RGPD-2019-11 - Responsabilidad Proactiva - MUPDIS-Nebrija

#RGPD – El principio de
“Responsabilidad
Proactiva”
(y sus consecuencias)
Pedro Alberto
González
DPD-DBO
Delegado de Protección de Datos
paGonzalez@avpd.eus
Máster en Protección de Datos,
Innovación y Seguridad

• Reglamento vs Directiva
• “Protección de las personas”
– Binomio derecho / deber
• “Libre circulación de datos”
– Intra-UE (“Tratamientos transfronterizos”)
– Extra-UE (“Transferencias internacionales”)
• “Responsabilidad proactiva”
– “Accountability”
El #RGPD:
Principios subyacentes
Protección de Datos, Innovación y Seguridad
Sesión: "Responsabilidad Proactiva"
[paGonzález]
2

1.- (…)
2.- El presente Reglamento
protege los derechos y libertades
fundamentales de las personas
físicas y, en particular su derecho
a la protección de los datos
personales.
#RGPD, Artículo 1
[paGonzález]
3

2.- (…)
3..- La libre circulación de los datos
personales en la Unión
no podrá ser
restringida ni prohibida
por motivos relacionados con la
protección (…) de datos personales.
#RGPD, Artículo 1
[paGonzález]
4

“…Libre
circulación
de Datos…”
[paGonzález]
5

A. Licitud, lealtad y transparencia
B. Limitación de la finalidad
C. Pertinencia y Minimización de datos
D. Exactitud y vigencia
E. Limitación del plazo de conservación
F. Integridad y confidencialidad
Art. 5 #RGPD
principios #RGPD
relativos al tratamiento
[paGonzález]
6
Corolario:
Responsabilidad
Proactiva

[paGonzález]
Protección de Datos, Innovación y Seguridad7

“Responsabilidad ProActiva”
=
“Rendición de Cuentas”
[paGonzález]

“Art. 5.2- El responsable del tratamiento será…
–Responsable de Cumplir
–y Capaz de demostrar
que trata los datos de acuerdo con los principios
de:
“Responsabilidad proActiva”
[paGonzález]
9
A. Licitud, lealtad y transparencia
B. Limitación de la finalidad
C. Pertinencia y Minimización de datos
D. Exactitud y vigencia
E. Limitación del plazo de conservación
F. Integridad y confidencialidad
Art. 5 #RGPD

Cambio de
“esquema mental”
“Cumplimiento pasivo”
• Declarar los ficheros en
el Registro…
• Incluir una “clausula
LOPD”…
• Copiar un “documento de
seguridad”…
• ¿Problemas?
– (…salir del paso…)
– Reaccionar a posteriori
• Aplicar la Protección de
Datos desde el diseño
(y por defecto)
• Llevar un registro interno de
actividades de tratamientos
• Seguridad basada en
Gestión de Riesgos
• Efectuar Evaluaciones de
Impacto sobre la Prot. Dat
• Adoptar Códigos de
Conducta y Certificaciones
• Disponer de un Delegado
de Protección de Datos
[paGonzález]
10

• Responsable (“controller”)
– del tratamiento (RT)
• Encargado (“processor”)
– (o subencargado) del tto. (ET)
• Delegado/a
– de protección de datos (DPD) (“officer”)
• (+ Autoridades de Control)
“Quién-es-quién” en la
Responsabilidad proActiva
[paGonzález]
11

RESPONSABLES
DE TRATAMIENTOS
[paGonzález]

• “Persona …
–física o jurídica,
–autoridad pública,
–servicio u otro organismo,
• que, solo o junto con otros,
–determine los fines
–y medios del tratamiento”
«responsable
del tratamiento»:
[paGonzález]
13

• Establecido en varios estados miembros
– (con un “Establecimiento Principal”)
• Establecidos fuera de la UE
– (con designación de Representante)
• Posibilidad de “Co-Responsables”
• Ya no se habla de “Ficheros”,
– sino de “Tratamientos”
«responsable
del tratamiento»:
[paGonzález]
14

• “Teniendo en cuenta:
– la naturaleza, el ámbito, el contexto
– y los fines del tratamiento
• así como los riesgos de diversa
– probabilidad
– y gravedad
• para los derechos y libertades
de las personas físicas, …
Obligaciones del Responsable (Art. 24
RGPD)
[paGonzález]
15
Art.24.1#RGPD

