SlideShare una empresa de Scribd logo

Curso presentacion formativa_RGPD_v1.0

Panel Sistemas
Panel Sistemas

Este documento resume los principales aspectos del Reglamento General de Protección de Datos de la UE, incluyendo las bases de legitimación para el tratamiento de datos personales, los nuevos derechos de los interesados, las obligaciones de seguridad y transparencia para los responsables de tratamiento, y el régimen sancionador por incumplimiento. El período de transición finalizó en mayo de 2018, momento a partir del cual el RGPD se aplica de manera obligatoria en toda la UE.

1 de 19
Descargar para leer sin conexión
www.panel.es Panel Sistemas Informáticos, S.L. Creación inteligente de software y servicios TI El Reglamento Europeo de Protección de Datos 20/10/2021 REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)
Entrada en vigor el 25 de mayo de 2016 Aplicación obligatoria a partir de mayo de 2018 Necesidad de adaptar las operaciones iniciadas antes de mayo de 2018 PANEL Aplicado desde el 2018 2016 - 2018 Periodo de Transición
3 ▪ Licitud del tratamiento: bases de legitimación ▪ Transparencia de las operaciones del tratamiento: cumplimiento del deber de informar ▪ Nuevos derechos de los interesados ▪ Seguridad de los datos: responsabilidad proactiva (accountability), privacidad desde el diseño y por defecto (Privacy by desing and by default) ▪ Obligaciones materiales: RAT, Política de protección de datos, DPO, evaluación de impacto. ▪ Relaciones contractuales: encargo del tratamiento ▪ Transferencias internacionales ▪ Régimen sancionador Principales Novedades con respecto a la LOPD
4 Concepto de Dato Personal ART. 4.1 Toda información sobre una persona física: ▪ Identificada: directamente ▪ Identificable: directa o indirectamente “toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea (…)”
5 Responsable vs Encargado del Tratamiento RESPONSABLE DEL TRATAMIENTO: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento ENCARGADO DEL TRATAMIENTO: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento, bajo sus directrices en cuanto a los fines y los medios del tratamiento de los datos. EJEMPLO: la empresa X es Responsable del tratamiento de los datos de sus empleados, en tanto recaba los datos en su propio nombre y decide sobre la modalidad del tratamiento de los mismos; la gestoría Y que X tiene contratada para la gestión de nóminas de sus empleados, es encargada del tratamiento en tato tiene acceso a esos datos para prestar el servicio contratado.
6 ART. 6-10 El tratamiento de datos de carácter personal deberá estar legitimado por alguna de las siguientes bases: ▪ CONSENTIMIENTO del interesado para fines específicos ▪ El tratamiento es necesario: ▪ Para la ejecución de un contrato o medidas precontractuales ▪ Cumplimiento de una obligación legal ▪ Para proteger intereses vitales (interesado o tercero) ▪ Para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos ▪ Para la satisfacción del interés legítimo Licitud del Tratamiento
7 Consentimiento EXPRESO E INEQUÍVOCO mediante una manifestación del interesado o una clara acción afirmativa (excluye tácito o por omisión) EXPLÍCITO: datos sensibles, adopción de decisiones automatizadas y transferencias internacionales LIBRE E INFORMADO DEMOSTRABLE: el responsable debe poder demostrar que lo obtuvo REVOCABLE: deberá ser tan fácil retirar el consentimiento como darlo
8 Transparencia: Cumplimiento del Deber de Informar ART. 13-1 El Responsable del tratamiento de los datos, ha de proporcionar al interesado antes de proceder al tratamiento de sus datos INFORMACIÓN Concisa Transparente Inteligible De fácil acceso Con un lenguaje claro y sencillo Por escrito, verbalmente o por otros medios
9 LOPD Derechos ARCO RGPD 1. Acceso 2. Rectificación 3. Cancelación 4. Oposición 1. Acceso 2. Rectificación 3. Supresión o derecho al olvido 4. Oposición 5. Limitación al tratamiento 6. Portabilidad Derechos de los Interesados
10 ACCONUNTABILITY PRIVACY BY DESING El Responsable deberá aplicar medidas técnicas y organizativas que considere apropiadas para garantizar y demostrar que el tratamiento que realiza es conforme con el RGPD, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos para los derechos y libertades de las personas físicas. Principio que supone la necesidad de aplicar desde la fase inicial de planificación, las medidas necesarias que garanticen la seguridad de la información. Seguridad de los Datos PRIVACY BY DEFAULT Implica ofrecer garantías de privacidad por defecto: ▪ Minimización de los datos ▪ Control de accesos ▪ Plazos de conservación definidos ▪ Transparencia
11 Gestión de Incidencias ART. 33-34 Obligación de notificar a la autoridad de control las violaciones de seguridad: ▪ En caso de producirse una violación de la seguridad de los datos, esta debe notificarse si la violación de la seguridad constituye un riesgo para los derechos y libertades de las personas afectadas. ▪ “Sin dilación indebida”, máximo 72 horas a partir de que tenga constancia. ▪ Si la detecta el encargado de tratamiento debe notificarlo al responsable del tratamiento “sin dilación indebida” en el plazo establecido en el contrato de encargo del tratamiento.
