SlideShare una empresa de Scribd logo
1
ADIGITAL Implicaciones del nuevo RGPD para
las agencias digitales
Implicaciones nuevo RGPD AD
El Reglamento General de Protección de Datos
• Aplicable a partir 25 mayo 2018. Nueva ley que sustituya a LOPD.
• Sustituye a Directiva 95/46/CE, desarrollada LOPD.
• Modifica
• la forma de obtener el consentimiento
• la obligación de información, etc.
• Introduce nuevos conceptos y principios
• Evaluaciones de riesgo
• Delegado protección de datos
• Notificaciones incidentes de seguridad
• Derechos nuevos como el derecho de portabilidad….
• Promueve la autoregulación códigos de conducta, certificaciones, etc.
2
Implicaciones nuevo RGPD AD
Previos
• Dato
• Toda información sobre una persona identificada o identificable
• Es identificable cuando su identidad pueda determinarse, directa o
indirectamente, por ejemplo a través de número de identificación, dato de
localización, un identificador online, dato físicos, genéticos, psíquica,
económica, cultural o social;
• Ámbito material:
o Se aplica a todos los tratamientos de datos personales, salvo: …
 Realizados por personas físicas y por interés doméstico o personal.
• Ámbito territorial se aplica a todas las Agencias y a sus Clientes que
• Tengan establecimiento en la UE y
• Fuera de UE si dirigen bienes o servicios o monitoricen comportamiento de
ciudadanos de UE.
3
Implicaciones nuevo RGPD AD
• Elementos que permiten el tratamiento de datos:
o Consentimiento
o Ejecución de un contrato o aplicación de un precontrato
o Interés legítimo, cuando prevalezca sobre los intereses del interesado
o Cumplimiento de una obligación legal
o Intereses vitales del interesado o de un tercero
o Misión en interés público
• Todo tratamiento deberá tener una o varias finalidades específicas.
4
Legitimación de los tratamientos
Previos
Implicaciones nuevo RGPD AD
El consentimiento
• En los tratamientos basados en el consentimiento, éste debe ser libre,
específico, informado e inequívoco.
• El concepto inequívoco se interpreta como “declaración” o “clara acción
afirmativa”.
• Casilla sin marcar, botón de aceptación,
5
Previos
Implicaciones nuevo RGPD AD
El interés legítimo
• Requiere realizar “prueba de sopesamiento” entre interés y derechos
usuario
• El tratamiento realizado con fines de marketing directo puede
considerarse realizado en interés legítimo.
• Requiere informar al interesado de cual el interés legitimo
• Derecho de oposición
o El titular tiene derecho a oponerse en todo momento al tratamiento
incluida la elaboración de perfiles relacionado con marketing directo.
o Debe ofrecerse de forma explícita, clara y al margen de cualquier
6
Previos
Implicaciones nuevo RGPD AD
El interés legítimo
• GT Art 29
• Escenario 1: Publicidad para realizar ofertas de una cadena de pizzerías
• El tratamiento se puede basar en el interés legitimo
• Escenario 2: Publicidad realizada una cadena de supermercados a la que
pertenece la pizzería
• El tratamiento NO se puede basar en el interés legitimo, es necesario
el consentimiento
• Escenario 3: Uso de los datos sobre pedidos de comida para vender a la
empresa de seguros para adaptar las primas del seguro de enfermedad
7
Previos
Implicaciones nuevo RGPD AD
Tratamientos de datos obtenidos antes RGPD
• Es necesario revisar cual es “elemento” que legitimaba antes el
tratamiento y ver en cual es que puede hacerlo ahora
• el consentimiento tácito
• el consentimiento expreso
• la ejecución del contrato
• el interés legitimo
• Cumplimiento de una obligación legal…
8
Previos
Implicaciones nuevo RGPD AD
Email/SMS marketing
• Regla general: Consentimiento expreso es necesario obtener con
carácter previo la solicitud o autorización expresa del usuario
• Regla especial: Consentimiento tácito Salvo que no se haya opuesto
siempre y cuando se haya informado de que va a recibir publicidad del
mismo tipo o clase de productos a los que haya adquirido
• No es necesario identificar con palabra “publicidad” o “publi”
• Debe facilitarse un medio sencillo y gratuito para que el usuario pueda
oponerse al tratamiento de sus datos
• En el momento de recogida de los datos
• En cada comunicación
• Debe facilitarse una dirección electrónico o una dirección electrónica a
través de la cual ejercitar el derecho de oposición
9
Previos
Implicaciones nuevo RGPD AD
Tratamiento de datos de menores
• Edad mínima 16 años, pero permite a EEMM rebajarla hasta 13 años.
• Todavía se desconoce qué edad aplicará España. Actualmente son 14.
• Esta previsión especial se limita a servicios de la sociedad de la
información. En otros casos, se aplicaría la normativa nacional de derecho
civil general.
• La información debe ser adaptada a menores.
• No cabe el tratamiento en base al Interés legitimo
• Es necesario establecer “medios razonables” según tecnología disponible,
para verificar la intervención real de consentimiento tutores.
10
Previos
Implicaciones nuevo RGPD AD
Datos especialmente protegidos
• Son datos especialmente protegidos:
o Datos que revelen origen étnico o racial.
o Opiniones políticas.
o Convicciones religiosas o filosóficas.
o Afiliación sindical.
o Datos genéticos.
o Datos biométricos para la identificación.
o Datos relativos a la salud.
o Datos relativos a la vida sexual.
o Datos relativos a la orientación sexual.
11
Previos
Implicaciones nuevo RGPD AD
Datos especialmente protegidos
• El tratamiento de datos especialmente protegidos está prohibido, salvo
ciertas excepciones. Entre otras:
o Consentimiento explícito.
o Por determinadas obligaciones y ejercicio de determinados derechos.
o Interés vital del interesado o de un tercero.
o Organismos sin ánimo de lucro cuya finalidad sea política, filosófica,
religiosa o sindical, y respecto de sus miembros.
o Datos que el interesado hubiese hecho manifiestamente públicos.
o Fines de archivo en interés público, investigación científica o histórica o
fines estadísticos.
• En todo caso, el registro completo de antecedentes sólo puede ser
manejado bajo el control de poderes públicos.
12
Previos
Implicaciones nuevo RGPD AD
• La información debe proporcionarse de forma :
o Concisa, transparente, inteligente y en un lenguaje claro y sencillo.
o Puede facilitarse por vía electrónica.
o Debe tenerse en cuenta los destinatarios, especialmente si son niños.
o Puede entregarse por escrito u otros medios. Podrá entregarse
verbalmente a solicitud del interesado.
• La información debe proporcionarse en el momento oportuno. Con
carácter general:
o En el momento de la recogida de los datos.
o Antes del inicio de un tratamiento ulterior.
• Las AEPD sugiere una entrega por capas y en tablas.
13
Información
Previos
Implicaciones nuevo RGPD AD
• El RGPD establece un contenido mínimo para esta obligación:
o Identificar a la entidad, al contacto responsable y, en su caso, al DPO.
o Identificación de las finalidades y su base jurídica.
o Intereses legítimos del responsable o tercer, en su caso.
o Destinatarios o categorías de destinatarios.
o Transferencias internacionales, en su caso, y garantías existentes o medios para
obtenerlas o existencia o no de decisión de adecuación.
o Plazo de conservación o criterios para su determinación.
o Información relativa a los derechos del interesado.
o Derecho a retirar su consentimiento, en su caso.
o Derecho a reclamar ante la AEPD.
o Sobre la obligación de proporcionar la información y las consecuencias de no
hacerlo.
o Tratamientos ulteriores de los datos, si es posible.
14
Información
Previos
Implicaciones nuevo RGPD AD 15
Información
Previos
Implicaciones nuevo RGPD AD 16
Información
Previos
Implicaciones nuevo RGPD AD
Agencias como encargadas del tratamiento
17
Implicaciones nuevo RGPD AD
Agencias como encargadas del tratamiento
• La Agencia debe informar a los Clientes si, en su opinión, alguna de las
instrucciones recibidas por ellos es es contraria al RGPD.
• Los Clientes deben tener una especial diligencia a la hora de elegir Agencia.
• Códigos de conducta y certificaciones pueden servir para que las Agencias
demuestren el cumplimiento de la normativa.
• Se prevé la posibilidad de que los Clientes realicen auditorías a la Agencia.
18
Implicaciones nuevo RGPD AD
Agencias como encargadas del tratamiento
• AEPD ha publicado modelo de contrato.
• RGPD establece requisitos mínimos del contrato entre Cliente y Agencia
o Objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos
personales, categorías de interesados afectados, obligaciones y derechos
de la Agencia y del Cliente
o Compromiso de tratar los datos según instrucciones recibidas del Cliente
o Compromiso de confidencialidad
o Obligación de borrar o devolver los datos al final de la prestación
o Medidas de seguridad técnicas y organizativas
o Régimen de subcontratación (posibilidad de autorización previa general o
específica)
o Régimen de respuesta o asistencia al ejercicio de derechos
o Compromiso de asistencia al Cliente en determinadas obligaciones
19
Implicaciones nuevo RGPD AD
Agencias como encargadas del tratamiento
• Subcontrataciones de servicios
• Software para gestión de bbdd, para envió de mailing, para realizar
acciones de retargeting, para gestión de redes sociales, chats, para gestión
de cookies, para captación de datos a través de formularios, para gestión
de callcenter, para gestión de publicidad programática, etc.
• El Cliente debe conocer y autorizar por escrito, previamente a la realización
de tratamiento, la identidad de los subencargados de forma que pueda
oponerse
• Requisitos del contrato entre Agencia y subencargado
• Debe tener el mismo contenido que el contrato entre Cliente y Agencia
• Garantías técnicas y organizativas para que el tratamiento sea
adecuado
• Si el subencargado incumple obligaciones la Agencia es responsable ante el
Cliente
20
Implicaciones nuevo RGPD AD
Agencias como encargadas del tratamiento
• Servicios Cloud
21
Implicaciones nuevo RGPD AD
Agencias como encargadas del tratamiento
• ¿Qué hay que hacer para contratar servicios de encargado de tratamiento
cloud ?
• Evaluar los tratamientos y el nivel de protección de datos ofrecido.
• Analizar beneficios y potenciales riesgos que se asumen.
• Comparar las características ofrecidas por varios proveedores.
• Verificar las condiciones en que se presta el servicio a través de un
checklist sobre
• la información proporcionada,
• ubicación del tratamiento,
• existencia de subencargados,
• políticas de seguridad,
• derechos del usuario y
• obligaciones legales del proveedor.
22
Implicaciones nuevo RGPD AD
Agencias como encargadas del tratamiento
• ¿Qué hay que hacer para contratar servicios cloud ?
• Portabilidad de datos
• Comprobar existencia de procedimientos de portabilidad si cambia
proveedor
• Terceras empresas
• Solicitar y obtener información sobre si intervienen o no terceras
empresas
• Si intervienen deben conocer las terceras empresas (p. ej. una página
web) o al menos deben estar delimitados genéricamente los servicios
en los que participarán (p. ej. en el alojamiento de datos).
• Localización de datos
• Comprobar si se indica donde se tratan los datos. Si es en un país que
ofrece un nivel de protección equivalente o si se trata empresas
ubicadas en los EEUU estén adheridas a Privacy Shield
23
Implicaciones nuevo RGPD AD
Agencias como encargadas del tratamiento
• ¿Qué hay que hacer para contratar servicios cloud ?
• Medidas de seguridad
• Comprobar medidas de seguridad para: garantizar la integridad de
los datos, evitar accesos no autorizados, recuperar la información en
caso de que se produzcan incidencias de seguridad, registros de acceso
a los datos de los que es responsable.
• Comprobar si dispone de una certificación de seguridad adecuada o
realización de auditoria de las medidas de seguridad
• El cifrado de los datos es una medida que se valora positivamente.
• Incidencias de seguridad
• Existencia de un canal de comunicación sobre las incidencias y de
medidas adoptadas para resolverlas o a adoptar para evitar los daños
que puedan producirse (p. ej. informar a usuarios sobre cómo proteger
su información personal).
24
Implicaciones nuevo RGPD AD
Agencias como encargadas del tratamiento
• ¿Qué hay que hacer para contratar servicios cloud ?
• Confidencialidad
• Comprobar si compromete a garantizar la confidencialidad utilizando
los datos sólo para los servicios contratados.
• Comprobar si se compromete a dar instrucciones a su personal para
que mantenga la confidencialidad.
25
Implicaciones nuevo RGPD AD
Transferencias internacionales
• Con autorización AEPD solicitada por la empresa exportadora
• Sin autorización de AEPD cuando
• La empresa importadora este situada en países
• De la Unión Europea o EEE (Islandia, Liechtenstein y Noruega) *
• O que la Comisión Europea ha declarado que tienen un nivel de
protección equivalente: Suiza, Canadá, Argentina, Guernsey, Isla de
Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda
Estados Unidos. (solo empresas certificadas en Privacy Shield)
• La empresa exportadora e importadora estén vinculadas a través de
• normas corporativas vinculantes debidamente aprobadas
• clausulas tipo adoptadas por la Comisión Europea
• clausulas tipo adoptadas por AEPD y aprobadas por Comisión
Europea
26
Implicaciones nuevo RGPD AD
