Este documento resume los principales aspectos del Reglamento General de Protección de Datos de la UE, incluyendo las bases de legitimación para el tratamiento de datos personales, los nuevos derechos de los interesados, las obligaciones de seguridad y transparencia para los responsables de tratamiento, y el régimen sancionador por incumplimiento. El período de transición finalizó en mayo de 2018, momento a partir del cual el RGPD se aplica de manera obligatoria en toda la UE.
Novedades y aspectos relevantes del nuevo Reglamento de Protección de Datos (...JDA SFAI
Presentación sobre las novedades y aspectos relevantes del nuevo Reglamento General de Protección de Datos (RGPD) que entrará en vigor el próximo 25 de mayo.
Seminario AGM y Novicell - Protección de datosAGM Abogados
En este seminario que hemos realizado junto a Novicell explicamos desde el punto de vista legal, los nuevos cambios y aplicaciones de la Ley de protección de datos, mientras nuestro colaborador lo ha explicado desde el punto de vista técnico.
Presentación de Écija para la tercera sesión del Curso Legal Compliance en Digital Business de Adigital celebrada el pasado 23 de noviembre de 2016 en Madrid.
Novedades y aspectos relevantes del nuevo Reglamento de Protección de Datos (...JDA SFAI
Presentación sobre las novedades y aspectos relevantes del nuevo Reglamento General de Protección de Datos (RGPD) que entrará en vigor el próximo 25 de mayo.
Seminario AGM y Novicell - Protección de datosAGM Abogados
En este seminario que hemos realizado junto a Novicell explicamos desde el punto de vista legal, los nuevos cambios y aplicaciones de la Ley de protección de datos, mientras nuestro colaborador lo ha explicado desde el punto de vista técnico.
Presentación de Écija para la tercera sesión del Curso Legal Compliance en Digital Business de Adigital celebrada el pasado 23 de noviembre de 2016 en Madrid.
Ricardo Martínez, profesor del Departamento de Derecho Constitucional, Ciencia Política y de la Administración. Director de la Cátedra de Privacidad y Transformación Digital, Universidad de Valencia
Los derechos de privacidad y de informaciónAndresamv2015
Presentamos los aspectos mas importantes a tener en cuenta en lo que se refiere a temas de privacidad de la información, medidas y responsabilidad para tener en cuenta como titular.
Disposiciones generales, principios, transferencias internacionales de datos ...Adigital
Presentación de Rafael García Gozalo, Jefe del Departamento Internacional de la AEPD, para la jornada #AdigitalDatos celebrada el 13 de marzo de 2017 en Madrid.
ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...Javier Alvarez Hernando
Ponente: JAVIER ALVAREZ HERNANDO
Taller: VISION PRACTICA PARA LA EMPRESA: NOVEDADES EN PROTECCION DE DATOS Y COMPLIANCE.
ORGANIZA: THOMSON REUTERS
LUGAR: ASOCIACION DE LA PRENSA DE MADRID.
FECHA: 22/09/2017
BREVE REFERENCIA AL CONTENIDO:
Novedades del Reglamento General de Protección de Datos, de aplicación a partir de Mayo de 2018. El Reglamento establece un cambio de paradigma en materia de protección de datos. Propone un modelo basado en criterios como, la responsabilidad activa, flexibilidad, la importancia del contexto y la cooperación, dirigido tanto a entidades públicas, privadas, autoridades de protección de datos.
En la presentación se analizan las novedades más importantes, a juicio del ponente, que ofrece la nueva regulación sobre privacidad.
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...Adigital
Presentación de Miliners para la tercera sesión del Curso Legal Compliance en Digital Business de Adigital celebrada el pasado 15 de noviembre de 2016 de Barcelona.
Tratamiento de datos y relaciones laboralesAdigital
Presentación de Miliners para la tercera sesión del Curso Legal Compliance en Digital Business de Adigital celebrada el pasado 23 de noviembre de 2016 en Madrid.
Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...Arsys
El Delegado de Protección de datos se convierte en una
figura clave en una empresa de cierto tamaño. Explicamos todo acerca de él, su regulación en el RGPD, qué empresa está obligada a tener este Delegado o quién es el responsable de los datos.