12 ¿CUÁNDO? ¿CÓMO? A) >250 empleados (siempre) B) < 250 empleados: 1. Si entraña riesgo para los derechos y libertades 2. Si el tratamiento no es ocasional 3. Si se tratan categorías especiales de datos (art.9.1) 4. Si se tratan datos relativos a condenas o infracciones penales (art. 10) A partir de los ficheros ya registrados (detallando las operaciones) ▪ En torno a operaciones de tratamiento concretas que tienen una finalidad común ▪ Podrá organizarse en torno a conjuntos estructurados de datos ▪ Por “escrito”, lo que obviamente incluye el formato electrónico Registro de Actividades del Tratamiento (RAT) UTILIDAD Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.” Obligación material del responsable que sustituye la obligación de la LOPD 15/1999 de notificar ficheros jurídicos a la AEPD
13 Contenido Mínimo del RAT (art. 30)
14 Delegado de Protección de Datos ART. 37-39 ▪ Designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos. ▪ Podrá ser interno (de la plantilla del Responsable del tratamiento) o externo (mediante contrato de prestación de servicios) ▪ Notificación: el Responsable deberá publicar los datos de contacto del DPO externa e internamente, así como comunicar los datos de contacto a la APD la identidad del DPD ▪ Infracciones por parte del Responsable: serán hechos constitutivos de infracción la no designación de DPO en caso de obligación, impedir o interferir en sus funciones, y no comunicar los datos de contacto.
15 Respecto de RT y ET, asesorar, informar y supervisar Respecto de la autoridad de control ▪ En relación a las obligaciones previstas en el RGPD y otras disposiciones ▪ En relación al cumplimiento ▪ En relación a las Evaluaciones de Impacto ▪ Cooperar ▪ Servir de punto de contacto Funciones del DPO Respecto de las personas afectadas: ▪ Atender ejercicio de derechos y cuestiones relacionadas con el tratamiento de los datos
16 Evaluación de Impacto ART. 35 Definición: PIA (Privacy Impact Assessment) : proceso mediante el cual se evalúan cuestiones relacionadas con el tratamiento de datos de carácter personal, con la finalidad de controlar el impacto negativo que, sobre la privacidad de les persones afectadas, puedan tener las operaciones de tratamiento. Régimen jurídico: “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas” Casos previstos: El RGPD no establece una lista exhaustiva: ▪ evaluación “sistemática y exhaustiva” de aspectos personales relativos a personas físicas ▪ tratamiento a gran escala de las denominadas categorías especiales de datos ▪ observación sistemática a gran escala de áreas de acceso público Autoridades de control: deberán determinar y publicar, la lista de los tipos de operaciones de tratamiento que estarán sujetas a la exigencia de PIA; podrán establecer y publicar la lista de los tipos de operaciones de tratamiento que no requerirán PIA. Con carácter general habrá que llevar a cabo una PIA si es probable que el tratamiento suponga un alto riesgo para los derechos y libertades de las personas, especialmente si se utilizan nuevas tecnologías, o si las operaciones de tratamiento por su naturaleza, alcance, contexto o finalidades generan alto riesgo
17 Transferencias Internacionales ▪ Se mantienen los criterios ya establecidos en la Directiva 95/46 ▪ El exportador de datos puede ser tanto un responsable del tratamiento, como un encargado ▪ Se amplían los mecanismos para aportar garantías adecuadas ▪ Códigos de conducta ▪ Certificaciones, sellos y marcas como mecanismos para ofrecer garantías adecuadas ▪ Normas corporativas vinculantes (se reconocen) ▪ Se reducen los supuestos en que se precisa de autorización expresa de la autoridad de control
18 Régimen Sancionador ▪ Multas administrativas: efectivas, proporcionadas y disuasorias. Los responsables del tratamiento podrían ser multados con hasta 20 millones de euros o el 4 % de su volumen de negocios total anual. ▪ Medidas adicionales o sustitutorias de los “poderes correctivos” ▪ Advertencia (infracción potencial) ▪ Apercibimiento ▪ Atender ejercicio de derechos ▪ Adecuar los tratamientos ▪ Criterios para decidir la imposición, atendiendo a cada caso individual ▪ Cada Estado podrá decidir si impone multas administrativas al sector público ▪ Posibilidad de adopción de otras sanciones por parte de los Estados
19 Más información en: www.panel.es panel@panel.es c/ Condesa de Venadito nº 5, 1ª planta 28027 Madrid – España Tel.: +34 91 405 78 78 c/ Toledo, nº8 13004 Ciudad Real – España Tel.: +34 92 627 15 39 c/ Alférez Provisional, nº 2 24001 León – España Tel.: +34 987 87 60 56 www.panel.es panel@panel.es Panel Sistemas Informáticos, S.L. Creación inteligente de software, sistemas y servicios TI