Transferencias internacionales
• Sin autorización de AEPD cuando
• Exista consentimiento explícito **
• Sea necesaria para ejecución de un contrato **
• Exista un interés público **
• Formulación, ejercicio o defensa de reclamaciones judiciales**
• Protección de los intereses vitales de personas **
• Se realice desde determinados registros públicos **
• Interés legitimo imperioso del exportador **
* Legalmente no se considera transferencia internacional
** Interpretación restrictiva ver opiniones GT29 1998 y 2005
27
Implicaciones nuevo RGPD AD
Agencias como encargadas del tratamiento
• El RGPD exige a las Agencias una serie de obligaciones mínimas:
o Adoptar las medidas de seguridad necesarias, de acuerdo con el estado
de la técnica, los costes y los riesgos de los tratamientos
o Colaborar con Cliente
o En la notificación de violaciones de seguridad a la APD y, en su caso, a
los interesados
o En la realización de evaluaciones de impacto, inspecciones y
auditorías
o Realización de consulta previa a la APD debido a los resultados de una
evaluación de impacto
28
Implicaciones nuevo RGPD AD
Nuevo régimen de responsabilidad para las Agencias
29
Implicaciones nuevo RGPD AD
Nuevo régimen de responsabilidad para las Agencias
• El RGPD introduce el concepto de responsabilidad proactiva.
• El RGPD no exige medidas concretas, ni técnicas ni organizativas.
• Es la Agencia quien debe definir qué medidas adopta teniendo en cuenta los
riesgos existentes.
• La Agencia debe poder demostrar que sus medidas son suficientes para
cumplir con las obligaciones del Reglamento.
30
Implicaciones nuevo RGPD AD
Nuevo régimen de responsabilidad para las Agencias
• Para demostrar el cumplimiento de normativa, la Agencia puede recurrir a
o La adhesión a códigos de conducta y obtención de certificaciones.
o Definición de los procesos de tratamiento.
o Disponer de procesos definidos para atender las solicitudes de los
interesados.
o Designar un delegado de protección de datos.
o Integrar la protección de datos desde el diseño de sus procesos.
o Implementar la privacidad por defecto.
o Realizar evaluaciones de impacto y análisis de riesgos.
o Realizar auditorías de seguridad y de protección de datos.
31
Implicaciones nuevo RGPD AD
Análisis de riesgo
• La Agencia deberá realizar análisis de nivel de riesgo de los tratamientos en
base a factores como:
o Daños personales o materiales que puede causar el tratamiento.
o Riesgos derivados del personal que realiza los tratamientos.
o Riesgos de acceso a datos por parte de personas no autorizadas.
o Tipos de datos tratados y personas afectadas.
o Los resultados de las evaluaciones de impacto (si se realizaron).
• El CEPD y las APDs podrán publicar guías y criterios para la valoración.
32
Nuevo régimen de responsabilidad para las Agencias
Implicaciones nuevo RGPD AD
• Check list para la realización de análisis de riesgo
• ¿Se tratan datos sensibles?
• ¿Se incluyen datos de una gran cantidad de personas?
• ¿Incluye el tratamiento la elaboración de perfiles?
• ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en
otras fuentes?
• ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo
de finalidades?
• ¿Se están tratando grandes cantidades de datos, incluido con técnicas de
análisis masivo tipo big data?
• ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las
relativas a geolocalización, videovigilancia a gran escala o IoT?
33
Análisis de riesgo
Nuevo régimen de responsabilidad para las Agencias
Implicaciones nuevo RGPD AD
Privacidad por defecto
• Solo se debe tratar los mínimos datos personales para cada uno de los fines de
los tratamientos. Esto es:
o Solicitar sólo los datos estrictamente necesarios para cada fin.
o Limitar lo máximo posible los tratamientos, por ejemplo, en el caso de una
red social, que el perfil esté por defecto en modo privado, limitando el
acceso de terceros.
o Conservar los datos el mínimo periodo de tiempo necesario
o ....
34
Nuevo régimen de responsabilidad para las Agencias
Implicaciones nuevo RGPD AD
Protección de datos desde el diseño
• Conjunto de medidas técnicas y organizativas a integrar desde el mismo
momento en que se empieza a diseñar el tratamiento. Por ejemplo:
o Aplicación de técnicas de pseudonimización que dificulten el uso de los
datos por parte de terceros no autorizados.
o Implantación del principio de minimización de datos para tratar cuantos
menos datos sea posible.
35
Nuevo régimen de responsabilidad para las Agencias
Implicaciones nuevo RGPD AD
Evaluaciones de impacto
• ¿ Qué es ? Es un análisis profundo de los tratamientos que se realizan para
determinar sus riesgos y efectos en las personas,
• El RGPD prevé un contenido mínimo, pero la Agencia puede ampliarlo
• Hay que recabar el asesoramiento del DPO y, si fuese posible, de los
interesados.
• Si el resultado revela un alto riesgo y la Agencia no pueda tomar medidas para
mitigarlo por no ser posible o ser demasiado costosas, deberá consultar a la
AEPD.
• La AEPD podrá asesorar a la empresa. También podrá prohibir el
tratamiento.
36
Nuevo régimen de responsabilidad para las Agencias
Implicaciones nuevo RGPD AD
Evaluaciones de impacto
• ¿ Cuando es obligatoria realizarla ?
o el tratamiento presente un alto riesgo para los usuarios
o se elaboren perfiles para la toma de decisiones con efectos jurídicos
o se realice un tratamiento a gran escala de categorías especiales de datos
o se observe a gran escala y sistemáticamente una zona de acceso público
o Las APD deberán establecer listas que ayuden a determinar si un tratamiento
es o no de riesgo. También podrán elaborar listas de tratamientos exentos
de evaluaciones de impacto.
37
Nuevo régimen de responsabilidad para las Agencias
Implicaciones nuevo RGPD AD
Evaluaciones de impacto
• Ejemplo de supuestos en los que es necesario realizar EIPD. Guía de AEPD
o Se enriquezca la información existente mediante la recogida de nuevas
categorías de datos Data Enrichment
o Tratamientos significativos no incidentales de datos de menores.
o Realización de perfiles para servir publicidad a través de la monitorización
y el análisis de la conducta de las personas (historiales de navegación y
actividades en internet, comunicaciones, movimientos, historiales de
lectura, compras, transacciones electrónicas, participación en foros, redes
sociales, blogs o cualquier otra actividad en línea).
o Tratamiento grandes volúmenes de datos a través de Big data, IoT, RFID,
Drones, la minería de datos, biometría, geolocalización,
o Se cedan datos personales a terceros
38
Nuevo régimen de responsabilidad para las Agencias
Implicaciones nuevo RGPD AD
Evaluaciones de impacto
• ¿ Qué contenido tiene una EIPD?
1. Análisis de necesidad. Valoración de la conveniencia de realizar EIPD
2. Descripción del proyecto y flujos de información. Obtención del detalle
de las categorías de datos, los usuarios, flujos de información y
tecnologías utilizadas.
3. Identificación de los riesgos Análisis de posibles riesgos para protección
de datos y valoración de la probabilidad de que sucedan y del daño que
causarían si se materializaran.
4. Gestión de riesgos identificados. Determinación de controles y medidas
que han de adoptarse para eliminar, mitigar, transferir o aceptar los
riesgos detectados.
39
Nuevo régimen de responsabilidad para las Agencias
Implicaciones nuevo RGPD AD
Evaluaciones de impacto
• ¿ Qué contenido tiene una EIPD?
6. Informe final Relación detallada de los riesgos identificados y de las
recomendaciones y propuestas para eliminarlos o mitigarlos.
7. Implantación de las recomendaciones. Decisión sobre
recomendaciones del informe final y las acciones que deben llevarse
a cabo.
8. Revisión y realimentación Análisis del resultado final para comprobar
la efectividad de la EIPD y verificar si se han creado nuevos riesgos o se
han detectado otros que habían pasado desapercibidos. Estos
resultados se utilizan para realimentar la evaluación de impacto y
actualizarla cuando sea necesario.
* Consulta con las partes afectadas
40
Nuevo régimen de responsabilidad para las Agencias
Implicaciones nuevo RGPD AD
Notificaciones de violaciones de seguridad
• Las violaciones de seguridad deben ser notificadas a la AEPD sin
demora, y en un máximo de 72h, salvo justificación motivada. En casos
graves, también será necesario notificar a los interesados.
• No es obligatorio si la violación no constituyó un riesgo para los derechos y
libertades de las personas físicas.
• El RGPD establece un contenido mínimo:
o Indicar la naturaleza del incidente,
o indicar datos de contacto del DPD u otro contacto del que obtener
más información,
o describir posibles consecuencias y
o las medidas adoptadas o propuestas para remediar la violación.
41
Nuevo régimen de responsabilidad para las Agencias
Implicaciones nuevo RGPD AD
Delegado de protección de datos
• El DPD es un experto en protección de datos designado por la Agencia
que debe velar por el cumplimiento de la normativa en los tratamientos.
• Sus funciones son:
o Informar y asesorar sobre las obligaciones de la Agencia
o Supervisar el cumplimiento de la normativa.
o Ofrecer asesoramiento durante las evaluaciones de impacto.
o Cooperar con la APD y actuar como punto de contacto
• Su nombramiento es una medida de seguridad que ayuda a demostrar
el cumplimiento. En ocasiones, su nombramiento es obligatorio.
42
Nuevo régimen de responsabilidad para las Agencias
Implicaciones nuevo RGPD AD
Delegado de protección de datos
• ¿Cuándo es obligatorio? :
o Las actividades del Cliente consistan en tratamientos
o que requieran una observación habitual y sistemática de
interesados a gran escala.
o a gran escala de categorías especiales de datos personales o se
refieran a infracciones penales.
• Los Estados Miembros pueden ampliar esta lista. Aunque no está previsto
que España lo haga.
43
Nuevo régimen de responsabilidad para las Agencias
Implicaciones nuevo RGPD AD
Delegado de protección de datos
• Según GT Art.29 Se realizan tratamientos de datos a gran escala segun
• El número de personas, en números absolutos o en proporción
• El volumen de datos que se procesan
• La duración, o permanencia, del tratamiento
• El alcance geográfico de la actividad de tratamiento
• Ejemplos tratamiento de datos a gran escala
• De geolocalización en tiempo real de usuarios
• De usuarios de empresa de seguros o un banco
• Para publicidad basada en el comportamiento por parte de un motor
de búsqueda
• De contenido, tráfico, ubicación por parte de proveedores de telefonía
o de servicios de Internet
44
Nuevo régimen de responsabilidad para las Agencias
Implicaciones nuevo RGPD AD
Delegado de protección de datos
• Según GT Art.29 Ejemplo
• Una pequeña tienda de electrodomésticos contrata un servicio de
análisis de sitios web y asistencia mediante publicidad y marketing
selectivos.
• ¿ Quién debe nombrar el DPD ? La tienda o el proveedor
45
Nuevo régimen de responsabilidad para las Agencias
Implicaciones nuevo RGPD AD
Delegado de protección de datos
• Según GT Art.29 Ejemplo
• Una pequeña tienda de electrodomésticos contrata un servicio de
análisis de sitios web y asistencia mediante publicidad y marketing
selectivos.
• ¿ Quién debe nombrar el DPD ? La tienda o el proveedor
• La tienda no tiene porque nombrar DPD
• no genera ningún tratamiento de datos «a gran escala», teniendo en
cuenta el reducido número de clientes y sus actividades
relativamente limitadas.
• El proveedor que presta servicios de publicidad si debe nombrar DPD
• Cuenta con muchos clientes como esta pequeña empresa,
consideradas en conjunto, suponen un tratamiento de datos a gran
escala.
46
Nuevo régimen de responsabilidad para las Agencias
Implicaciones nuevo RGPD AD
Delegado de protección de datos
• Los grupos de empresas pueden nombrar un único DPD.
• El DPD puede ser interno o externo.
• Una única persona puede ser DPD de varias empresas.
• No tiene que ser licenciado en Derecho, pero debe tener suficientes
conocimientos sobre la normativa y la práctica de protección de datos.
• La APD está desarrollando un esquema de certificación para
profesionales que quieran acreditar sus facultades como DPD. No será un
requisito obligatorio.
47
Nuevo régimen de responsabilidad para las Agencias
Implicaciones nuevo RGPD AD
El registro de tratamientos
• ¿ Cuándo es obligatorio ?
o La Agencia tiene mas de 250 empleados o
o El tratamiento “entrañe riesgo” o sea categorías especiales de datos
• Contenido mínimo:
o Identificación y datos de contacto de Agencia representante y DPD
o Finalidades del tratamiento
o Descripción de categorías de interesados y datos personales
o Categorías de destinatarios existentes y previstos
o Transferencias internacionales y documentación de garantía de las
legitimadas en interés legítimo imperioso.
o Plazos para la supresión de datos.
o Descripción de las medidas de seguridad.
48
Nuevo régimen de responsabilidad para las Agencias
Implicaciones nuevo RGPD AD
Conclusiones
• Agencias como encargadas de tratamiento deben
• Adoptar una actitud proactiva debe demostrar el cumplimiento de
normativa
• Realizar un análisis de riesgo
• Contrato de encargado de tratamiento
49
50
ADIGITAL ¡Muchas gracias! Iñaki Uriarte
iuriarte@adigital.org

