácter general, sea libre, informado, específico e inequívoco. El consentimiento debe prestarse mediante una acción positiva del interesado, es decir, no será válido como hasta ahora, el consentimiento tácito. ü Por otro lado, para datos sensibles (origen étnico, opiniones políticas, salud, orientación sexual…); perfilado o TID se requiere un “consentimiento explícito”, es decir, que la declaración se refiera de forma explícita al consentimiento y al tratamiento en cuestión. ü Hay que tener presente que el consentimiento obtenido debe ser verificable, es decir, que la entidad que lo ha recogido esté en condiciones de demostrar que la obtención del consentimiento respetó las directrices legales indicadas anteriormente.
  10. 10. Interés legítimo como base jurídica para el tratamiento de datos ü el tratamiento será licito si es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado. ü Directiva 95/46/CE y la LOPD: el art. 7 f) de la Directiva 95/46/CE. Efecto directo de este artículo según Sentencia TJUE 24/11/2011. AEPD: los centros educativos pueden facilitar las calificaciones de sus hijos mayores de edad; publicación en un web de una asociación farmacéutica de compensaciones económicas dadas a profesionales sanitarios; videovigilancia (cesión de imágenes de la policía a entidades respecto a atracos en bancos); … ü Art. 6.1 f) del REPD se refiere a esta figura. Requiere una evaluación meticulosa (C 47). En las evaluaciones de impacto hay que describir este interés legitimo (art. 35.7). Considerando (47): constituye un interés legítimo los tratamientos de datos: • necesarios para la prevención del fraude, • y con fines de mercadotecnia directa (como posibilidad). • cesiones dentro de un grupo empresarial (C 48)
  11. 11. Calidad de los datos. ü El legislador comunitario ha mantenido, en esencia, el principio de calidad (adecuación, finalidad o pertinencia y proporcionalidad), que se contienen en el artículo 4 de la LOPD. ü se incorpora la exigencia de que los datos personales deben ser adecuados, pertinentes, limitados (principio de minimización de datos), y deben ser objeto de tratamiento durante el tiempo estrictamente necesario atendiendo a los fines del mismo (Art. 5).
  12. 12. Principio de información Información que debe prestarse según la LOPD • La existencia de un fichero o tratamiento de datos, de la finalidad de la recogida de éstos y de los destinatarios de la información. • El carácter obligatorio o facultativo de la respuesta a las preguntas que sean planteadas. • Las consecuencias de la obtención de los datos o de la negativa a suministrarlos. • La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. • La identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Información adicional que debe proporcionarse según el Reglamento Europeo. • Los datos de contacto del delegado de protección de datos, en el caso de existir. • Identificación de la base jurídica o legitimación del tratamiento. • El plazo o los criterios de conservación de la información. • La existencia de decisiones automatizadas o elaboración de perfiles: (art. 22, apartados 1 y 4), y al menos en tales casos: a) información significativa sobre la lógica aplicada; b) la importancia y las consecuencias previstas de dicho tratamiento para el interesado. • La previsión de transferencias internacionales de datos. • El derecho a presentar una reclamación ante la Autoridad de Control. • Y en el caso de que los datos no se hubieran obtenido del propio interesado debe informarse acerca del origen de los datos y las categorías de los mismos. 1 mes para hacerlo, o en la 1ª comunicación (debe indicarse la FAP).
  13. 13. Información por capas o niveles ü Por el principio de transparencia (arts. 12.1 REPD y 21.1. A. Reforma LOPD) la información a los interesados debe proporcionarse con un lenguaje claro y sencillo; de forma concisa, transparente, inteligible y de fácil acceso. ü Información proporcionada por capas o niveles (art. 21 A. Reforma LOPD): información básica + información adicional. “Guía para el cumplimiento del deber de informar”, publicada en 2017 AEPD.
  14. 14. Derechos de los interesados ü Se mantienen los derechos existentes, pero se refuerzan algo mas, y se crean otros: como el derecho al olvido y el derecho a la portabilidad. ü El derecho al olvido (recogido en la Sentencia del TJUE de 13 de mayo de 2014) supone que el interesado pueda solicitar el bloqueo de los resultados de los buscadores en Internet que se refieran a ellos y estas resulten obsoletas, incompletas, falsas o irrelevantes y no tengan un interés público. ü El derecho a la portabilidad implica que el interesado puede solicitar a la entidad que esté tratando sus datos de forma automatizada, su recuperación en un formato que permita su traslado a otra entidad responsable, incluso de forma directa. Pensemos en los sistemas de computación en nube o cloud computing.