Recomendados

Panel Sistemas - Presentación formativa RGPD
Panel Sistemas - Presentación formativa RGPDPanel Sistemas - Presentación formativa RGPD
Panel Sistemas - Presentación formativa RGPD
Panel Sistemas
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácter
Javier Peña Alonso
 
Protección de datos en un Ayuntamiento
Protección de datos en un AyuntamientoProtección de datos en un Ayuntamiento
Protección de datos en un Ayuntamiento
Enrique Pampliega Higueras
 
Novedades y aspectos relevantes del nuevo Reglamento de Protección de Datos (...
Novedades y aspectos relevantes del nuevo Reglamento de Protección de Datos (...Novedades y aspectos relevantes del nuevo Reglamento de Protección de Datos (...
Novedades y aspectos relevantes del nuevo Reglamento de Protección de Datos (...
JDA SFAI
 
Seminario AGM y Novicell - Protección de datos
Seminario AGM y Novicell - Protección de datosSeminario AGM y Novicell - Protección de datos
Seminario AGM y Novicell - Protección de datos
AGM Abogados
 
Protección de Datos: usuarios y clientes
Protección de Datos: usuarios y clientesProtección de Datos: usuarios y clientes
Protección de Datos: usuarios y clientes
Adigital
 
Manuel zearoldan
Manuel zearoldanManuel zearoldan
Manuel zearoldan
ManuelZeaRoldn
 
Presentacion Grupo ABP LiveAway Ingeniería Multimedia
Presentacion Grupo ABP LiveAway Ingeniería MultimediaPresentacion Grupo ABP LiveAway Ingeniería Multimedia
Presentacion Grupo ABP LiveAway Ingeniería Multimedia
LiveAway
 

Recomendados

Panel Sistemas - Presentación formativa RGPD
Panel Sistemas - Presentación formativa RGPDPanel Sistemas - Presentación formativa RGPD
Panel Sistemas - Presentación formativa RGPD
Panel Sistemas
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácter
Javier Peña Alonso
 
Protección de datos en un Ayuntamiento
Protección de datos en un AyuntamientoProtección de datos en un Ayuntamiento
Protección de datos en un Ayuntamiento
Enrique Pampliega Higueras
 