Más contenido relacionado

La actualidad más candente

Tratamiento de datos y relaciones laborales
Tratamiento de datos y relaciones laboralesTratamiento de datos y relaciones laborales
Tratamiento de datos y relaciones laborales
Adigital
 
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Adigital
 
1ª sesión 1ª parte
1ª sesión   1ª parte1ª sesión   1ª parte
1ª sesión 1ª parte
dataconsulting
 
Protección de Datos en Psicología Clínica
Protección de Datos en Psicología ClínicaProtección de Datos en Psicología Clínica
Protección de Datos en Psicología Clínica
LEGITEC
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácter
Javier Peña Alonso
 
Aspectos jurídicos de los negocios online
Aspectos jurídicos de los negocios onlineAspectos jurídicos de los negocios online
Aspectos jurídicos de los negocios online
Tus Textos Legales
 
Caso practico-clase-7-und-3
Caso practico-clase-7-und-3Caso practico-clase-7-und-3
Caso practico-clase-7-und-3
EDGARLOZANO28
 
Habeas Data, más que una ley: la Seguridad TIC en la protección de datos
Habeas Data, más que una ley: la Seguridad TIC en la protección de datosHabeas Data, más que una ley: la Seguridad TIC en la protección de datos
Habeas Data, más que una ley: la Seguridad TIC en la protección de datos
YTK ERT
 
Sancion por Habeas Data a Colmedica en Colombia
Sancion por Habeas Data a Colmedica en ColombiaSancion por Habeas Data a Colmedica en Colombia
Sancion por Habeas Data a Colmedica en Colombia
Marrugo Rivera & Asociados
 
Protección de datos de carácter personal
Protección de datos de carácter personalProtección de datos de carácter personal
Protección de datos de carácter personal
AGM Abogados
 
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADAS
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADASASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADAS
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADAS
Ginecólogos Privados Ginep
 
Guia implantacion de lopd
Guia implantacion de lopdGuia implantacion de lopd
Guia implantacion de lopd
dosn
 
Lopd -LSSI
Lopd -LSSILopd -LSSI
Ley de protección de datos
Ley de protección de datosLey de protección de datos
Ley de protección de datos
saraherreros87
 
Ley de protección datos: Un enfoque Práctico
Ley de protección datos: Un enfoque PrácticoLey de protección datos: Un enfoque Práctico
Ley de protección datos: Un enfoque Práctico
Carlos Luis Sánchez Bocanegra
 
Implantación LOPD en despachos abogados
Implantación LOPD en despachos abogadosImplantación LOPD en despachos abogados
Implantación LOPD en despachos abogados
Pedro De La Torre Rodríguez
 
Privacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - PresentaciónPrivacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - Presentación
AVPD - Agencia Vasca de Protección de Datos
 
Ley de proteccion de datos
Ley de proteccion de datosLey de proteccion de datos
Ley de proteccion de datos
erickg98
 
Ley Federal de Protección de Datos Personales en Posesión de Particulares
Ley Federal de Protección de Datos Personales en Posesión de ParticularesLey Federal de Protección de Datos Personales en Posesión de Particulares
Ley Federal de Protección de Datos Personales en Posesión de Particulares
cautio
 
LOPD Presentacion
LOPD PresentacionLOPD Presentacion
LOPD Presentacion
G2informatica
 

La actualidad más candente (20)

Tratamiento de datos y relaciones laborales
Tratamiento de datos y relaciones laboralesTratamiento de datos y relaciones laborales
Tratamiento de datos y relaciones laborales
 
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...
 
1ª sesión 1ª parte
1ª sesión   1ª parte1ª sesión   1ª parte
1ª sesión 1ª parte
 
Protección de Datos en Psicología Clínica
Protección de Datos en Psicología ClínicaProtección de Datos en Psicología Clínica
Protección de Datos en Psicología Clínica
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácter
 
Aspectos jurídicos de los negocios online
Aspectos jurídicos de los negocios onlineAspectos jurídicos de los negocios online
Aspectos jurídicos de los negocios online
 
Caso practico-clase-7-und-3
Caso practico-clase-7-und-3Caso practico-clase-7-und-3
Caso practico-clase-7-und-3
 
Habeas Data, más que una ley: la Seguridad TIC en la protección de datos
Habeas Data, más que una ley: la Seguridad TIC en la protección de datosHabeas Data, más que una ley: la Seguridad TIC en la protección de datos
Habeas Data, más que una ley: la Seguridad TIC en la protección de datos
 
Sancion por Habeas Data a Colmedica en Colombia
Sancion por Habeas Data a Colmedica en ColombiaSancion por Habeas Data a Colmedica en Colombia
Sancion por Habeas Data a Colmedica en Colombia
 
Protección de datos de carácter personal
Protección de datos de carácter personalProtección de datos de carácter personal
Protección de datos de carácter personal
 
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADAS
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADASASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADAS
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADAS
 
Guia implantacion de lopd
Guia implantacion de lopdGuia implantacion de lopd
Guia implantacion de lopd
 
Lopd -LSSI
Lopd -LSSILopd -LSSI
Lopd -LSSI
 
Ley de protección de datos
Ley de protección de datosLey de protección de datos
Ley de protección de datos
 