Ricardo Martínez, profesor del Departamento de Derecho Constitucional, Ciencia Política y de la Administración. Director de la Cátedra de Privacidad y Transformación Digital, Universidad de Valencia
Los derechos de privacidad y de informaciónAndresamv2015
Presentamos los aspectos mas importantes a tener en cuenta en lo que se refiere a temas de privacidad de la información, medidas y responsabilidad para tener en cuenta como titular.
Disposiciones generales, principios, transferencias internacionales de datos ...Adigital
Presentación de Rafael García Gozalo, Jefe del Departamento Internacional de la AEPD, para la jornada #AdigitalDatos celebrada el 13 de marzo de 2017 en Madrid.
ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...Javier Alvarez Hernando
Ponente: JAVIER ALVAREZ HERNANDO
Taller: VISION PRACTICA PARA LA EMPRESA: NOVEDADES EN PROTECCION DE DATOS Y COMPLIANCE.
ORGANIZA: THOMSON REUTERS
LUGAR: ASOCIACION DE LA PRENSA DE MADRID.
FECHA: 22/09/2017
BREVE REFERENCIA AL CONTENIDO:
Novedades del Reglamento General de Protección de Datos, de aplicación a partir de Mayo de 2018. El Reglamento establece un cambio de paradigma en materia de protección de datos. Propone un modelo basado en criterios como, la responsabilidad activa, flexibilidad, la importancia del contexto y la cooperación, dirigido tanto a entidades públicas, privadas, autoridades de protección de datos.
En la presentación se analizan las novedades más importantes, a juicio del ponente, que ofrece la nueva regulación sobre privacidad.
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...Adigital
Presentación de Miliners para la tercera sesión del Curso Legal Compliance en Digital Business de Adigital celebrada el pasado 15 de noviembre de 2016 de Barcelona.
Tratamiento de datos y relaciones laboralesAdigital
Presentación de Miliners para la tercera sesión del Curso Legal Compliance en Digital Business de Adigital celebrada el pasado 23 de noviembre de 2016 en Madrid.
Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...Arsys
El Delegado de Protección de datos se convierte en una
figura clave en una empresa de cierto tamaño. Explicamos todo acerca de él, su regulación en el RGPD, qué empresa está obligada a tener este Delegado o quién es el responsable de los datos.
Curso basico sobre el reglamento general de proteccion de datos modulo 1
Curso presentacion formativa_RGPD_v1.0
1. www.panel.es
Panel Sistemas Informáticos, S.L.
Creación inteligente de software y servicios TI
El Reglamento Europeo de
Protección de Datos
20/10/2021
REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de
abril de 2016 relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos (RGPD)
2. Entrada en
vigor el 25
de mayo de
2016
Aplicación
obligatoria a
partir de
mayo de
2018
Necesidad de
adaptar las
operaciones
iniciadas antes
de mayo de
2018
PANEL
Aplicado
desde el
2018
2016 - 2018 Periodo de Transición
3. 3
▪ Licitud del tratamiento: bases de legitimación
▪ Transparencia de las operaciones del tratamiento: cumplimiento del deber de informar
▪ Nuevos derechos de los interesados
▪ Seguridad de los datos: responsabilidad proactiva (accountability), privacidad desde el
diseño y por defecto (Privacy by desing and by default)
▪ Obligaciones materiales: RAT, Política de protección de datos, DPO, evaluación de
impacto.
▪ Relaciones contractuales: encargo del tratamiento
▪ Transferencias internacionales
▪ Régimen sancionador
Principales Novedades con respecto a la LOPD
4. 4
Concepto de Dato Personal
ART. 4.1
Toda información sobre una persona física:
▪ Identificada: directamente
▪ Identificable: directa o indirectamente
“toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador,
como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea (…)”
5. 5
Responsable vs Encargado del Tratamiento
RESPONSABLE DEL TRATAMIENTO: la persona física o jurídica, autoridad pública, servicio u otro organismo
que, solo o junto con otros, determine los fines y medios del tratamiento
ENCARGADO DEL TRATAMIENTO: la persona física o jurídica, autoridad pública, servicio u otro organismo que
trate datos personales por cuenta del responsable del tratamiento, bajo sus directrices en cuanto a los fines y los
medios del tratamiento de los datos.
EJEMPLO: la empresa X es Responsable del tratamiento de los datos de sus empleados, en tanto recaba los
datos en su propio nombre y decide sobre la modalidad del tratamiento de los mismos; la gestoría Y que X tiene
contratada para la gestión de nóminas de sus empleados, es encargada del tratamiento en tato tiene acceso a
esos datos para prestar el servicio contratado.