  15. 15. Encargados del tratamiento ü El Reglamento Europeo exige en su art. 28.1. que las relaciones responsable/encargado del tratamiento se regulen en un contrato, o en un acto jurídico (esta es la novedad). ü Se regula, de una forma minuciosa, el contenido mínimo de los contratos de encargo con acceso a datos por cuenta de terceros. ü Con el REPD, se introduce un principio de responsabilidad activa, en la elección y supervisión de los encargados, los cuales deben ofrecer garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas, conforme establece el Reglamento. En este sentido Art 30 A Reforma LOPD), realización de una evaluación de impacto y la consulta previa. El propio precepto menciona una serie de riesgos concretos que pueden aconsejar la adopción de medidas técnicas y organizativas adecuadas.
  16. 16. Responsabilidad activa ü Se introduce el principio de accountability (art. 24) que exige aplicar criterios de responsabilidad activa, de tal guisa que las obligaciones de los responsables se dirigen de forma esencial a la adopción de medidas preventivas que deben de “estar en condiciones de acreditar“: A TRAVES DE MECANISMOS DE CERTIFICACION. Con este objetivo se configuran una batería de medidas:
  17. 17. Protección de datos desde el diseño. ü La protección de datos desde el diseño (Privacy by Design) a fin de asegurar que las garantías de protección de los datos se incorporan ya en la temprana fase de planificación de los procedimientos y sistemas: adopción de medidas técnicas y organizativas (seunimización, minimización…) Hay que analizar la naturaleza, el ámbito, contexto, finalidad tratamiento, los riesgos, estado de la técnica, coste… (art. 25)
  18. 18. Protección de datos por defecto ü La configuración predefinida de los mecanismos de recogida de datos personales sólo debe recopilar aquellos datos que sean estrictamente necesarios. (art. 25).
  19. 19. Mantenimiento de un registro de las actividades de tratamiento de datos (art. 30 y C 82 y 33 del A Reforma LOPD): ü Obligadas empresas que empleen a más de 250 personas, y aquellas que realicen tratamientos con riesgo; no de forma ocasional; tratamiento con categorías especiales de datos o con datos relativos a condenas e infracciones penales. ü Responsables como encargados. ü Por escrito (formato electrónico) y a disposición de la AEPD.
  20. 20. Delegado de protección de datos ü Persona encargada informar a la entidad responsable o al encargado sobre sus obligaciones legales en protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la autoridad de control y actuar como punto de contacto entre ésta y la entidad responsable. ü Uno de los ejes fundamentales del ppio. res. activa (art. 39). ü Funciones: ü información y asesoramiento normativo (Evaluaciones Impacto, registro actividades, empleados..). ü supervisión de cumplimiento normativo. Auditoria (informe anual, formación…) ü cooperación y enlace con la autoridad de control. ü atención a los interesados.
  21. 21. Delegado de protección de datos Cuando es necesario un DPD (art. 37 REPD y 35 A Reforma LOPD): v REDP: Entidades públicas; Privadas que tratan datos especiales a gran escala, en su actividad principal v Colegios profesionales; v Centros docentes que ofrezcan enseñanzas regladas. Universidades; v Entidades que exploten redes y presten servicios de comunicaciones electrónicas; v Prestadores de servicios de la sociedad de la información que recaben información de los usuarios Entidades dedicadas al juego on line.; v Entidades responsables de sistemas de información crediticia; v Establecimientos financieros de crédito; v Empresas de servicios de inversión, v Entidades aseguradoras y reaseguradoras; v Distribuidores y comercializadores de energía eléctrica o gas natural; v Ficheros comunes para la evaluación de la solvencia patrimonial y crédito; v Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles; v Centros sanitarios; v Entidades que elaboran informes comerciales acerca de personas y empresas. v Seguridad privada.