• …el responsable del tratamiento aplicará
– medidas técnicas
– y organizativas apropiadas
• a fin de
– garantizar
– y poder demostrar
que el tratamiento es conforme con el
presente Reglamento.
• Dichas medidas se revisarán y actualizarán
cuando sea necesario.”
Obligaciones del Responsable
[paGonzález]
16
Art.24.1#RGPD

[paGonzález]
ENCARGADOS
DE TRATAMIENTOS

• “Persona …
–física o jurídica,
–autoridad pública,
–servicio u otro organismo,
• que trate datos personales
• …por cuenta del responsable ”
«encargado del tratamiento» o
«encargado»
[paGonzález]
18

• La mayor parte de las obligaciones son para
ambos,
– Responsable
– Encargado
• Exigencia de garantías
– técnicas
– organizativas
• Permitidos los sub-Encargos,
– con autorización del Responsable
«encargado del tratamiento» o
«encargado»
[paGonzález]
19

• Se exige deber de diligencia por parte
del Responsable en su elección
• El Encargado del tratamiento debe
ofrecer garantías suficientes
– respecto a la implantación y el
mantenimiento
– de las medidas técnicas y organizativas
apropiadas,
– de acuerdo con lo establecido en el RGPD.
Responsabilidad respecto del
encargado del tratamiento
[paGonzález]
20

• Para demostrar que el encargado ofrece
garantías suficientes, el RGPD prevé
– la adhesión a códigos de conducta o
– la posesión de un certificado de protección
de datos
pueden servir como mecanismos de
prueba.
Garantías del
encargado del tratamiento
[paGonzález]
21

• Constancia por escrito / electrónico
• Tratamiento bajo instrucciones
documentadas del Responsable
• Garantía y compromiso de confidencialidad
• Especificación de medidas de seguridad
• Condiciones de subEncargo
• Devolución o Destrucción de datos
• Realización de auditorías e inspecciones
Exigencia de Contrato o “acto
jurídico” vinculante
[paGonzález]
22

• Las tres Agencias de Protección de Datos
han elaborado una “guía” con directrices
sobre el Contrato de Encargo de
Tratamientos.
• Disponible en:
– http://www.avpd.euskadi.eus/informacion/
reglamento-general-de-proteccion-de-datos/
s04-5273/es/
Directrices de las APDs
(AEPD + APDCAT + AVPD)
[paGonzález]
23

Guía (directrices) sobre los
Encargos de tratamiento
[paGonzález]
24

• Como mínimo debe establecerse:
– el objeto y la duración,
– la naturaleza y la finalidad del tratamiento,
– el tipo de datos personales y categorías de
interesados, y
– las obligaciones y derechos del
Responsable
– las obligaciones y derechos del Encargado
¿Cuál es el contenido mínimo de un
encargo de tratamiento?
[paGonzález]
25

• A.- Las instrucciones del responsable del
tratamiento
• B.- El deber de confidencialidad
• C.- Las medidas de seguridad
• D.- El régimen de la subcontratación
• E.- Los derechos de los interesados
• F.- La colaboración en el cumplimiento de las
obligaciones del responsable
• G.- El destino de los datos al finalizar la prestación
• H.- La colaboración con el responsable para
demostrar el cumplimiento
¿Qué obligaciones del Encargado deben
quedar recogidas
[paGonzález]
26

• Tiene base legal en el propio contrato
• Si no está establecido en la UE, es una
Transferencia Internacional, sujeta a :
– Decisiones de adecuación,
– Existencia de garantías adecuadas, en
particular:
• Normas corporativas vinculantes
• Clausulas tipo de PD
• Códigos de Conducta
• Mecanismos de certificación
¿Puede contratarse con
encargados no establecido s en la UE?
[paGonzález]
27

Modelos con opciones para adaptar a
cada caso
[paGonzález]
28

DELEGADAS DE
PROTECCIÓN DE DATOS
[paGonzález]