Novedades y aspectos relevantes del nuevo Reglamento de Protección de Datos (...
Novedades y aspectos relevantes del nuevo Reglamento de Protección de Datos (...Novedades y aspectos relevantes del nuevo Reglamento de Protección de Datos (...
Novedades y aspectos relevantes del nuevo Reglamento de Protección de Datos (...
JDA SFAI
 
Seminario AGM y Novicell - Protección de datos
Seminario AGM y Novicell - Protección de datosSeminario AGM y Novicell - Protección de datos
Seminario AGM y Novicell - Protección de datos
AGM Abogados
 
Protección de Datos: usuarios y clientes
Protección de Datos: usuarios y clientesProtección de Datos: usuarios y clientes
Protección de Datos: usuarios y clientes
Adigital
 
Manuel zearoldan
Manuel zearoldanManuel zearoldan
Manuel zearoldan
ManuelZeaRoldn
 
Presentacion Grupo ABP LiveAway Ingeniería Multimedia
Presentacion Grupo ABP LiveAway Ingeniería MultimediaPresentacion Grupo ABP LiveAway Ingeniería Multimedia
Presentacion Grupo ABP LiveAway Ingeniería Multimedia
LiveAway
 
Ley De Proteccion De Datos
Ley De Proteccion De DatosLey De Proteccion De Datos
Ley De Proteccion De Datostonynetword
 
Manual de Lopd (Ley Orgánica de Protección de Datos)
Manual de Lopd (Ley Orgánica de Protección de Datos)Manual de Lopd (Ley Orgánica de Protección de Datos)
Manual de Lopd (Ley Orgánica de Protección de Datos)
Agneta Gallardo
 
Caso practico-clase-7-und-3
Caso practico-clase-7-und-3Caso practico-clase-7-und-3
Caso practico-clase-7-und-3
EDGARLOZANO28
 
Caso practico-clase-7-und-3
Caso practico-clase-7-und-3Caso practico-clase-7-und-3
Caso practico-clase-7-und-3
EDGARLOZANO28
 
Privacidad, salud y transformación digital los retos del Big Data y la invest...
Privacidad, salud y transformación digital los retos del Big Data y la invest...Privacidad, salud y transformación digital los retos del Big Data y la invest...
Privacidad, salud y transformación digital los retos del Big Data y la invest...
Consorci Universitat Internacional Menéndez Pelayo Barcelona (CUIMPB) - Centre Ernest Lluch
 
Comparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales NovedadesComparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales Novedades
carlos_2009
 
Los derechos de privacidad y de información
Los derechos de privacidad y de informaciónLos derechos de privacidad y de información
Los derechos de privacidad y de información
Andresamv2015
 
III sesión abierta 2010 - 1ª parte
III sesión abierta 2010 - 1ª parteIII sesión abierta 2010 - 1ª parte
III sesión abierta 2010 - 1ª partedataconsulting
 
Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...
Adigital
 
Esteban guerrero montoya
Esteban guerrero montoyaEsteban guerrero montoya
Esteban guerrero montoya
EstebanGuerreroMonto
 
Tema 3
Tema 3Tema 3
Tema 3
ManuelPicnGonzlez
 
Ley de protección datos: Un enfoque Práctico
Ley de protección datos: Un enfoque PrácticoLey de protección datos: Un enfoque Práctico
Ley de protección datos: Un enfoque Práctico
Carlos Luis Sánchez Bocanegra
 
ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...
ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...
ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...
Javier Alvarez Hernando
 
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Adigital
 
Tratamiento de datos y relaciones laborales
Tratamiento de datos y relaciones laboralesTratamiento de datos y relaciones laborales
Tratamiento de datos y relaciones laborales
Adigital
 
Ley de protección de datos
Ley de protección de datosLey de protección de datos
Ley de protección de datosTrabajoRRHH
 
Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...
Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...
Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...
Arsys
 
Jose manueljimenezlopez
Jose manueljimenezlopezJose manueljimenezlopez
Jose manueljimenezlopez
JoseManuelJimenezLop1
 