  22. 22. Delegado de protección de datos ü Obligación de comunicación en 10 días a la AEPD que lo publicara en su sede electrónica. (art. 35.3 y 4 A Reforma LOPD). ü La figura del DPD (art 37.5): debe ser designado atendiendo a sus cualidades profesionales y, en particular, se refiere expresamente el Reglamento a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones asignadas. ü Art. 36 A Reforma LOPD: “el DPD, sea una persona física o jurídica, deberá reunir los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 y demostrar reconocida competencia en la materia. Los requisitos podrán acreditarse por los medios correspondientes, incluidos los mecanismos de certificación”. ü En el Esquema de la AEPD de certificación de delegados de protección de datos se recogen las competencias requeridas: MODELO DE CERTIFICACION: dos esquemas de certificación (siguiendo los criterios de la norma internacional ISO/IEC 17024:2012)de la siguiente forma: 1. esquema que acredite aquellas entidades para que, a su vez, puedan actuar como certificadoras de DPO. Corresponderá a ENAC acreditar a las mencionadas entidades. 2. esquema para certificar a Delegados de Protección de Datos, es decir, los requisitos necesarios para que se pueda obtener esta certificación.
  23. 23. Evaluaciones de impacto sobre la protección de datos (EIPD): ü La realización de evaluaciones de impacto es, básicamente, un ejercicio de análisis de los RIESGOS que un determinado sistema de información, producto o servicio puede entrañar para el derecho a la protección de datos y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las MEDIDAS necesarias para eliminar o mitigar en lo posible aquellos que se hayan identificado. ü Arts. 35 y 36 REPD. Considerando 84. ü Guía de la AEPD para una Evaluación del Impacto en la Protección de Datos Personales, de 29 de octubre de 2014.
  24. 24. Supuestos tasados en los que se exige una Evaluación de impacto ü Cuando un tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas atendiendo a si se emplean nuevas tecnologías, por su naturaleza, alcance, contexto o fines ü Cuando se realice una evaluación sistemática y exhaustiva de aspectos personales de personas físicas (análisis de perfiles); ü tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales. ü Observación sistemática a gran escala de una zona de acceso público, como, por ejemplo cuando se utilicen dispositivos optoelectrónicos (C 91) ü EJEMPLOS: hay finalidades de tratamiento que suponen una invasión notable de la privacidad (AEPD) como la monitorización del comportamiento o la publicidad basada en el mismo, la elaboración de perfiles de cualquier tipo, la verificación de la idoneidad para determinadas tareas, la evaluación de la personalidad o de la situación financiera, laboral, social, familiar, formación, gustos o aficiones y las que impliquen el tratamiento de datos especialmente protegidos; uso de drones; etiquetas de radiofrecuencia o RFID… ü El Considerando (91) del REPD aclara que el tratamiento de datos personales no debe considerarse a gran escala si se realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto no debe ser obligatoria.
  25. 25. Consulta previa a la AEPD en las Evaluaciones de impacto ü El responsable debe consultar a la AEPD o autoridad de control, previamente a comenzar el tratamiento de datos cuando una evaluación de impacto muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo (art. 36.1). ü La autoridad de control deberá, en un plazo de 8 semanas desde la solicitud de la consulta, asesorar por escrito al responsable
  26. 26. MEDIDAS DE SEGURIDAD FLEXIBLES ADECUADAS AL RIESGO ü El art. 24.1 del REPD impone la obligación de adoptar medidas técnicas y organizativas adecuadas a la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa índole y gravedad (destrucción, perdida o alteración accidental, y el acceso o cesión no autorizadas). ü La AEPD ha entendido que la tradicional división en tres niveles de seguridad (básico, medio, alto) no puede considerarse suficiente para valorar el riesgo. ü El REPD no hace referencia a la necesidad de mantener un “documento de seguridad” …………..(Registro de las actividades de tratamiento)
  27. 27. Medidas de seguridad de mínimos. ü El REPD, en su artículo 32, referido a la “seguridad del tratamiento” determina una serie de medidas que deben implementarse como MINIMO. Teniendo en cuenta el estado de la técnica, los costes, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables , el responsable y el encargado deben aplicar medidas para garantizar un nivel de seguridad adecuado al riesgo, que incluya, entre otros: ü La seudonimización: separación de los datos identificativos con barreras técnicas u organizativas que impidan su identificación posterior. ü El cifrado de datos personales. ü La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia (capacidad de un sistema de soportar y recuperarse ante desastres y perturbaciones.) permanentes de los sistemas y servicios de tratamiento ü La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. ü Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  28. 28. Notificación de violaciones o quiebras de la seguridad de los datos a la AEPD. ü Si se detecta una violación de la seguridad de los datos, se impone la OBLIGACION a notificarla, sin dilación indebida, a la autoridad de control, a más tardar 72 horas después de que haya tenido constancia de ella. ü Esta obligación no se impone en el caso de que “sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas”. Es, decir, el responsable debe analizar subjetivamente el supuesto concreto y determinar ese improbable riesgo. ü En cualquier caso, el responsable debe documentar cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas (art. 33.5).