• Necesario siempre que los Tratamientos:
– Se lleven a cabo por Autoridades u Organismos
Públicos
– Requieran una observación habitual y sistemática de
interesados a gran escala
– Traten a gran escala de datos personales de
categorías especiales o relativos a condenas e
infracciones penales
• Puede ser único para:
– Grupos Empresariales
– Autoridades u Organismos Públicos
– Asociaciones u Organismos representativos
Los Delegados de
Protección de Datos
[paGonzález]
30

• “Gran Escala”
• “Ocasional” / “Regular” /
“Sistemático”
• “Alto Riesgo” / “Riesgo improbable”
– Reciente documento del art29WP
aclarando el papel del DPO (dic-2016 –
rev. Abr-2017)
• “Guidelines on Data Protection Officers”
• http://ec.europa.eu/newsroom/document.cfm?doc_id=44100
Algunos “Conceptos
(mas o menos) indeterminados”
[paGonzález]
31

• El número de interesados involucrados,
– bien como cifra concreta o
– como proporción de la población
• El volumen de datos
– o el abanico de diferentes conceptos de datos
que se procesan
• La duración, o permanencia, de la actividad
de tratamiento de datos
• El alcance geográfico de la actividad de
tratamiento
“Gran Escala”
[paGonzález]
32
Art29WP-wp243

• Continuado, recurrente o periódico
• Que se produce de acuerdo con un
sistema
• Preestablecido, organizado o metódico
• Que tiene lugar como parte de un plan
general de recogida de datos
• Llevado a cabo como parte de una
estrategia
“Regular y Sistemático”
[paGonzález]
33
Art29WP-wp243

• a) informar y asesorar al responsable o encargado;
• b) supervisar el cumplimiento legal y de las políticas
del responsable o del encargado, incluidas:
– la asignación de responsabilidades,
– la concienciación y formación del personal
– las auditorías correspondientes;
• c) ofrecer el asesoramiento acerca de las
evaluaciones de impacto y supervisar su aplicación;
• d) cooperar con la autoridad de control;
• e) actuar como punto de contacto de la autoridad de
control para cuestiones relativas al tratamiento.
Funciones del DPD
[paGonzález]
34
Art.39#RGPD

• Conocimientos especializados del derecho y
la Práctica de la PD
• Reporta al más alto nivel jerárquico
– Puede ser empleado o servicio externo
… pero no recibe instrucciones
– Es Independiente.
– Es inviolable.
– No es responsable de incumplimientos
• Datos de contacto publicados y notificados a
ACPD
Cualificación y Posición
[paGonzález]
35
Art.38#RGPD

• Para una o varias Organizaciones
– Posibilidad de +1 en grandes Organizciones
• Dedicación exclusiva o compatible
– Pero sin conflicto de intereses
– No directivo. No responsable de seguridad
– Medidas para evitar incompatibilidades
• Unipersonal…
– Con apoyo y recursos necesarios
… o con equipo / estructura
– Con reparto claro de funciones y responsabilidades
Organización DPD-DBO
[paGonzález]
36

Volviendo a la
“Responsabilidad ProActiva”…
[paGonzález]
37

1. Registro de actividades de tratamiento
– (interno)
2. Proteción de Datos desde el diseño y por defecto
– (PbD)
3. Seguridad basada en Gestión de Riesgos
– (RA / RM)
4. Evaluación de Impacto sobre la Protecc. de Datos
– (EIPD / PIA)
5. Códigos de Conducta, certificaciones y sellos
– (CdC)
Elementos que forman la
[paGonzález]
38

REGISTRO (INTERNO)
DE TRATAMIENTOS
[paGonzález]
39

Registro (interno) de Tratamientos
el anterior Registro de Ficheros… ¡¡¡ Desaparece !!!
[paGonzález]
40

• Órgano previsto en la LOPD para garantizar la
publicidad de la existencia de ficheros (art. 39)
• Registro de ficheros de la AEPD:
– Ficheros de titularidad privada
– Ficheros de titularidad pública de
• Órganos Constitucionales
• AGE (Administración General del Estado)
• EELL y CCAA sin APD
• Registro de ficheros de la AVPD:
– Ficheros de titularidad pública de Euskadi
Hasta ahora, ¿qué eran los
Registros de Ficheros?
[paGonzález]
41