Ley de protección datos: Un enfoque Práctico
Ley de protección datos: Un enfoque PrácticoLey de protección datos: Un enfoque Práctico
Ley de protección datos: Un enfoque Práctico
 
Implantación LOPD en despachos abogados
Implantación LOPD en despachos abogadosImplantación LOPD en despachos abogados
Implantación LOPD en despachos abogados
 
Privacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - PresentaciónPrivacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - Presentación
 
Ley de proteccion de datos
Ley de proteccion de datosLey de proteccion de datos
Ley de proteccion de datos
 
Ley Federal de Protección de Datos Personales en Posesión de Particulares
Ley Federal de Protección de Datos Personales en Posesión de ParticularesLey Federal de Protección de Datos Personales en Posesión de Particulares
Ley Federal de Protección de Datos Personales en Posesión de Particulares
 
LOPD Presentacion
LOPD PresentacionLOPD Presentacion
LOPD Presentacion
 

Similar a Implicaciones del nuevo RGPD para las agencias digitales

Privacidad de datos por Jorge Delgado José Manuel Cano
Privacidad de datos por Jorge Delgado José Manuel CanoPrivacidad de datos por Jorge Delgado José Manuel Cano
Privacidad de datos por Jorge Delgado José Manuel Cano
Asociación
 
El nuevo Reglamento Europeo de Protección de Datos (plazo 25 mayo 2018)
El nuevo Reglamento Europeo de Protección de Datos (plazo 25 mayo 2018)El nuevo Reglamento Europeo de Protección de Datos (plazo 25 mayo 2018)
El nuevo Reglamento Europeo de Protección de Datos (plazo 25 mayo 2018)
AGM Abogados
 
Café AGM “¿Cómo adaptarse al nuevo Reglamento Europeo de Protección de Datos?”
Café AGM “¿Cómo adaptarse al nuevo Reglamento Europeo de Protección de Datos?”Café AGM “¿Cómo adaptarse al nuevo Reglamento Europeo de Protección de Datos?”
Café AGM “¿Cómo adaptarse al nuevo Reglamento Europeo de Protección de Datos?”
AGM Abogados
 
El Community Manager y la LOPD
El Community Manager y la LOPDEl Community Manager y la LOPD
El Community Manager y la LOPD
Eugenia Garrido
 
Protección de datos y comunicación digital
Protección de datos y comunicación digitalProtección de datos y comunicación digital
Protección de datos y comunicación digital
Adigital
 
Seminario AGM y Novicell - Protección de datos
Seminario AGM y Novicell - Protección de datosSeminario AGM y Novicell - Protección de datos
Seminario AGM y Novicell - Protección de datos
AGM Abogados
 
Ley organica de proteccion de datos
Ley organica de proteccion de datosLey organica de proteccion de datos
Ley organica de proteccion de datos
IRIARTETXE
 
Ley organica de proteccion de datos
Ley organica de proteccion de datosLey organica de proteccion de datos
Ley organica de proteccion de datos
IRIARTETXE
 
Comunicacion digital y política de privacidad
Comunicacion digital y política de privacidadComunicacion digital y política de privacidad
Comunicacion digital y política de privacidad
Adigital
 
Seminario virtual “Cuestiones jurídicas y legales básicas en e-learning” (#we...
Seminario virtual “Cuestiones jurídicas y legales básicas en e-learning” (#we...Seminario virtual “Cuestiones jurídicas y legales básicas en e-learning” (#we...
Seminario virtual “Cuestiones jurídicas y legales básicas en e-learning” (#we...
Área de Innovación Universidad Internacional de Andalucía
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Internet Security Auditors
 
Presentación Raul Arrieta - eCommerce Day Santiago 2016
Presentación Raul Arrieta - eCommerce Day Santiago 2016Presentación Raul Arrieta - eCommerce Day Santiago 2016
Presentación Raul Arrieta - eCommerce Day Santiago 2016
eCommerce Institute
 
Requisitos para tener una tienda online en España
Requisitos para tener una tienda online en EspañaRequisitos para tener una tienda online en España
Requisitos para tener una tienda online en España
Jose Antonio Rodriguez
 
Ecommerce junts-figueres-2012
Ecommerce junts-figueres-2012Ecommerce junts-figueres-2012
Ecommerce junts-figueres-2012
AlterEgo Web
 
Ud 1.2 principios de la proteccion de datos de caracter personal
Ud 1.2 principios de la proteccion de datos de caracter personalUd 1.2 principios de la proteccion de datos de caracter personal
Ud 1.2 principios de la proteccion de datos de caracter personal
Isabel Barles Brun
 
Cómo afecta el RGPD a la vivienda vacacional
Cómo afecta el RGPD a la vivienda vacacionalCómo afecta el RGPD a la vivienda vacacional
Cómo afecta el RGPD a la vivienda vacacional
Spain-Holiday.com
 
Aspectos jurídicos básicos del comercio electrónico (16.12.2014)
Aspectos jurídicos básicos del comercio electrónico (16.12.2014) Aspectos jurídicos básicos del comercio electrónico (16.12.2014)
Aspectos jurídicos básicos del comercio electrónico (16.12.2014)
Ricardo Oliva León
 
El comercio minorista, la LOPD y la LSSICE
El comercio minorista, la LOPD y la LSSICEEl comercio minorista, la LOPD y la LSSICE
El comercio minorista, la LOPD y la LSSICE
Behargintza Sestao
 
Protección de datos redes sociales metodología
Protección de datos redes sociales metodologíaProtección de datos redes sociales metodología
Protección de datos redes sociales metodología
LuisAlbertoRaveloLob
 
Lopd
LopdLopd

Similar a Implicaciones del nuevo RGPD para las agencias digitales (20)

Privacidad de datos por Jorge Delgado José Manuel Cano
Privacidad de datos por Jorge Delgado José Manuel CanoPrivacidad de datos por Jorge Delgado José Manuel Cano
Privacidad de datos por Jorge Delgado José Manuel Cano
 
El nuevo Reglamento Europeo de Protección de Datos (plazo 25 mayo 2018)
El nuevo Reglamento Europeo de Protección de Datos (plazo 25 mayo 2018)El nuevo Reglamento Europeo de Protección de Datos (plazo 25 mayo 2018)
El nuevo Reglamento Europeo de Protección de Datos (plazo 25 mayo 2018)
 
Café AGM “¿Cómo adaptarse al nuevo Reglamento Europeo de Protección de Datos?”
Café AGM “¿Cómo adaptarse al nuevo Reglamento Europeo de Protección de Datos?”Café AGM “¿Cómo adaptarse al nuevo Reglamento Europeo de Protección de Datos?”
Café AGM “¿Cómo adaptarse al nuevo Reglamento Europeo de Protección de Datos?”
 
El Community Manager y la LOPD
El Community Manager y la LOPDEl Community Manager y la LOPD
El Community Manager y la LOPD
 
Protección de datos y comunicación digital
Protección de datos y comunicación digitalProtección de datos y comunicación digital
Protección de datos y comunicación digital
 
Seminario AGM y Novicell - Protección de datos
Seminario AGM y Novicell - Protección de datosSeminario AGM y Novicell - Protección de datos
Seminario AGM y Novicell - Protección de datos
 
Ley organica de proteccion de datos
Ley organica de proteccion de datosLey organica de proteccion de datos
Ley organica de proteccion de datos
 
Ley organica de proteccion de datos
Ley organica de proteccion de datosLey organica de proteccion de datos
Ley organica de proteccion de datos
 
Comunicacion digital y política de privacidad
Comunicacion digital y política de privacidadComunicacion digital y política de privacidad
Comunicacion digital y política de privacidad
 
Seminario virtual “Cuestiones jurídicas y legales básicas en e-learning” (#we...
Seminario virtual “Cuestiones jurídicas y legales básicas en e-learning” (#we...Seminario virtual “Cuestiones jurídicas y legales básicas en e-learning” (#we...
Seminario virtual “Cuestiones jurídicas y legales básicas en e-learning” (#we...
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
Presentación Raul Arrieta - eCommerce Day Santiago 2016
Presentación Raul Arrieta - eCommerce Day Santiago 2016Presentación Raul Arrieta - eCommerce Day Santiago 2016
Presentación Raul Arrieta - eCommerce Day Santiago 2016
 
Requisitos para tener una tienda online en España
Requisitos para tener una tienda online en EspañaRequisitos para tener una tienda online en España
Requisitos para tener una tienda online en España
 
Ecommerce junts-figueres-2012
Ecommerce junts-figueres-2012Ecommerce junts-figueres-2012
Ecommerce junts-figueres-2012
 
Ud 1.2 principios de la proteccion de datos de caracter personal
Ud 1.2 principios de la proteccion de datos de caracter personalUd 1.2 principios de la proteccion de datos de caracter personal
Ud 1.2 principios de la proteccion de datos de caracter personal
 
Cómo afecta el RGPD a la vivienda vacacional
Cómo afecta el RGPD a la vivienda vacacionalCómo afecta el RGPD a la vivienda vacacional
Cómo afecta el RGPD a la vivienda vacacional
 
Aspectos jurídicos básicos del comercio electrónico (16.12.2014)
Aspectos jurídicos básicos del comercio electrónico (16.12.2014) Aspectos jurídicos básicos del comercio electrónico (16.12.2014)
Aspectos jurídicos básicos del comercio electrónico (16.12.2014)
 
El comercio minorista, la LOPD y la LSSICE
El comercio minorista, la LOPD y la LSSICEEl comercio minorista, la LOPD y la LSSICE
El comercio minorista, la LOPD y la LSSICE
 
Protección de datos redes sociales metodología
Protección de datos redes sociales metodologíaProtección de datos redes sociales metodología
Protección de datos redes sociales metodología
 
Lopd
LopdLopd
Lopd
 

Más de Adigital

B2B Digital Summit 2018 - SEO para proyectos B2B
B2B Digital Summit 2018 - SEO para proyectos B2BB2B Digital Summit 2018 - SEO para proyectos B2B
B2B Digital Summit 2018 - SEO para proyectos B2B
Adigital
 
B2B Digital Summit 2018 - INSURTECH, o cómo la tecnología puede hacer ‘sexy’ ...
B2B Digital Summit 2018 - INSURTECH, o cómo la tecnología puede hacer ‘sexy’ ...B2B Digital Summit 2018 - INSURTECH, o cómo la tecnología puede hacer ‘sexy’ ...
B2B Digital Summit 2018 - INSURTECH, o cómo la tecnología puede hacer ‘sexy’ ...
Adigital
 
Fiscalidad indirecta del e-commerce
Fiscalidad indirecta del e-commerceFiscalidad indirecta del e-commerce
Fiscalidad indirecta del e-commerce
Adigital
 