  29. 29. Notificación de violaciones o quiebras de la seguridad de los datos a los afectados. ü Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable lo deberá comunicar al interesado sin dilación indebida con un “lenguaje claro y sencillo”, como mínimo (art. 34 y C86).: • La naturaleza de la violación de la seguridad de los datos. • Nombre y datos de contacto del DPO de la organización. • Una descripción de las posibles consecuencias de la violación de seguridad. • Una descripción de las medidas adoptadas para corregir la violación o, al menos, mitigar sus efectos. ü Esta comunicación NO es necesaria si se cumplen ALGUNA de las condiciones siguientes • el responsable haya adoptado medidas de protección apropiadas sobre los datos afectados, en particular aquellas que hagan ininteligibles los datos personales para personas no autorizadas, como el cifrado; • el responsable haya tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo • suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
  30. 30. Régimen sancionador en el Reglamento ü El régimen sancionador en el REPD se introduce en sus artículos 83 y 84, efectuándose aclaraciones sobre estos preceptos en los Considerandos 148 a 152 inclusive. ü El artículo 83 (apartados 1 y 9) del REPD señala que las imposiciones de multas administrativas por vulneración del Reglamento deben ser: ü Aplicadas al caso individual (también, el 83.2) ü Efectivas; ü Proporcionadas; ü Disuasorias.
  31. 31. SANCIONES ü Las multas pueden ir desde los 10 millones de euros, o si se trata de una empresa, el 2% como máximo del volumen de negocio total anual del ejercicio anterior; hasta los 20 millones de euros o, si es una empresa, el 4% como máximo del volumen de negocio total anual del ejercicio anterior; y en ambos casos en el supuesto de poder elegirse, debe optarse por la multa resultante de mayor cuantía.
  32. 32. Graduación y atenuación de las sanciones. ü El régimen de graduación y atenuación de las sanciones se contempla en el apartado 2º y 3º del meritado artículo 83 REPD, y presenta como gran novedad el establecimiento de una modulación que tiene en cuenta el llamado principio de responsabilidad proactiva o accountability. Incluso, los Considerandos aclaran que debe existir la distinción en el infractor de si es una empresa o no lo es, en cuyo caso, debe tenerse en cuenta sus circunstancias, incluso, el nivel de vida del País a la hora de determinar la sanción económica a imponer.
  33. 33. Medidas adicionales o sustitutivas de las multas El artículo 83.2 señala que las multas se impondrán, adicionalmente, o de forma sustitutiva a las siguientes medidas (del artículo 58, apartado 2, letras a) a h) y j): ü Advertencia (antes de producirse la infracción). ü Apercibimiento (una vez producida la infracción). ü Requerimiento de atención de los ejercicios de derechos. ü Requerir para que los tratamientos se realicen de una determinada manera y dentro de un plazo; ü Requerir para que se comunique al interesado las violaciones de la seguridad de los datos; ü imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición; ü ordenar la rectificación o supresión de datos o la limitación de tratamiento; y en su caso su notificación al interesado. ü retirar una certificación u ordenar al organismo de certificación que retire una certificación; u ordenar que no se emita. ü ordenar la suspensión de una transferencia internacional de datos.
  34. 34. MUCHAS GRACIAS Javier Alvarez Hernando. Abogado. @_JavierAlvarez

×