Notificar a la APD
Publicar en el Boletín Oficial
Adoptar una Disposición General
(por el responsable)
Regulación
(en el ámbito público)
[paGonzález]
42

• Se mantiene la necesidad de llevanza de un registro
(interno) de las actividades de tratamiento
– Por el Responsable
– Por el Encargado
• Para las organizaciones:
– Que empleen más de 250 personas, o bien:
– Que el tratamiento entrañe riesgos para los interesados,
– no sea ocasional
– o incluya categorías especiales o relativos a condenas e
infracciones penales.
• Dicho Registro interno estará a disposición de las
Autoridades de Control
El (nuevo) registro (interno) de Actividades
de tratamientos
[paGonzález]
43

Contenido: Relación + Ficha
(Art. 30 RGPD)
[paGonzález]
44

[paGonzález]
45

PROTECCIÓN DE DATOS
DESDE EL DISEÑO
(Y POR DEFECTO)
[paGonzález]
46

“Art. 25.1.- El responsable del tratamiento aplicará,
– tanto en el momento de determinar los medios de
tratamiento
– como en el momento del propio tratamiento,
medidas técnicas y organizativas apropiadas,
concebidas para aplicar de forma efectiva los
principios de protección de datos, como
– la seudonimización,
– la minimización de datos,
e integrar las garantías necesarias en el
tratamiento.
Protección de datos
desde el diseño …
[paGonzález]
47
Art.25.1#RGPD9

(…)
Art. 25.2.- El responsable del tratamiento
implementará mecanismos con miras a garantizar
que,
• por defecto, solo sean objeto de tratamiento los
datos personales necesarios para cada fin
específico del tratamiento
• y, especialmente, que no se recojan ni conserven
más allá del mínimo necesario para esos fines,
tanto por lo que respecta a la cantidad de los
datos como a la duración de su conservación.
• En concreto, estos mecanismos garantizarán
que, por defecto, los datos personales no sean
accesibles a un número indeterminado de
personas.
…y por defecto
[paGonzález]
48
Art.25.2#RGPD

La privacidad, desde el diseño (y
por defecto)
[paGonzález]
49

1. Diseño Proactivo, no Reactivo;
• Preventivo, no Correctivo
2. Privacidad como configuración por defecto
3. Privacidad incrustada en el diseño
4. Funcionalidad total:
• “Suma-Positiva”, no “Suma-Zero”
5. Seguridad en todo el ciclo de vida (“end-to-end”)
6. Visibilidad y transparencia – “Keep it Open”
7. Respeto a la privacidad personal (“User-centric”)
7 Principios fundamentales de la “Privacy
by Design”
[paGonzález]
50

[paGonzález]
51

• Técnicas:
– Autenticación
– Credenciales
– Comunicac. Seguras
– Anonim./Pseudonim.
– Base de Datos
– Estadísticas/reident.
– Minería de datos
– Recuperación
– Almacenamiento
– Computación
– Transparencia
– Intervención
Directrices ENISA
Protección por Diseño y defecto
[paGonzález]
52
• Estrategias:
– #Minimizar
– #Ocultar
– #Separar
– #Agregar
– #Informar
– #Autocontrol
– #Cumplir
– #Demostrar

Estrategias de diseño orientadas a
DATOS
[paGonzález]
53

Estrategias de diseño orientadas a
PROCESOS
[paGonzález]
54

SEGURIDAD BASADA EN
GESTIÓN DE RIESGOS
[paGonzález]
55

Hasta ahora:
RD-1720/2007
[paGonzález]
56

• Clasificación de la Información
– Criterios de exigencia de los niveles de
seguridad
• Requisitos de documentación
– Estructura y contenido del “Documento de
Seguridad”
• Relación de “Puntos de control”
– Medidas de seguridad, diferenciadas para
cada uno de los niveles exigibles
Estructura
del RD 1720/2007
[paGonzález]
57

Nivel Básico: Todos los ficheros
Nivel Medio: ficheros con
•Infracciones administrativas o penales
•Información sobre solvencia patrimonial
•Administraciones Tributarias
•Entidades financieras
•Seguridad Social
•Elaboración de perfiles
Nivel Alto: ficheros con
•Datos especialmente protegidos
•Fines policiales
•Violencia de género
Niveles de seguridad
[paGonzález]
58

1. Organización de la Seguridad
2. Documentación de Seguridad
3. Funciones y obligaciones del personal
4. Identificación y autenticación de usuarios
5. Controles y registros de accesos
6. Accesos a través de redes / Internet
7. Soportes y documentos con información
8. Copias de respaldo y recuperación
9. Gestionar Incidencias de seguridad
10. Efectuar Auditorías y Controles
10 puntos de control en
medidas de seguridad
[paGonzález]
59

Marco #RGPD
Seguridad del Tratamiento:
[paGonzález]
60
?