Tu ecommerce a la última
Tu ecommerce a la últimaTu ecommerce a la última
Tu ecommerce a la última
Adigital
 
Construyendo la relación perfecta
Construyendo la relación perfectaConstruyendo la relación perfecta
Construyendo la relación perfecta
Adigital
 
La importancia del dato en la estrategia de marketing digital
La importancia del dato en la estrategia de marketing digitalLa importancia del dato en la estrategia de marketing digital
La importancia del dato en la estrategia de marketing digital
Adigital
 
Energytech
EnergytechEnergytech
Energytech
Adigital
 
Tecnología y energía, más que una rima
Tecnología y energía, más que una rimaTecnología y energía, más que una rima
Tecnología y energía, más que una rima
Adigital
 
México: Una oportunidad para empresas españolas digitales
México: Una oportunidad para empresas españolas digitalesMéxico: Una oportunidad para empresas españolas digitales
México: Una oportunidad para empresas españolas digitales
Adigital
 
Antevenio en México
Antevenio en MéxicoAntevenio en México
Antevenio en México
Adigital
 
México: Una oportunidad para empresas españolas digitales
México: Una oportunidad para empresas españolas digitalesMéxico: Una oportunidad para empresas españolas digitales
México: Una oportunidad para empresas españolas digitales
Adigital
 
Programmatic Marketing
Programmatic MarketingProgrammatic Marketing
Programmatic Marketing
Adigital
 
Gestión de marca en un ambiente digital
Gestión de marca en un ambiente digitalGestión de marca en un ambiente digital
Gestión de marca en un ambiente digital
Adigital
 
La transformación digital al servicio del asociado
La transformación digital al servicio del asociadoLa transformación digital al servicio del asociado
La transformación digital al servicio del asociado
Adigital
 
Principales retos del e-commerce B2B
Principales retos del e-commerce B2BPrincipales retos del e-commerce B2B
Principales retos del e-commerce B2B
Adigital
 
Medios de pago y expansión internacional: el caso Ticketbis-StubHub
Medios de pago y expansión internacional: el caso Ticketbis-StubHubMedios de pago y expansión internacional: el caso Ticketbis-StubHub
Medios de pago y expansión internacional: el caso Ticketbis-StubHub
Adigital
 
Comprar como siempre, vender como nunca
Comprar como siempre, vender como nuncaComprar como siempre, vender como nunca
Comprar como siempre, vender como nunca
Adigital
 
MRC 2017 Global Payments Survey
MRC 2017 Global Payments SurveyMRC 2017 Global Payments Survey
MRC 2017 Global Payments Survey
Adigital
 
Tres razones para una logística de datos
Tres razones para una logística de datosTres razones para una logística de datos
Tres razones para una logística de datos
Adigital
 
Drones de paquetería. Cómo volarlos de forma legal
Drones de paquetería. Cómo volarlos de forma legalDrones de paquetería. Cómo volarlos de forma legal
Drones de paquetería. Cómo volarlos de forma legal
Adigital
 

Más de Adigital (20)

B2B Digital Summit 2018 - SEO para proyectos B2B
B2B Digital Summit 2018 - SEO para proyectos B2BB2B Digital Summit 2018 - SEO para proyectos B2B
B2B Digital Summit 2018 - SEO para proyectos B2B
 
B2B Digital Summit 2018 - INSURTECH, o cómo la tecnología puede hacer ‘sexy’ ...
B2B Digital Summit 2018 - INSURTECH, o cómo la tecnología puede hacer ‘sexy’ ...B2B Digital Summit 2018 - INSURTECH, o cómo la tecnología puede hacer ‘sexy’ ...
B2B Digital Summit 2018 - INSURTECH, o cómo la tecnología puede hacer ‘sexy’ ...
 
Fiscalidad indirecta del e-commerce
Fiscalidad indirecta del e-commerceFiscalidad indirecta del e-commerce
Fiscalidad indirecta del e-commerce
 
Tu ecommerce a la última
Tu ecommerce a la últimaTu ecommerce a la última
Tu ecommerce a la última
 
Construyendo la relación perfecta
Construyendo la relación perfectaConstruyendo la relación perfecta
Construyendo la relación perfecta
 
La importancia del dato en la estrategia de marketing digital
La importancia del dato en la estrategia de marketing digitalLa importancia del dato en la estrategia de marketing digital
La importancia del dato en la estrategia de marketing digital
 
Energytech
EnergytechEnergytech
Energytech
 
Tecnología y energía, más que una rima
Tecnología y energía, más que una rimaTecnología y energía, más que una rima
Tecnología y energía, más que una rima
 
México: Una oportunidad para empresas españolas digitales
México: Una oportunidad para empresas españolas digitalesMéxico: Una oportunidad para empresas españolas digitales
México: Una oportunidad para empresas españolas digitales
 
Antevenio en México
Antevenio en MéxicoAntevenio en México
Antevenio en México
 
México: Una oportunidad para empresas españolas digitales
México: Una oportunidad para empresas españolas digitalesMéxico: Una oportunidad para empresas españolas digitales
México: Una oportunidad para empresas españolas digitales
 
Programmatic Marketing
Programmatic MarketingProgrammatic Marketing
Programmatic Marketing
 
Gestión de marca en un ambiente digital
Gestión de marca en un ambiente digitalGestión de marca en un ambiente digital
Gestión de marca en un ambiente digital
 
La transformación digital al servicio del asociado
La transformación digital al servicio del asociadoLa transformación digital al servicio del asociado
La transformación digital al servicio del asociado
 
Principales retos del e-commerce B2B
Principales retos del e-commerce B2BPrincipales retos del e-commerce B2B
Principales retos del e-commerce B2B
 
Medios de pago y expansión internacional: el caso Ticketbis-StubHub
Medios de pago y expansión internacional: el caso Ticketbis-StubHubMedios de pago y expansión internacional: el caso Ticketbis-StubHub
Medios de pago y expansión internacional: el caso Ticketbis-StubHub
 
Comprar como siempre, vender como nunca
Comprar como siempre, vender como nuncaComprar como siempre, vender como nunca
Comprar como siempre, vender como nunca
 
MRC 2017 Global Payments Survey
MRC 2017 Global Payments SurveyMRC 2017 Global Payments Survey
MRC 2017 Global Payments Survey
 
Tres razones para una logística de datos
Tres razones para una logística de datosTres razones para una logística de datos
Tres razones para una logística de datos
 
Drones de paquetería. Cómo volarlos de forma legal
Drones de paquetería. Cómo volarlos de forma legalDrones de paquetería. Cómo volarlos de forma legal
Drones de paquetería. Cómo volarlos de forma legal
 

Último

Plantillas_Demandas_Acoso_Laboral-Juicio_Alimentos.pdf
Plantillas_Demandas_Acoso_Laboral-Juicio_Alimentos.pdfPlantillas_Demandas_Acoso_Laboral-Juicio_Alimentos.pdf
Plantillas_Demandas_Acoso_Laboral-Juicio_Alimentos.pdf
C Salvador Jimènez Bravo
 
ESQUEMAS BASICOS Ley de Enjuiciamiento Civil
ESQUEMAS BASICOS Ley de Enjuiciamiento CivilESQUEMAS BASICOS Ley de Enjuiciamiento Civil
ESQUEMAS BASICOS Ley de Enjuiciamiento Civil
Cristobal Pinto Andrade
 
Protege tu startup: claves legales del pacto de socios - Robert Burgell
Protege tu startup: claves legales del pacto de socios - Robert BurgellProtege tu startup: claves legales del pacto de socios - Robert Burgell
Protege tu startup: claves legales del pacto de socios - Robert Burgell
ITeC Instituto Tecnología Construcción
 
gd-reseach-ethics-practical-guide-091120-es.pdf
gd-reseach-ethics-practical-guide-091120-es.pdfgd-reseach-ethics-practical-guide-091120-es.pdf
gd-reseach-ethics-practical-guide-091120-es.pdf
EdwinAcosta73
 
la teoría caso constitucional bien explicado.pdf
la teoría caso constitucional bien explicado.pdfla teoría caso constitucional bien explicado.pdf
la teoría caso constitucional bien explicado.pdf
mariafernanda117816
 
La investigacion penal y sus etapas.pptx
La investigacion penal y sus etapas.pptxLa investigacion penal y sus etapas.pptx
La investigacion penal y sus etapas.pptx
Raul Castillo
 
Exp. 376-2014_edy_rosendo_y_melyn_carol_sanchez_TNRCH.pdf
Exp. 376-2014_edy_rosendo_y_melyn_carol_sanchez_TNRCH.pdfExp. 376-2014_edy_rosendo_y_melyn_carol_sanchez_TNRCH.pdf
Exp. 376-2014_edy_rosendo_y_melyn_carol_sanchez_TNRCH.pdf
JaimeDeLaFuente10
 
acuerdo plenario 07-2023 el sobreseimiento.pptx
acuerdo plenario 07-2023 el sobreseimiento.pptxacuerdo plenario 07-2023 el sobreseimiento.pptx
acuerdo plenario 07-2023 el sobreseimiento.pptx
GraceYvonneRodriguez
 
2 LP 2 TIPOS DE DEF Ana María Amarfil definiciones (1).pptx
2 LP 2 TIPOS DE DEF Ana María Amarfil  definiciones (1).pptx2 LP 2 TIPOS DE DEF Ana María Amarfil  definiciones (1).pptx
2 LP 2 TIPOS DE DEF Ana María Amarfil definiciones (1).pptx
SaraCastro158048
 
Metodología de la investigación .pdf
Metodología de la investigación   .pdfMetodología de la investigación   .pdf
Metodología de la investigación .pdf
EmelyFransheskaConce
 
7 MOMENTOS PROCESALES DE LA DETENCION EN FLAGRANCIA-Epigmeo mexico legal.pdf
7 MOMENTOS PROCESALES DE LA DETENCION EN FLAGRANCIA-Epigmeo mexico legal.pdf7 MOMENTOS PROCESALES DE LA DETENCION EN FLAGRANCIA-Epigmeo mexico legal.pdf
7 MOMENTOS PROCESALES DE LA DETENCION EN FLAGRANCIA-Epigmeo mexico legal.pdf
manuelulloa23
 
LINEAMIENTOS RESOLUTIVOS RESOLUCIÓN 002765-2024-JUSTTAIP-SEGUNDA SALA.PDF
LINEAMIENTOS RESOLUTIVOS RESOLUCIÓN 002765-2024-JUSTTAIP-SEGUNDA SALA.PDFLINEAMIENTOS RESOLUTIVOS RESOLUCIÓN 002765-2024-JUSTTAIP-SEGUNDA SALA.PDF
LINEAMIENTOS RESOLUTIVOS RESOLUCIÓN 002765-2024-JUSTTAIP-SEGUNDA SALA.PDF
baeinfo494
 