6. 6
ART. 6-10
El tratamiento de datos de carácter personal deberá estar legitimado por alguna de las
siguientes bases:
▪ CONSENTIMIENTO del interesado para fines específicos
▪ El tratamiento es necesario:
▪ Para la ejecución de un contrato o medidas precontractuales
▪ Cumplimiento de una obligación legal
▪ Para proteger intereses vitales (interesado o tercero)
▪ Para el cumplimiento de una misión de interés público o en el ejercicio de poderes
públicos
▪ Para la satisfacción del interés legítimo
Licitud del Tratamiento
7. 7
Consentimiento
EXPRESO E INEQUÍVOCO mediante una manifestación del interesado o una clara acción
afirmativa (excluye tácito o por omisión)
EXPLÍCITO: datos sensibles, adopción de decisiones automatizadas y transferencias
internacionales
LIBRE E INFORMADO
DEMOSTRABLE: el responsable debe poder demostrar que lo obtuvo
REVOCABLE: deberá ser tan fácil retirar el consentimiento como darlo
8. 8
Transparencia: Cumplimiento del Deber
de Informar
ART. 13-1
El Responsable del tratamiento
de los datos, ha de proporcionar
al interesado antes de proceder al tratamiento de sus datos
INFORMACIÓN
Concisa
Transparente
Inteligible
De fácil acceso
Con un lenguaje claro y sencillo
Por escrito, verbalmente o por otros medios
9. 9
LOPD
Derechos
ARCO
RGPD
1. Acceso
2. Rectificación
3. Cancelación
4. Oposición
1. Acceso
2. Rectificación
3. Supresión o derecho al olvido
4. Oposición
5. Limitación al tratamiento
6. Portabilidad
Derechos de los Interesados
10. 10
ACCONUNTABILITY PRIVACY BY DESING
El Responsable deberá aplicar
medidas técnicas y organizativas
que considere apropiadas para
garantizar y demostrar que el
tratamiento que realiza es
conforme con el RGPD, teniendo
en cuenta la naturaleza, el
ámbito, el contexto y los fines del
tratamiento así como los riesgos
para los derechos y libertades de
las personas físicas.
Principio que supone la
necesidad de aplicar desde la
fase inicial de planificación, las
medidas necesarias que
garanticen la seguridad de la
información.
Seguridad de los Datos
PRIVACY BY DEFAULT
Implica ofrecer garantías de
privacidad por defecto:
▪ Minimización de los datos
▪ Control de accesos
▪ Plazos de conservación
definidos
▪ Transparencia
11. 11
Gestión de Incidencias
ART. 33-34
Obligación de notificar a la autoridad de control las violaciones de seguridad:
▪ En caso de producirse una violación de la seguridad de los datos, esta debe notificarse si la violación
de la seguridad constituye un riesgo para los derechos y libertades de las personas afectadas.
▪ “Sin dilación indebida”, máximo 72 horas a partir de que tenga constancia.
▪ Si la detecta el encargado de tratamiento debe notificarlo al responsable del tratamiento “sin dilación
indebida” en el plazo establecido en el contrato de encargo del tratamiento.
12. 12
¿CUÁNDO? ¿CÓMO?
A) >250 empleados (siempre)
B) < 250 empleados:
1. Si entraña riesgo para los
derechos y libertades
2. Si el tratamiento no es
ocasional
3. Si se tratan categorías
especiales de datos (art.9.1)
4. Si se tratan datos relativos a
condenas o infracciones
penales (art. 10)
A partir de los ficheros ya
registrados (detallando las
operaciones)
▪ En torno a operaciones de
tratamiento concretas que
tienen una finalidad común
▪ Podrá organizarse en torno a
conjuntos estructurados de
datos
▪ Por “escrito”, lo que
obviamente incluye el
formato electrónico
Registro de Actividades del Tratamiento (RAT)
UTILIDAD
Para demostrar la conformidad
con el presente Reglamento, el
responsable o el encargado del
tratamiento debe mantener
registros de las actividades de
tratamiento bajo su
responsabilidad. Todos los
responsables y encargados están
obligados a cooperar con la
autoridad de control y a poner a
su disposición, previa solicitud,
dichos registros, de modo que
puedan servir para supervisar las
operaciones de tratamiento.”