Enfoque completamente distinto
del RD-1720/2007
GeneralidadesDetalles
FinesMedios
ResponsabilidadCumplimiento
[paGonzález]

• Art. 32 #RGPD:
“1.- Teniendo en cuenta:
• el estado de la técnica,
• los costes de aplicación, y
• la naturaleza, el alcance, el contexto y los fines del tratamiento,
así como
• riesgos de probabilidad y gravedad variables para los derechos
y libertades de las personas físicas,
“el responsable y el encargado del tratamiento aplicarán:
• medidas técnicas y organizativas apropiadas
• para garantizar un nivel de seguridad
• adecuado al riesgo”
• Orientación hacia “evaluación y gestión de riesgos”
Marco #RGPD
Seguridad del Tratamiento
[paGonzález]
62
Art.32#RGPD

1. (…) el responsable y el encargado (…) aplicarán
medidas de seguridad adecuada al riesgo, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad,
integridad, disponibilidad y resiliencia (…);
c)la capacidad de restaurar la disponibilidad de los
datos de forma rápida en caso de incidente;
d)un proceso de verificación, evaluación y valoración
regulares de la eficacia de las medidas.
Marco #RGPD
[paGonzález]
63
Art.32#RGPD

2. (…) se tendrán en cuenta los riesgos, en particular como
consecuencia de
– la destrucción, pérdida o alteración accidental o ilícita de
datos personales,
– o la comunicación o acceso no autorizados .
3. (…).
4. El responsable y el encargado del tratamiento tomarán medidas
para garantizar que cualquier persona
– que actúe bajo la autoridad del responsable o del encargado
– y tenga acceso a datos personales
– solo pueda tratar dichos datos siguiendo instrucciones del
responsable,
– salvo que esté obligada a ello en virtud del Derecho de la
Unión o de los Estados miembros.
(cont.)
[paGonzález]
64
Art.32#RGPD

2. (…).
3. La adhesión a un código de conducta (…) o
a un mecanismo de certificación (…) podrá
servir de elemento para demostrar el
cumplimiento de los requisitos establecidos en
el (…) presente artículo.
4. (…).
(cont.)
[paGonzález]
65
Art.32#RGPD

Metodología para (entender) la
Gestión de Riesgos
[paGonzález]
66

Algunas Definiciones
• Activo (“Fuente de riesgo”):
– “Cualquier cosa que tenga algún valor para alguien”
– “Recursos del sistema de información o relacionados
con éste, necesarios para que la Organización
funcione correctamente y alcance los objetivos
propuestos por su dirección”
– Los activos pueden presentar Vulnerabilidades
• Amenaza (“Suceso”):
– “Evento que puede desencadenar un incidente en la
Organización, produciendo daños materiales o
pérdidas inmateriales (degradación) en sus activos”
– Las amenazas ocurren con una cierta probabilidad
[paGonzález]
67

[paGonzález]
68
Marco de Referencia para
análisis de Riesgos
Activos
Amenazas
Valor
Impacto
Potencial
Riesgo
Potencial
Degradación
Frecuencia
Están expuestos a…
Causan +/- …
Ocurren con +/-…
tienen …
AnálisisdeRiesgos

Más Definiciones
• Impacto (potencial)
– “Consecuencia que sobre un activo tiene la
materialización de una amenaza”
• Riesgo (potencial, inherente, intrínseco)
– “Estimación del grado de exposición a que una
amenaza se materialice sobre uno o más activos
causando daños o perjuicios a la Organización”
Riesgo = Impacto X Probabilidad
[paGonzález]
69