La Ética Profesional en la Abogacía- Dilemas y Responsabilidades del Abogado ...
La Ética Profesional en la Abogacía- Dilemas y Responsabilidades del Abogado ...La Ética Profesional en la Abogacía- Dilemas y Responsabilidades del Abogado ...
La Ética Profesional en la Abogacía- Dilemas y Responsabilidades del Abogado ...
lacissalccisum
 
S01_s1 - Derecho Comercial - Marzo - I - 2024 - UTP.pdf
S01_s1 - Derecho Comercial - Marzo - I - 2024 - UTP.pdfS01_s1 - Derecho Comercial - Marzo - I - 2024 - UTP.pdf
S01_s1 - Derecho Comercial - Marzo - I - 2024 - UTP.pdf
romariosaraya12345
 
DECLARACION ANUAL SSSSSSSSSSSSSSSSSSSSSSSSSSSSSCRISTAL 2023.pdf
DECLARACION ANUAL SSSSSSSSSSSSSSSSSSSSSSSSSSSSSCRISTAL 2023.pdfDECLARACION ANUAL SSSSSSSSSSSSSSSSSSSSSSSSSSSSSCRISTAL 2023.pdf
DECLARACION ANUAL SSSSSSSSSSSSSSSSSSSSSSSSSSSSSCRISTAL 2023.pdf
jeremimendez12
 
solicitar desarchivamiento de escrito ....doc
solicitar desarchivamiento de escrito ....docsolicitar desarchivamiento de escrito ....doc
solicitar desarchivamiento de escrito ....doc
cienciasneurojuridic
 
MANIFIESTO DE OVIEDO Grupo 51 junio de 2024.pdf
MANIFIESTO DE OVIEDO Grupo 51 junio de 2024.pdfMANIFIESTO DE OVIEDO Grupo 51 junio de 2024.pdf
MANIFIESTO DE OVIEDO Grupo 51 junio de 2024.pdf
José Antonio Ballesteros Garrido
 
Teoría de la justicia_francisco_caballero.
Teoría de la justicia_francisco_caballero.Teoría de la justicia_francisco_caballero.
Teoría de la justicia_francisco_caballero.
AdrianaKv
 
0.0.0.0.0.- SIMULACRO DE AUDIENCIA DE JUICIO ORAL EN BOLIVI1.pdf
0.0.0.0.0.- SIMULACRO DE AUDIENCIA DE JUICIO ORAL EN BOLIVI1.pdf0.0.0.0.0.- SIMULACRO DE AUDIENCIA DE JUICIO ORAL EN BOLIVI1.pdf
0.0.0.0.0.- SIMULACRO DE AUDIENCIA DE JUICIO ORAL EN BOLIVI1.pdf
JoaquinWilfredoAvila
 
Casación Nro. 574-2023-Ica-LPDerecho.pdf
Casación Nro. 574-2023-Ica-LPDerecho.pdfCasación Nro. 574-2023-Ica-LPDerecho.pdf
Casación Nro. 574-2023-Ica-LPDerecho.pdf
JaimeDeLaFuente10
 

Último (20)

Plantillas_Demandas_Acoso_Laboral-Juicio_Alimentos.pdf
Plantillas_Demandas_Acoso_Laboral-Juicio_Alimentos.pdfPlantillas_Demandas_Acoso_Laboral-Juicio_Alimentos.pdf
Plantillas_Demandas_Acoso_Laboral-Juicio_Alimentos.pdf
 
ESQUEMAS BASICOS Ley de Enjuiciamiento Civil
ESQUEMAS BASICOS Ley de Enjuiciamiento CivilESQUEMAS BASICOS Ley de Enjuiciamiento Civil
ESQUEMAS BASICOS Ley de Enjuiciamiento Civil
 
Protege tu startup: claves legales del pacto de socios - Robert Burgell
Protege tu startup: claves legales del pacto de socios - Robert BurgellProtege tu startup: claves legales del pacto de socios - Robert Burgell
Protege tu startup: claves legales del pacto de socios - Robert Burgell
 
gd-reseach-ethics-practical-guide-091120-es.pdf
gd-reseach-ethics-practical-guide-091120-es.pdfgd-reseach-ethics-practical-guide-091120-es.pdf
gd-reseach-ethics-practical-guide-091120-es.pdf
 
la teoría caso constitucional bien explicado.pdf
la teoría caso constitucional bien explicado.pdfla teoría caso constitucional bien explicado.pdf
la teoría caso constitucional bien explicado.pdf
 
La investigacion penal y sus etapas.pptx
La investigacion penal y sus etapas.pptxLa investigacion penal y sus etapas.pptx
La investigacion penal y sus etapas.pptx
 
Exp. 376-2014_edy_rosendo_y_melyn_carol_sanchez_TNRCH.pdf
Exp. 376-2014_edy_rosendo_y_melyn_carol_sanchez_TNRCH.pdfExp. 376-2014_edy_rosendo_y_melyn_carol_sanchez_TNRCH.pdf
Exp. 376-2014_edy_rosendo_y_melyn_carol_sanchez_TNRCH.pdf
 
acuerdo plenario 07-2023 el sobreseimiento.pptx
acuerdo plenario 07-2023 el sobreseimiento.pptxacuerdo plenario 07-2023 el sobreseimiento.pptx
acuerdo plenario 07-2023 el sobreseimiento.pptx
 
2 LP 2 TIPOS DE DEF Ana María Amarfil definiciones (1).pptx
2 LP 2 TIPOS DE DEF Ana María Amarfil  definiciones (1).pptx2 LP 2 TIPOS DE DEF Ana María Amarfil  definiciones (1).pptx
2 LP 2 TIPOS DE DEF Ana María Amarfil definiciones (1).pptx
 
Metodología de la investigación .pdf
Metodología de la investigación   .pdfMetodología de la investigación   .pdf
Metodología de la investigación .pdf
 
7 MOMENTOS PROCESALES DE LA DETENCION EN FLAGRANCIA-Epigmeo mexico legal.pdf
7 MOMENTOS PROCESALES DE LA DETENCION EN FLAGRANCIA-Epigmeo mexico legal.pdf7 MOMENTOS PROCESALES DE LA DETENCION EN FLAGRANCIA-Epigmeo mexico legal.pdf
7 MOMENTOS PROCESALES DE LA DETENCION EN FLAGRANCIA-Epigmeo mexico legal.pdf
 
LINEAMIENTOS RESOLUTIVOS RESOLUCIÓN 002765-2024-JUSTTAIP-SEGUNDA SALA.PDF
LINEAMIENTOS RESOLUTIVOS RESOLUCIÓN 002765-2024-JUSTTAIP-SEGUNDA SALA.PDFLINEAMIENTOS RESOLUTIVOS RESOLUCIÓN 002765-2024-JUSTTAIP-SEGUNDA SALA.PDF
LINEAMIENTOS RESOLUTIVOS RESOLUCIÓN 002765-2024-JUSTTAIP-SEGUNDA SALA.PDF
 
La Ética Profesional en la Abogacía- Dilemas y Responsabilidades del Abogado ...
La Ética Profesional en la Abogacía- Dilemas y Responsabilidades del Abogado ...La Ética Profesional en la Abogacía- Dilemas y Responsabilidades del Abogado ...
La Ética Profesional en la Abogacía- Dilemas y Responsabilidades del Abogado ...
 
S01_s1 - Derecho Comercial - Marzo - I - 2024 - UTP.pdf
S01_s1 - Derecho Comercial - Marzo - I - 2024 - UTP.pdfS01_s1 - Derecho Comercial - Marzo - I - 2024 - UTP.pdf
S01_s1 - Derecho Comercial - Marzo - I - 2024 - UTP.pdf
 
DECLARACION ANUAL SSSSSSSSSSSSSSSSSSSSSSSSSSSSSCRISTAL 2023.pdf
DECLARACION ANUAL SSSSSSSSSSSSSSSSSSSSSSSSSSSSSCRISTAL 2023.pdfDECLARACION ANUAL SSSSSSSSSSSSSSSSSSSSSSSSSSSSSCRISTAL 2023.pdf
DECLARACION ANUAL SSSSSSSSSSSSSSSSSSSSSSSSSSSSSCRISTAL 2023.pdf
 
solicitar desarchivamiento de escrito ....doc
solicitar desarchivamiento de escrito ....docsolicitar desarchivamiento de escrito ....doc
solicitar desarchivamiento de escrito ....doc
 
MANIFIESTO DE OVIEDO Grupo 51 junio de 2024.pdf
MANIFIESTO DE OVIEDO Grupo 51 junio de 2024.pdfMANIFIESTO DE OVIEDO Grupo 51 junio de 2024.pdf
MANIFIESTO DE OVIEDO Grupo 51 junio de 2024.pdf
 
Teoría de la justicia_francisco_caballero.
Teoría de la justicia_francisco_caballero.Teoría de la justicia_francisco_caballero.
Teoría de la justicia_francisco_caballero.
 