Obligación material del responsable que sustituye la obligación de la LOPD
15/1999 de notificar ficheros jurídicos a la AEPD
14. 14
Delegado de Protección de Datos
ART. 37-39
▪ Designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos
especializados del Derecho y la práctica en materia de protección de datos.
▪ Podrá ser interno (de la plantilla del Responsable del tratamiento) o externo (mediante contrato
de prestación de servicios)
▪ Notificación: el Responsable deberá publicar los datos de contacto del DPO externa e
internamente, así como comunicar los datos de contacto a la APD la identidad del DPD
▪ Infracciones por parte del Responsable: serán hechos constitutivos de infracción la no
designación de DPO en caso de obligación, impedir o interferir en sus funciones, y no comunicar
los datos de contacto.
15. 15
Respecto de RT y ET,
asesorar, informar y
supervisar
Respecto de la
autoridad de control
▪ En relación a las obligaciones
previstas en el RGPD y otras
disposiciones
▪ En relación al cumplimiento
▪ En relación a las Evaluaciones
de Impacto
▪ Cooperar
▪ Servir de punto de contacto
Funciones del DPO
Respecto de las
personas afectadas:
▪ Atender ejercicio de
derechos y cuestiones
relacionadas con el
tratamiento de los datos
16. 16
Evaluación de Impacto
ART. 35
Definición: PIA (Privacy Impact Assessment) : proceso mediante el cual se evalúan cuestiones
relacionadas con el tratamiento de datos de carácter personal, con la finalidad de controlar el impacto
negativo que, sobre la privacidad de les persones afectadas, puedan tener las operaciones de
tratamiento.
Régimen jurídico: “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas
tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y
libertades de las personas físicas”
Casos previstos: El RGPD no establece una lista exhaustiva:
▪ evaluación “sistemática y exhaustiva” de aspectos personales relativos a personas físicas
▪ tratamiento a gran escala de las denominadas categorías especiales de datos
▪ observación sistemática a gran escala de áreas de acceso público
Autoridades de control: deberán determinar y publicar, la lista de los tipos de operaciones de
tratamiento que estarán sujetas a la exigencia de PIA; podrán establecer y publicar la lista de los tipos de
operaciones de tratamiento que no requerirán PIA.
Con carácter general habrá que llevar a cabo una PIA si es probable que el tratamiento suponga un alto riesgo para los
derechos y libertades de las personas, especialmente si se utilizan nuevas tecnologías, o si las operaciones de tratamiento
por su naturaleza, alcance, contexto o finalidades generan alto riesgo
17. 17
Transferencias Internacionales
▪ Se mantienen los criterios ya establecidos en la Directiva 95/46
▪ El exportador de datos puede ser tanto un responsable del tratamiento, como un encargado
▪ Se amplían los mecanismos para aportar garantías adecuadas
▪ Códigos de conducta
▪ Certificaciones, sellos y marcas como mecanismos para ofrecer garantías adecuadas
▪ Normas corporativas vinculantes (se reconocen)
▪ Se reducen los supuestos en que se precisa de autorización expresa de la autoridad de control
18. 18
Régimen Sancionador
▪ Multas administrativas: efectivas, proporcionadas y disuasorias. Los responsables del tratamiento
podrían ser multados con hasta 20 millones de euros o el 4 % de su volumen de negocios total anual.
▪ Medidas adicionales o sustitutorias de los “poderes correctivos”
▪ Advertencia (infracción potencial)
▪ Apercibimiento
▪ Atender ejercicio de derechos
▪ Adecuar los tratamientos
▪ Criterios para decidir la imposición, atendiendo a cada caso individual
▪ Cada Estado podrá decidir si impone multas administrativas al sector público
▪ Posibilidad de adopción de otras sanciones por parte de los Estados
19. 19
Más información en:
www.panel.es
panel@panel.es
c/ Condesa de Venadito nº 5, 1ª planta
28027 Madrid – España
Tel.: +34 91 405 78 78
c/ Toledo, nº8
13004 Ciudad Real – España
Tel.: +34 92 627 15 39
c/ Alférez Provisional, nº 2
24001 León – España
Tel.: +34 987 87 60 56
www.panel.es
panel@panel.es
Panel Sistemas Informáticos, S.L.
Creación inteligente de software,
sistemas y servicios TI