Ley 1581 base de datos
Ley 1581 base de datosLey 1581 base de datos
Ley 1581 base de datos
julan gonzalez
 
Curso basico sobre el reglamento general de proteccion de datos modulo 1
Curso basico sobre el reglamento general de proteccion de datos modulo 1Curso basico sobre el reglamento general de proteccion de datos modulo 1
Curso basico sobre el reglamento general de proteccion de datos modulo 1
AmparoTrillo
 

Más contenido relacionado

Similar a Curso presentacion formativa_RGPD_v1.0

Ley De Proteccion De Datos
Ley De Proteccion De DatosLey De Proteccion De Datos
Ley De Proteccion De Datostonynetword
 
Manual de Lopd (Ley Orgánica de Protección de Datos)
Manual de Lopd (Ley Orgánica de Protección de Datos)Manual de Lopd (Ley Orgánica de Protección de Datos)
Manual de Lopd (Ley Orgánica de Protección de Datos)
Agneta Gallardo
 
Caso practico-clase-7-und-3
Caso practico-clase-7-und-3Caso practico-clase-7-und-3
Caso practico-clase-7-und-3
EDGARLOZANO28
 
Caso practico-clase-7-und-3
Caso practico-clase-7-und-3Caso practico-clase-7-und-3
Caso practico-clase-7-und-3
EDGARLOZANO28
 
Privacidad, salud y transformación digital los retos del Big Data y la invest...
Privacidad, salud y transformación digital los retos del Big Data y la invest...Privacidad, salud y transformación digital los retos del Big Data y la invest...
Privacidad, salud y transformación digital los retos del Big Data y la invest...
Consorci Universitat Internacional Menéndez Pelayo Barcelona (CUIMPB) - Centre Ernest Lluch
 
Comparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales NovedadesComparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales Novedades
carlos_2009
 
Los derechos de privacidad y de información
Los derechos de privacidad y de informaciónLos derechos de privacidad y de información
Los derechos de privacidad y de información
Andresamv2015
 
III sesión abierta 2010 - 1ª parte
III sesión abierta 2010 - 1ª parteIII sesión abierta 2010 - 1ª parte
III sesión abierta 2010 - 1ª partedataconsulting
 
Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...
Adigital
 
Esteban guerrero montoya
Esteban guerrero montoyaEsteban guerrero montoya
Esteban guerrero montoya
EstebanGuerreroMonto
 
Tema 3
Tema 3Tema 3
Tema 3
ManuelPicnGonzlez
 
Ley de protección datos: Un enfoque Práctico
Ley de protección datos: Un enfoque PrácticoLey de protección datos: Un enfoque Práctico
Ley de protección datos: Un enfoque Práctico
Carlos Luis Sánchez Bocanegra
 
ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...
ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...
ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...
Javier Alvarez Hernando
 
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Adigital
 
Tratamiento de datos y relaciones laborales
Tratamiento de datos y relaciones laboralesTratamiento de datos y relaciones laborales
Tratamiento de datos y relaciones laborales
Adigital
 
Ley de protección de datos
Ley de protección de datosLey de protección de datos
Ley de protección de datosTrabajoRRHH
 
Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...
Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...
Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...
Arsys
 
Jose manueljimenezlopez
Jose manueljimenezlopezJose manueljimenezlopez
Jose manueljimenezlopez
JoseManuelJimenezLop1
 
Ley 1581 base de datos
Ley 1581 base de datosLey 1581 base de datos
Ley 1581 base de datos
julan gonzalez
 
Curso basico sobre el reglamento general de proteccion de datos modulo 1
Curso basico sobre el reglamento general de proteccion de datos modulo 1Curso basico sobre el reglamento general de proteccion de datos modulo 1
Curso basico sobre el reglamento general de proteccion de datos modulo 1
AmparoTrillo
 

Similar a Curso presentacion formativa_RGPD_v1.0 (20)

Ley De Proteccion De Datos
Ley De Proteccion De DatosLey De Proteccion De Datos
Ley De Proteccion De Datos
 