Valoración de los riesgos
[paGonzález]
70
1.- Tolerables
- Probabilidad +
Impacto
+
-
2.- Gestionables.
3.- Inaceptables
(alto riesgo)
1
2
3
3

Más Definiciones
• Controles y medidas (Salvaguardas)
–“Procedimiento o mecanismo
tecnológico que reduce el riesgo.”
• Riesgo Residual
–“Riesgo remanente tras la aplicación de
las salvaguardas (controles y medidas)
previstas”
[paGonzález]
71

[paGonzález]
72
Marco de Referencia para
tratamiento de Riesgos
Activos
Amenazas
Valor
Impacto
Riesgo
Degradación
Frecuencia
Están expuestos a…
Causan +/- …
Ocurren con +/-…
tienen …
Controles y Medidas
Impacto
Residual
Riesgo
Residual

Tratamiento
de los riesgos
• Modificar el riesgo,
– ya sea mitigando el impacto
– o evitando la oportunidad de
la amenaza.
• Transferir el riesgo
– no la responsabilidad.
• Aceptar el riesgo,
– riesgos aceptables, o por
debajo del umbral de riesgo
asumible.
• Evitar el riesgo,
– riesgos inaceptables,
– renunciando a algunas
actividades o tratamientos.
[paGonzález]

Medidas previstas en el #RGPD:
a) la seudonimización y el cifrado;
b) la confidencialidad, integridad y
disponibilidad
c) la resiliencia y restauración de la
disponibilidad;
d) un proceso de verificación, evaluación
y valoración regulares de la eficacia.
[paGonzález]
74

Nuevos conceptos
• Seudonimización (“disociación reversible”)
– el tratamiento de datos personales de manera tal
que:
• ya no puedan atribuirse a un interesado sin utilizar
información adicional,
• siempre que dicha información adicional figure por
separado
– y esté sujeta a medidas técnicas y organizativas
destinadas a garantizar que los datos personales
no se atribuyan a una persona física identificada
o identificable;
[paGonzález]
75

• Seres vivos:
– Capacidad de adaptación frente a un agente
perturbador o un estado o situación adversos
• Materiales, mecanismos o sistemas:
– Capacidad para recuperar su estado inicial,
cuando ha cesado la perturbación a la que había
estado sometido
• Resiliencia = “continuidad de negocio”
– “capacidad de adaptación y recuperación ante
desastres”
¿Resiliencia?
[paGonzález]
76

Notificación de
violaciones de seguridad
[paGonzález]
77

• Notificación a la Autoridad de Control
– Salvo que haya un riesgo improbable
• Comunicación a los interesados
– Siempre que haya un alto riesgo
– salvo que se hayan aplicado medidas que
minimicen el riesgo
– O suponga un esfuerzo desproporcionado
Notificación de
violaciones de seguridad
[paGonzález]
78

Materiales & Guías
de referencia
[paGonzález]
79

• El RD-1720/2007 ya no es el referente
• Ámbito de tratamientos privados:
– Códigos de conducta y esquemas de
certificación existentes y comúnmente
aceptados: ISO-27000, ISO-29000, ISO-31000
– Nuevos CC&Cert que puedan adoptarse
• Tratamientos de AAPP :
– ENS (Esquema Nacional de seguridad)
(Disp. Adic. Primera de la LOPDGDD-2018)
Cómo gestionar la seguridad desde
mayo de 2018?
[paGonzález]
80

Medidas de Seguridad en el ENS
[paGonzález]
81

Puntos de Control en el ENS
[paGonzález]
82

EVALUACIONES DE IMPACTO
SOBRE LA PROTECCIÓN DE
DATOS
[paGonzález]
83

• Necesarias cuando sea probable que un
tipo de tratamiento,
– en particular si utiliza nuevas tecnologías,
– por su naturaleza, alcance, contexto o fines,
– entrañe un alto riesgo para los derechos y
libertades de las personas físicas, (…)
Las evaluaciones de impacto
(“ex-Ante”, “Impact assessent”)
[paGonzález]
84