0.0.0.0.0.- SIMULACRO DE AUDIENCIA DE JUICIO ORAL EN BOLIVI1.pdf
0.0.0.0.0.- SIMULACRO DE AUDIENCIA DE JUICIO ORAL EN BOLIVI1.pdf0.0.0.0.0.- SIMULACRO DE AUDIENCIA DE JUICIO ORAL EN BOLIVI1.pdf
0.0.0.0.0.- SIMULACRO DE AUDIENCIA DE JUICIO ORAL EN BOLIVI1.pdf
 
Casación Nro. 574-2023-Ica-LPDerecho.pdf
Casación Nro. 574-2023-Ica-LPDerecho.pdfCasación Nro. 574-2023-Ica-LPDerecho.pdf
Casación Nro. 574-2023-Ica-LPDerecho.pdf
 

Implicaciones del nuevo RGPD para las agencias digitales

  • 1. 1 ADIGITAL Implicaciones del nuevo RGPD para las agencias digitales
  • 2. Implicaciones nuevo RGPD AD El Reglamento General de Protección de Datos • Aplicable a partir 25 mayo 2018. Nueva ley que sustituya a LOPD. • Sustituye a Directiva 95/46/CE, desarrollada LOPD. • Modifica • la forma de obtener el consentimiento • la obligación de información, etc. • Introduce nuevos conceptos y principios • Evaluaciones de riesgo • Delegado protección de datos • Notificaciones incidentes de seguridad • Derechos nuevos como el derecho de portabilidad…. • Promueve la autoregulación códigos de conducta, certificaciones, etc. 2
  • 3. Implicaciones nuevo RGPD AD Previos • Dato • Toda información sobre una persona identificada o identificable • Es identificable cuando su identidad pueda determinarse, directa o indirectamente, por ejemplo a través de número de identificación, dato de localización, un identificador online, dato físicos, genéticos, psíquica, económica, cultural o social; • Ámbito material: o Se aplica a todos los tratamientos de datos personales, salvo: …  Realizados por personas físicas y por interés doméstico o personal. • Ámbito territorial se aplica a todas las Agencias y a sus Clientes que • Tengan establecimiento en la UE y • Fuera de UE si dirigen bienes o servicios o monitoricen comportamiento de ciudadanos de UE. 3
  • 4. Implicaciones nuevo RGPD AD • Elementos que permiten el tratamiento de datos: o Consentimiento o Ejecución de un contrato o aplicación de un precontrato o Interés legítimo, cuando prevalezca sobre los intereses del interesado o Cumplimiento de una obligación legal o Intereses vitales del interesado o de un tercero o Misión en interés público • Todo tratamiento deberá tener una o varias finalidades específicas. 4 Legitimación de los tratamientos Previos
  • 5. Implicaciones nuevo RGPD AD El consentimiento • En los tratamientos basados en el consentimiento, éste debe ser libre, específico, informado e inequívoco. • El concepto inequívoco se interpreta como “declaración” o “clara acción afirmativa”. • Casilla sin marcar, botón de aceptación, 5 Previos
  • 6. Implicaciones nuevo RGPD AD El interés legítimo • Requiere realizar “prueba de sopesamiento” entre interés y derechos usuario • El tratamiento realizado con fines de marketing directo puede considerarse realizado en interés legítimo. • Requiere informar al interesado de cual el interés legitimo • Derecho de oposición o El titular tiene derecho a oponerse en todo momento al tratamiento incluida la elaboración de perfiles relacionado con marketing directo. o Debe ofrecerse de forma explícita, clara y al margen de cualquier 6 Previos
  • 7. Implicaciones nuevo RGPD AD El interés legítimo • GT Art 29 • Escenario 1: Publicidad para realizar ofertas de una cadena de pizzerías • El tratamiento se puede basar en el interés legitimo • Escenario 2: Publicidad realizada una cadena de supermercados a la que pertenece la pizzería • El tratamiento NO se puede basar en el interés legitimo, es necesario el consentimiento • Escenario 3: Uso de los datos sobre pedidos de comida para vender a la empresa de seguros para adaptar las primas del seguro de enfermedad 7 Previos
  • 8. Implicaciones nuevo RGPD AD Tratamientos de datos obtenidos antes RGPD • Es necesario revisar cual es “elemento” que legitimaba antes el tratamiento y ver en cual es que puede hacerlo ahora • el consentimiento tácito • el consentimiento expreso • la ejecución del contrato • el interés legitimo • Cumplimiento de una obligación legal… 8 Previos
  • 9. Implicaciones nuevo RGPD AD Email/SMS marketing • Regla general: Consentimiento expreso es necesario obtener con carácter previo la solicitud o autorización expresa del usuario • Regla especial: Consentimiento tácito Salvo que no se haya opuesto siempre y cuando se haya informado de que va a recibir publicidad del mismo tipo o clase de productos a los que haya adquirido • No es necesario identificar con palabra “publicidad” o “publi” • Debe facilitarse un medio sencillo y gratuito para que el usuario pueda oponerse al tratamiento de sus datos • En el momento de recogida de los datos • En cada comunicación • Debe facilitarse una dirección electrónico o una dirección electrónica a través de la cual ejercitar el derecho de oposición 9 Previos
  • 10. Implicaciones nuevo RGPD AD Tratamiento de datos de menores • Edad mínima 16 años, pero permite a EEMM rebajarla hasta 13 años. • Todavía se desconoce qué edad aplicará España. Actualmente son 14. • Esta previsión especial se limita a servicios de la sociedad de la información. En otros casos, se aplicaría la normativa nacional de derecho civil general. • La información debe ser adaptada a menores. • No cabe el tratamiento en base al Interés legitimo • Es necesario establecer “medios razonables” según tecnología disponible, para verificar la intervención real de consentimiento tutores. 10 Previos
  • 11. Implicaciones nuevo RGPD AD Datos especialmente protegidos • Son datos especialmente protegidos: o Datos que revelen origen étnico o racial. o Opiniones políticas. o Convicciones religiosas o filosóficas. o Afiliación sindical. o Datos genéticos. o Datos biométricos para la identificación. o Datos relativos a la salud. o Datos relativos a la vida sexual. o Datos relativos a la orientación sexual. 11 Previos
  • 12. Implicaciones nuevo RGPD AD Datos especialmente protegidos • El tratamiento de datos especialmente protegidos está prohibido, salvo ciertas excepciones. Entre otras: o Consentimiento explícito. o Por determinadas obligaciones y ejercicio de determinados derechos. o Interés vital del interesado o de un tercero. o Organismos sin ánimo de lucro cuya finalidad sea política, filosófica, religiosa o sindical, y respecto de sus miembros. o Datos que el interesado hubiese hecho manifiestamente públicos. o Fines de archivo en interés público, investigación científica o histórica o fines estadísticos. • En todo caso, el registro completo de antecedentes sólo puede ser manejado bajo el control de poderes públicos. 12 Previos
  • 13. Implicaciones nuevo RGPD AD • La información debe proporcionarse de forma : o Concisa, transparente, inteligente y en un lenguaje claro y sencillo. o Puede facilitarse por vía electrónica. o Debe tenerse en cuenta los destinatarios, especialmente si son niños. o Puede entregarse por escrito u otros medios. Podrá entregarse verbalmente a solicitud del interesado. • La información debe proporcionarse en el momento oportuno. Con carácter general: o En el momento de la recogida de los datos. o Antes del inicio de un tratamiento ulterior. • Las AEPD sugiere una entrega por capas y en tablas. 13 Información Previos
  • 14. Implicaciones nuevo RGPD AD • El RGPD establece un contenido mínimo para esta obligación: o Identificar a la entidad, al contacto responsable y, en su caso, al DPO. o Identificación de las finalidades y su base jurídica. o Intereses legítimos del responsable o tercer, en su caso. o Destinatarios o categorías de destinatarios. o Transferencias internacionales, en su caso, y garantías existentes o medios para obtenerlas o existencia o no de decisión de adecuación. o Plazo de conservación o criterios para su determinación. o Información relativa a los derechos del interesado. o Derecho a retirar su consentimiento, en su caso. o Derecho a reclamar ante la AEPD. o Sobre la obligación de proporcionar la información y las consecuencias de no hacerlo. o Tratamientos ulteriores de los datos, si es posible. 14 Información Previos
  • 15. Implicaciones nuevo RGPD AD 15 Información Previos
  • 16. Implicaciones nuevo RGPD AD 16 Información Previos
  • 17. Implicaciones nuevo RGPD AD Agencias como encargadas del tratamiento 17
  • 18. Implicaciones nuevo RGPD AD Agencias como encargadas del tratamiento • La Agencia debe informar a los Clientes si, en su opinión, alguna de las instrucciones recibidas por ellos es es contraria al RGPD. • Los Clientes deben tener una especial diligencia a la hora de elegir Agencia. • Códigos de conducta y certificaciones pueden servir para que las Agencias demuestren el cumplimiento de la normativa. • Se prevé la posibilidad de que los Clientes realicen auditorías a la Agencia. 18
  • 19. Implicaciones nuevo RGPD AD Agencias como encargadas del tratamiento • AEPD ha publicado modelo de contrato. • RGPD establece requisitos mínimos del contrato entre Cliente y Agencia o Objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos personales, categorías de interesados afectados, obligaciones y derechos de la Agencia y del Cliente o Compromiso de tratar los datos según instrucciones recibidas del Cliente o Compromiso de confidencialidad o Obligación de borrar o devolver los datos al final de la prestación o Medidas de seguridad técnicas y organizativas o Régimen de subcontratación (posibilidad de autorización previa general o específica) o Régimen de respuesta o asistencia al ejercicio de derechos o Compromiso de asistencia al Cliente en determinadas obligaciones 19
  • 20. Implicaciones nuevo RGPD AD Agencias como encargadas del tratamiento • Subcontrataciones de servicios • Software para gestión de bbdd, para envió de mailing, para realizar acciones de retargeting, para gestión de redes sociales, chats, para gestión de cookies, para captación de datos a través de formularios, para gestión de callcenter, para gestión de publicidad programática, etc. • El Cliente debe conocer y autorizar por escrito, previamente a la realización de tratamiento, la identidad de los subencargados de forma que pueda oponerse • Requisitos del contrato entre Agencia y subencargado • Debe tener el mismo contenido que el contrato entre Cliente y Agencia • Garantías técnicas y organizativas para que el tratamiento sea adecuado • Si el subencargado incumple obligaciones la Agencia es responsable ante el Cliente 20
  • 21. Implicaciones nuevo RGPD AD Agencias como encargadas del tratamiento • Servicios Cloud 21
  • 22. Implicaciones nuevo RGPD AD Agencias como encargadas del tratamiento • ¿Qué hay que hacer para contratar servicios de encargado de tratamiento cloud ? • Evaluar los tratamientos y el nivel de protección de datos ofrecido. • Analizar beneficios y potenciales riesgos que se asumen. • Comparar las características ofrecidas por varios proveedores. • Verificar las condiciones en que se presta el servicio a través de un checklist sobre • la información proporcionada, • ubicación del tratamiento, • existencia de subencargados, • políticas de seguridad, • derechos del usuario y • obligaciones legales del proveedor. 22
  • 23. Implicaciones nuevo RGPD AD Agencias como encargadas del tratamiento • ¿Qué hay que hacer para contratar servicios cloud ? • Portabilidad de datos • Comprobar existencia de procedimientos de portabilidad si cambia proveedor • Terceras empresas • Solicitar y obtener información sobre si intervienen o no terceras empresas • Si intervienen deben conocer las terceras empresas (p. ej. una página web) o al menos deben estar delimitados genéricamente los servicios en los que participarán (p. ej. en el alojamiento de datos). • Localización de datos • Comprobar si se indica donde se tratan los datos. Si es en un país que ofrece un nivel de protección equivalente o si se trata empresas ubicadas en los EEUU estén adheridas a Privacy Shield 23