Manual de Lopd (Ley Orgánica de Protección de Datos)
Manual de Lopd (Ley Orgánica de Protección de Datos)Manual de Lopd (Ley Orgánica de Protección de Datos)
Manual de Lopd (Ley Orgánica de Protección de Datos)
 
Caso practico-clase-7-und-3
Caso practico-clase-7-und-3Caso practico-clase-7-und-3
Caso practico-clase-7-und-3
 
Caso practico-clase-7-und-3
Caso practico-clase-7-und-3Caso practico-clase-7-und-3
Caso practico-clase-7-und-3
 
Privacidad, salud y transformación digital los retos del Big Data y la invest...
Privacidad, salud y transformación digital los retos del Big Data y la invest...Privacidad, salud y transformación digital los retos del Big Data y la invest...
Privacidad, salud y transformación digital los retos del Big Data y la invest...
 
Comparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales NovedadesComparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales Novedades
 
Los derechos de privacidad y de información
Los derechos de privacidad y de informaciónLos derechos de privacidad y de información
Los derechos de privacidad y de información
 
III sesión abierta 2010 - 1ª parte
III sesión abierta 2010 - 1ª parteIII sesión abierta 2010 - 1ª parte
III sesión abierta 2010 - 1ª parte
 
Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...
 
Esteban guerrero montoya
Esteban guerrero montoyaEsteban guerrero montoya
Esteban guerrero montoya
 
Tema 3
Tema 3Tema 3
Tema 3
 
Ley de protección datos: Un enfoque Práctico
Ley de protección datos: Un enfoque PrácticoLey de protección datos: Un enfoque Práctico
Ley de protección datos: Un enfoque Práctico
 
ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...
ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...
ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...
 
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
 
Tratamiento de datos y relaciones laborales
Tratamiento de datos y relaciones laboralesTratamiento de datos y relaciones laborales
Tratamiento de datos y relaciones laborales
 
Ley de protección de datos
Ley de protección de datosLey de protección de datos
Ley de protección de datos
 
Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...
Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...
Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...
 
Jose manueljimenezlopez
Jose manueljimenezlopezJose manueljimenezlopez
Jose manueljimenezlopez
 
Ley 1581 base de datos
Ley 1581 base de datosLey 1581 base de datos
Ley 1581 base de datos
 
Curso basico sobre el reglamento general de proteccion de datos modulo 1
Curso basico sobre el reglamento general de proteccion de datos modulo 1Curso basico sobre el reglamento general de proteccion de datos modulo 1
Curso basico sobre el reglamento general de proteccion de datos modulo 1
 