• (…) en particular en caso de:
– evaluación sistemática y exhaustiva de aspectos
personales, que se base en un tratamiento
automatizado, como la elaboración de perfiles, y
sobre cuya base se tomen decisiones que
produzcan efectos jurídicos;
– tratamiento a gran escala de las categorías
especiales de datos o de los datos personales
relativos a condenas e infracciones penales, o
– observación sistemática a gran escala de una
zona de acceso público.
Las evaluaciones de impacto
(“ex-Ante”, “Impact assessent”)
[paGonzález]
85

• a) una descripción sistemática de las
operaciones de tratamiento previstas y de
los fines del tratamiento;
• b) una evaluación de la necesidad y la
proporcionalidad de las operaciones de
tratamiento con respecto a su finalidad;
• c) una evaluación de los riesgos para los
derechos y libertades de los interesados, y
• d) las medidas previstas para afrontar los
riesgos.
Contenido de la
evaluación de impacto
[paGonzález]
86

¿Cómo hacer
Evaluaciones de impacto?
[paGonzález]
87

EVALUACIÓN DE IMPACTO
.VS.
ANÁLISIS DE RIESGOS
[paGonzález]

“Buenos y Malos”,
[paGonzález]
89
“Listos y… torpes”

Otros
“Buenos”,
Otros
“Listos”,
Otros
“Torpes”
[paGonzález]

Seguridad /
Gestión de Riesgos
[paGonzález]
91
Frente a
Malos y “torpes”

Evaluaciones
de Impacto
[paGonzález]
92
Frente a
“Buenos” y
“Listos”

• Considerando 75 RGPD:
– “Los riesgos para los derechos y libertades
de las personas físicas, de gravedad y
probabilidad variables, pueden deberse al
tratamiento de datos que pudieran provocar
daños y perjuicios
• físicos,
• materiales o
• inmateriales,
– en particular en los siguientes casos
Riesgos para los derechos y libertades
de las personas
[paGonzález]
93

• Casos en los que el tratamiento pueda dar
lugar a problemas de:
– discriminación,
– usurpación de identidad o fraude,
– pérdidas financieras,
– daño para la reputación,
– pérdida de confidencialidad de datos sujetos al
secreto profesional,
– reversión no autorizada de la seudonimización
– o cualquier otro perjuicio económico o social
significativo;
…2
[paGonzález]
94

• Casos en los que el tratamiento pueda
causar:
– que se prive a los interesados de sus
derechos y libertades
– que se les impida ejercer el control sobre
sus datos personales;
• Tratamientos sobre personas vulnerables,
– en particular niños;
…3
[paGonzález]
95

• Casos en los que los datos personales tratados
revelen:
– el origen étnico o racial,
– las opiniones políticas,
– las creencias religiosas o filosóficas,
– la militancia en sindicatos
• Casos de tratamiento de:
– datos genéticos,
– datos biométricos identificativos
– datos relativos a la salud o
– datos sobre la vida u orientación sexual
– datos sobre condenas e infracciones penales o medidas
de seguridad conexas;
…4
[paGonzález]
96

• Casos en los que se evalúen aspectos personales
con el fin de crear o utilizar perfiles personales, en
particular el análisis o la predicción de aspectos
referidos a:
– rendimiento en el trabajo,
– situación económica,
– salud,
– preferencias o intereses personales,
– fiabilidad o comportamiento,
– situación o movimientos,
• Casos en los que el tratamiento implique:
– una gran cantidad de datos personales
– y afecte a un gran número de interesados.
…5
[paGonzález]
97

1. Elaboración de perfiles o puntuación de
comportamientos
2. Decisiones automatizadas con
consecuencias legales o similares
3. Observación sistemática de una zona de
acceso público
4. Tratamiento de categorías especiales de
datos
Criterios para determinar el “Alto
Riesgo” (Art29WP)
[paGonzález]
98

5. Tratamiento de datos a gran escala
6. Combinación cruzada de datos
procedentes de tratamientos diferentes
7. Tratamiento de datos de colectivos
vulnerables
8. Uso innovador de tecnologías o soluciones
organizativas
9. Transferencias de datos fuera de las
fronteras de la Unión Europea
Riesgo” (Art29WP)
[paGonzález]
99

• solo 1 criterio (de los 9)
–  No Alto Riesgo
–  No EIPD
• 2 o más criterios
–  Alto Riesgo
–  EIPD necesaria
Riesgo” (Art29WP)
[paGonzález]
100

CÓDIGOS DE CONDUCTA ,
CERTIFICACIONES Y SELLOS
[paGonzález]

• Finalidad:
– “contribuir a la correcta aplicación del
Reglamento”, teniendo en cuenta:
• las características de los sectores de tratamiento
• las necesidades de las (…) pequeñas (…)
empresas
Códigos de Conducta
[paGonzález]
102

• Definición en el #RGPD:
– No hay definición en el #RGPD
• Definición de la OIE (Organización Internacional
de Empleadores, 1999)
– “Declaración expresa de la política, los valores o los
principios en que se inspira el comportamiento de
una empresa en lo que atañe a:
• el desarrollo de sus recursos humanos,
• su gestión medioambiental
• su interacción con los consumidores, los clientes, los
gobiernos y las comunidades en las que desarrolla su
actividad
[paGonzález]
103

• Definición en las Directivas 2005/29/CE y
2008/122/CE
– «código de conducta»:
• un acuerdo o conjunto de normas no impuestas por
disposiciones legales, reglamentarias o administrativas de un
Estado miembro,
• en el que se define el comportamiento de aquellos
comerciantes que se comprometen a cumplir el código
• en relación con una o más prácticas comerciales o sectores
económicos concretos;
– «responsable del código»:
• cualquier entidad, incluido un comerciante o un grupo de
comerciantes, que sea responsable de la elaboración y
revisión de un código de conducta o de supervisar su
cumplimiento por quienes se hayan comprometido a
respetarlo.
[paGonzález]
104

• Mecanismos para la acreditación del
cumplimiento de obligaciones
– art.24.3, (Responsabilidad del Responsable)
– art.28.5, (Garantías del Encargado)
– art.32.3, (Cumplimiento de medidas de
seguridad)
– art.46.2.e (Garantías en Transferencias
Internacionales)
Los Códigos de Conducta y
Certificación
[paGonzález]
105

• Promocionados por:
– Estados miembros, Autoridades de control,
– “el Comité”, “la Comisión “
• Supervisados por
– Organismos acreditados
– Autoridades de Control (sin perjuicio de…)
• Cuando afectan a más de un estado
miembro, aplica el “mecanismo de
coherencia”
Los Códigos de Conducta y
Certificación
[paGonzález]
106

Promotor AC-interesada “El Comité” “La Comisión”
Proyecto de
Código de
Conducta
Registro
Cod.Cond.
Dictamen y
Aprobación
¿trans-
fronterizo?
Publicación
Cod.Cond.
Dictamen de
Conformidad
Presenta Validez General
en La Unión
Publicidad
Cod.Cond.
Registro
Cod.Cond.
Puesta a
disposición
[paGonzález]

CONCLUSIÓN
[paGonzález]

¿QUIÉN
LE PONE
EL CASCABEL…
[paGonzález]

1. Determinar la necesidad de Delegado de Protección de Datos
2. Establecer el Registro Interno de Tratamientos
3. Revisar la legitimación de los tratamientos
4. Revisar la información que se ofrece a los interesados
5. Revisar los procedimientos de ejercicio de derechos
6. Revisar los contratos con Encargados de Tratamiento
7. Efectuar Análisis de Riesgos y revisar las medidas de seguridad
8. Determinar la necesidad de efectuar Evaluaciones de Impacto
“Hoja de Ruta”
Adecuación al RGPD en 8 pasos
[paGonzález]
110

www.nebrija.com
Gracias por la atención
Material Disponible en:
http://slideshare.net/pagonzalez

RGPD-2019-11 - Responsabilidad Proactiva - MUPDIS-Nebrija

Recomendados

Recomendados

Más contenido relacionado

Similar a RGPD-2019-11 - Responsabilidad Proactiva - MUPDIS-Nebrija

Similar a RGPD-2019-11 - Responsabilidad Proactiva - MUPDIS-Nebrija (20)

Más de AVPD - Agencia Vasca de Protección de Datos

Más de AVPD - Agencia Vasca de Protección de Datos (9)

Último

Último (20)

RGPD-2019-11 - Responsabilidad Proactiva - MUPDIS-Nebrija

Notas del editor