Curso presentacion formativa_RGPD_v1.0

  • 1. www.panel.es Panel Sistemas Informáticos, S.L. Creación inteligente de software y servicios TI El Reglamento Europeo de Protección de Datos 20/10/2021 REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)
  • 2. Entrada en vigor el 25 de mayo de 2016 Aplicación obligatoria a partir de mayo de 2018 Necesidad de adaptar las operaciones iniciadas antes de mayo de 2018 PANEL Aplicado desde el 2018 2016 - 2018 Periodo de Transición
  • 3. 3 ▪ Licitud del tratamiento: bases de legitimación ▪ Transparencia de las operaciones del tratamiento: cumplimiento del deber de informar ▪ Nuevos derechos de los interesados ▪ Seguridad de los datos: responsabilidad proactiva (accountability), privacidad desde el diseño y por defecto (Privacy by desing and by default) ▪ Obligaciones materiales: RAT, Política de protección de datos, DPO, evaluación de impacto. ▪ Relaciones contractuales: encargo del tratamiento ▪ Transferencias internacionales ▪ Régimen sancionador Principales Novedades con respecto a la LOPD
  • 4. 4 Concepto de Dato Personal ART. 4.1 Toda información sobre una persona física: ▪ Identificada: directamente ▪ Identificable: directa o indirectamente “toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea (…)”
  • 5. 5 Responsable vs Encargado del Tratamiento RESPONSABLE DEL TRATAMIENTO: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento ENCARGADO DEL TRATAMIENTO: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento, bajo sus directrices en cuanto a los fines y los medios del tratamiento de los datos. EJEMPLO: la empresa X es Responsable del tratamiento de los datos de sus empleados, en tanto recaba los datos en su propio nombre y decide sobre la modalidad del tratamiento de los mismos; la gestoría Y que X tiene contratada para la gestión de nóminas de sus empleados, es encargada del tratamiento en tato tiene acceso a esos datos para prestar el servicio contratado.
  • 6. 6 ART. 6-10 El tratamiento de datos de carácter personal deberá estar legitimado por alguna de las siguientes bases: ▪ CONSENTIMIENTO del interesado para fines específicos ▪ El tratamiento es necesario: ▪ Para la ejecución de un contrato o medidas precontractuales ▪ Cumplimiento de una obligación legal ▪ Para proteger intereses vitales (interesado o tercero) ▪ Para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos ▪ Para la satisfacción del interés legítimo Licitud del Tratamiento
  • 7. 7 Consentimiento EXPRESO E INEQUÍVOCO mediante una manifestación del interesado o una clara acción afirmativa (excluye tácito o por omisión) EXPLÍCITO: datos sensibles, adopción de decisiones automatizadas y transferencias internacionales LIBRE E INFORMADO DEMOSTRABLE: el responsable debe poder demostrar que lo obtuvo REVOCABLE: deberá ser tan fácil retirar el consentimiento como darlo
  • 8. 8 Transparencia: Cumplimiento del Deber de Informar ART. 13-1 El Responsable del tratamiento de los datos, ha de proporcionar al interesado antes de proceder al tratamiento de sus datos INFORMACIÓN Concisa Transparente Inteligible De fácil acceso Con un lenguaje claro y sencillo Por escrito, verbalmente o por otros medios
  • 9. 9 LOPD Derechos ARCO RGPD 1. Acceso 2. Rectificación 3. Cancelación 4. Oposición 1. Acceso 2. Rectificación 3. Supresión o derecho al olvido 4. Oposición 5. Limitación al tratamiento 6. Portabilidad Derechos de los Interesados
  • 10. 10 ACCONUNTABILITY PRIVACY BY DESING El Responsable deberá aplicar medidas técnicas y organizativas que considere apropiadas para garantizar y demostrar que el tratamiento que realiza es conforme con el RGPD, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos para los derechos y libertades de las personas físicas. Principio que supone la necesidad de aplicar desde la fase inicial de planificación, las medidas necesarias que garanticen la seguridad de la información. Seguridad de los Datos PRIVACY BY DEFAULT Implica ofrecer garantías de privacidad por defecto: ▪ Minimización de los datos ▪ Control de accesos ▪ Plazos de conservación definidos ▪ Transparencia
  • 11. 11 Gestión de Incidencias ART. 33-34 Obligación de notificar a la autoridad de control las violaciones de seguridad: ▪ En caso de producirse una violación de la seguridad de los datos, esta debe notificarse si la violación de la seguridad constituye un riesgo para los derechos y libertades de las personas afectadas. ▪ “Sin dilación indebida”, máximo 72 horas a partir de que tenga constancia. ▪ Si la detecta el encargado de tratamiento debe notificarlo al responsable del tratamiento “sin dilación indebida” en el plazo establecido en el contrato de encargo del tratamiento.
  • 12. 12 ¿CUÁNDO? ¿CÓMO? A) >250 empleados (siempre) B) < 250 empleados: 1. Si entraña riesgo para los derechos y libertades 2. Si el tratamiento no es ocasional 3. Si se tratan categorías especiales de datos (art.9.1) 4. Si se tratan datos relativos a condenas o infracciones penales (art. 10) A partir de los ficheros ya registrados (detallando las operaciones) ▪ En torno a operaciones de tratamiento concretas que tienen una finalidad común ▪ Podrá organizarse en torno a conjuntos estructurados de datos ▪ Por “escrito”, lo que obviamente incluye el formato electrónico Registro de Actividades del Tratamiento (RAT) UTILIDAD Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.” Obligación material del responsable que sustituye la obligación de la LOPD 15/1999 de notificar ficheros jurídicos a la AEPD
  • 13. 13 Contenido Mínimo del RAT (art. 30)
  • 14. 14 Delegado de Protección de Datos ART. 37-39 ▪ Designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos. ▪ Podrá ser interno (de la plantilla del Responsable del tratamiento) o externo (mediante contrato de prestación de servicios) ▪ Notificación: el Responsable deberá publicar los datos de contacto del DPO externa e internamente, así como comunicar los datos de contacto a la APD la identidad del DPD ▪ Infracciones por parte del Responsable: serán hechos constitutivos de infracción la no designación de DPO en caso de obligación, impedir o interferir en sus funciones, y no comunicar los datos de contacto.
  • 15. 15 Respecto de RT y ET, asesorar, informar y supervisar Respecto de la autoridad de control ▪ En relación a las obligaciones previstas en el RGPD y otras disposiciones ▪ En relación al cumplimiento ▪ En relación a las Evaluaciones de Impacto ▪ Cooperar ▪ Servir de punto de contacto Funciones del DPO Respecto de las personas afectadas: ▪ Atender ejercicio de derechos y cuestiones relacionadas con el tratamiento de los datos
  • 16. 16 Evaluación de Impacto ART. 35 Definición: PIA (Privacy Impact Assessment) : proceso mediante el cual se evalúan cuestiones relacionadas con el tratamiento de datos de carácter personal, con la finalidad de controlar el impacto negativo que, sobre la privacidad de les persones afectadas, puedan tener las operaciones de tratamiento. Régimen jurídico: “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas” Casos previstos: El RGPD no establece una lista exhaustiva: ▪ evaluación “sistemática y exhaustiva” de aspectos personales relativos a personas físicas ▪ tratamiento a gran escala de las denominadas categorías especiales de datos ▪ observación sistemática a gran escala de áreas de acceso público Autoridades de control: deberán determinar y publicar, la lista de los tipos de operaciones de tratamiento que estarán sujetas a la exigencia de PIA; podrán establecer y publicar la lista de los tipos de operaciones de tratamiento que no requerirán PIA. Con carácter general habrá que llevar a cabo una PIA si es probable que el tratamiento suponga un alto riesgo para los derechos y libertades de las personas, especialmente si se utilizan nuevas tecnologías, o si las operaciones de tratamiento por su naturaleza, alcance, contexto o finalidades generan alto riesgo
  • 17. 17 Transferencias Internacionales ▪ Se mantienen los criterios ya establecidos en la Directiva 95/46 ▪ El exportador de datos puede ser tanto un responsable del tratamiento, como un encargado ▪ Se amplían los mecanismos para aportar garantías adecuadas ▪ Códigos de conducta ▪ Certificaciones, sellos y marcas como mecanismos para ofrecer garantías adecuadas ▪ Normas corporativas vinculantes (se reconocen) ▪ Se reducen los supuestos en que se precisa de autorización expresa de la autoridad de control
  • 18. 18 Régimen Sancionador ▪ Multas administrativas: efectivas, proporcionadas y disuasorias. Los responsables del tratamiento podrían ser multados con hasta 20 millones de euros o el 4 % de su volumen de negocios total anual. ▪ Medidas adicionales o sustitutorias de los “poderes correctivos” ▪ Advertencia (infracción potencial) ▪ Apercibimiento ▪ Atender ejercicio de derechos ▪ Adecuar los tratamientos ▪ Criterios para decidir la imposición, atendiendo a cada caso individual ▪ Cada Estado podrá decidir si impone multas administrativas al sector público ▪ Posibilidad de adopción de otras sanciones por parte de los Estados
  • 19. 19 Más información en: www.panel.es panel@panel.es c/ Condesa de Venadito nº 5, 1ª planta 28027 Madrid – España Tel.: +34 91 405 78 78 c/ Toledo, nº8 13004 Ciudad Real – España Tel.: +34 92 627 15 39 c/ Alférez Provisional, nº 2 24001 León – España Tel.: +34 987 87 60 56 www.panel.es panel@panel.es Panel Sistemas Informáticos, S.L. Creación inteligente de software, sistemas y servicios TI