  • 24. Implicaciones nuevo RGPD AD Agencias como encargadas del tratamiento • ¿Qué hay que hacer para contratar servicios cloud ? • Medidas de seguridad • Comprobar medidas de seguridad para: garantizar la integridad de los datos, evitar accesos no autorizados, recuperar la información en caso de que se produzcan incidencias de seguridad, registros de acceso a los datos de los que es responsable. • Comprobar si dispone de una certificación de seguridad adecuada o realización de auditoria de las medidas de seguridad • El cifrado de los datos es una medida que se valora positivamente. • Incidencias de seguridad • Existencia de un canal de comunicación sobre las incidencias y de medidas adoptadas para resolverlas o a adoptar para evitar los daños que puedan producirse (p. ej. informar a usuarios sobre cómo proteger su información personal). 24
  • 25. Implicaciones nuevo RGPD AD Agencias como encargadas del tratamiento • ¿Qué hay que hacer para contratar servicios cloud ? • Confidencialidad • Comprobar si compromete a garantizar la confidencialidad utilizando los datos sólo para los servicios contratados. • Comprobar si se compromete a dar instrucciones a su personal para que mantenga la confidencialidad. 25
  • 26. Implicaciones nuevo RGPD AD Transferencias internacionales • Con autorización AEPD solicitada por la empresa exportadora • Sin autorización de AEPD cuando • La empresa importadora este situada en países • De la Unión Europea o EEE (Islandia, Liechtenstein y Noruega) * • O que la Comisión Europea ha declarado que tienen un nivel de protección equivalente: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda Estados Unidos. (solo empresas certificadas en Privacy Shield) • La empresa exportadora e importadora estén vinculadas a través de • normas corporativas vinculantes debidamente aprobadas • clausulas tipo adoptadas por la Comisión Europea • clausulas tipo adoptadas por AEPD y aprobadas por Comisión Europea 26
  • 27. Implicaciones nuevo RGPD AD Transferencias internacionales • Sin autorización de AEPD cuando • Exista consentimiento explícito ** • Sea necesaria para ejecución de un contrato ** • Exista un interés público ** • Formulación, ejercicio o defensa de reclamaciones judiciales** • Protección de los intereses vitales de personas ** • Se realice desde determinados registros públicos ** • Interés legitimo imperioso del exportador ** * Legalmente no se considera transferencia internacional ** Interpretación restrictiva ver opiniones GT29 1998 y 2005 27
  • 28. Implicaciones nuevo RGPD AD Agencias como encargadas del tratamiento • El RGPD exige a las Agencias una serie de obligaciones mínimas: o Adoptar las medidas de seguridad necesarias, de acuerdo con el estado de la técnica, los costes y los riesgos de los tratamientos o Colaborar con Cliente o En la notificación de violaciones de seguridad a la APD y, en su caso, a los interesados o En la realización de evaluaciones de impacto, inspecciones y auditorías o Realización de consulta previa a la APD debido a los resultados de una evaluación de impacto 28
  • 29. Implicaciones nuevo RGPD AD Nuevo régimen de responsabilidad para las Agencias 29
  • 30. Implicaciones nuevo RGPD AD Nuevo régimen de responsabilidad para las Agencias • El RGPD introduce el concepto de responsabilidad proactiva. • El RGPD no exige medidas concretas, ni técnicas ni organizativas. • Es la Agencia quien debe definir qué medidas adopta teniendo en cuenta los riesgos existentes. • La Agencia debe poder demostrar que sus medidas son suficientes para cumplir con las obligaciones del Reglamento. 30
  • 31. Implicaciones nuevo RGPD AD Nuevo régimen de responsabilidad para las Agencias • Para demostrar el cumplimiento de normativa, la Agencia puede recurrir a o La adhesión a códigos de conducta y obtención de certificaciones. o Definición de los procesos de tratamiento. o Disponer de procesos definidos para atender las solicitudes de los interesados. o Designar un delegado de protección de datos. o Integrar la protección de datos desde el diseño de sus procesos. o Implementar la privacidad por defecto. o Realizar evaluaciones de impacto y análisis de riesgos. o Realizar auditorías de seguridad y de protección de datos. 31
  • 32. Implicaciones nuevo RGPD AD Análisis de riesgo • La Agencia deberá realizar análisis de nivel de riesgo de los tratamientos en base a factores como: o Daños personales o materiales que puede causar el tratamiento. o Riesgos derivados del personal que realiza los tratamientos. o Riesgos de acceso a datos por parte de personas no autorizadas. o Tipos de datos tratados y personas afectadas. o Los resultados de las evaluaciones de impacto (si se realizaron). • El CEPD y las APDs podrán publicar guías y criterios para la valoración. 32 Nuevo régimen de responsabilidad para las Agencias
  • 33. Implicaciones nuevo RGPD AD • Check list para la realización de análisis de riesgo • ¿Se tratan datos sensibles? • ¿Se incluyen datos de una gran cantidad de personas? • ¿Incluye el tratamiento la elaboración de perfiles? • ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes? • ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades? • ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data? • ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o IoT? 33 Análisis de riesgo Nuevo régimen de responsabilidad para las Agencias
  • 34. Implicaciones nuevo RGPD AD Privacidad por defecto • Solo se debe tratar los mínimos datos personales para cada uno de los fines de los tratamientos. Esto es: o Solicitar sólo los datos estrictamente necesarios para cada fin. o Limitar lo máximo posible los tratamientos, por ejemplo, en el caso de una red social, que el perfil esté por defecto en modo privado, limitando el acceso de terceros. o Conservar los datos el mínimo periodo de tiempo necesario o .... 34 Nuevo régimen de responsabilidad para las Agencias
  • 35. Implicaciones nuevo RGPD AD Protección de datos desde el diseño • Conjunto de medidas técnicas y organizativas a integrar desde el mismo momento en que se empieza a diseñar el tratamiento. Por ejemplo: o Aplicación de técnicas de pseudonimización que dificulten el uso de los datos por parte de terceros no autorizados. o Implantación del principio de minimización de datos para tratar cuantos menos datos sea posible. 35 Nuevo régimen de responsabilidad para las Agencias
  • 36. Implicaciones nuevo RGPD AD Evaluaciones de impacto • ¿ Qué es ? Es un análisis profundo de los tratamientos que se realizan para determinar sus riesgos y efectos en las personas, • El RGPD prevé un contenido mínimo, pero la Agencia puede ampliarlo • Hay que recabar el asesoramiento del DPO y, si fuese posible, de los interesados. • Si el resultado revela un alto riesgo y la Agencia no pueda tomar medidas para mitigarlo por no ser posible o ser demasiado costosas, deberá consultar a la AEPD. • La AEPD podrá asesorar a la empresa. También podrá prohibir el tratamiento. 36 Nuevo régimen de responsabilidad para las Agencias
  • 37. Implicaciones nuevo RGPD AD Evaluaciones de impacto • ¿ Cuando es obligatoria realizarla ? o el tratamiento presente un alto riesgo para los usuarios o se elaboren perfiles para la toma de decisiones con efectos jurídicos o se realice un tratamiento a gran escala de categorías especiales de datos o se observe a gran escala y sistemáticamente una zona de acceso público o Las APD deberán establecer listas que ayuden a determinar si un tratamiento es o no de riesgo. También podrán elaborar listas de tratamientos exentos de evaluaciones de impacto. 37 Nuevo régimen de responsabilidad para las Agencias
  • 38. Implicaciones nuevo RGPD AD Evaluaciones de impacto • Ejemplo de supuestos en los que es necesario realizar EIPD. Guía de AEPD o Se enriquezca la información existente mediante la recogida de nuevas categorías de datos Data Enrichment o Tratamientos significativos no incidentales de datos de menores. o Realización de perfiles para servir publicidad a través de la monitorización y el análisis de la conducta de las personas (historiales de navegación y actividades en internet, comunicaciones, movimientos, historiales de lectura, compras, transacciones electrónicas, participación en foros, redes sociales, blogs o cualquier otra actividad en línea). o Tratamiento grandes volúmenes de datos a través de Big data, IoT, RFID, Drones, la minería de datos, biometría, geolocalización, o Se cedan datos personales a terceros 38 Nuevo régimen de responsabilidad para las Agencias
  • 39. Implicaciones nuevo RGPD AD Evaluaciones de impacto • ¿ Qué contenido tiene una EIPD? 1. Análisis de necesidad. Valoración de la conveniencia de realizar EIPD 2. Descripción del proyecto y flujos de información. Obtención del detalle de las categorías de datos, los usuarios, flujos de información y tecnologías utilizadas. 3. Identificación de los riesgos Análisis de posibles riesgos para protección de datos y valoración de la probabilidad de que sucedan y del daño que causarían si se materializaran. 4. Gestión de riesgos identificados. Determinación de controles y medidas que han de adoptarse para eliminar, mitigar, transferir o aceptar los riesgos detectados. 39 Nuevo régimen de responsabilidad para las Agencias
  • 40. Implicaciones nuevo RGPD AD Evaluaciones de impacto • ¿ Qué contenido tiene una EIPD? 6. Informe final Relación detallada de los riesgos identificados y de las recomendaciones y propuestas para eliminarlos o mitigarlos. 7. Implantación de las recomendaciones. Decisión sobre recomendaciones del informe final y las acciones que deben llevarse a cabo. 8. Revisión y realimentación Análisis del resultado final para comprobar la efectividad de la EIPD y verificar si se han creado nuevos riesgos o se han detectado otros que habían pasado desapercibidos. Estos resultados se utilizan para realimentar la evaluación de impacto y actualizarla cuando sea necesario. * Consulta con las partes afectadas 40 Nuevo régimen de responsabilidad para las Agencias
  • 41. Implicaciones nuevo RGPD AD Notificaciones de violaciones de seguridad • Las violaciones de seguridad deben ser notificadas a la AEPD sin demora, y en un máximo de 72h, salvo justificación motivada. En casos graves, también será necesario notificar a los interesados. • No es obligatorio si la violación no constituyó un riesgo para los derechos y libertades de las personas físicas. • El RGPD establece un contenido mínimo: o Indicar la naturaleza del incidente, o indicar datos de contacto del DPD u otro contacto del que obtener más información, o describir posibles consecuencias y o las medidas adoptadas o propuestas para remediar la violación. 41 Nuevo régimen de responsabilidad para las Agencias
  • 42. Implicaciones nuevo RGPD AD Delegado de protección de datos • El DPD es un experto en protección de datos designado por la Agencia que debe velar por el cumplimiento de la normativa en los tratamientos. • Sus funciones son: o Informar y asesorar sobre las obligaciones de la Agencia o Supervisar el cumplimiento de la normativa. o Ofrecer asesoramiento durante las evaluaciones de impacto. o Cooperar con la APD y actuar como punto de contacto • Su nombramiento es una medida de seguridad que ayuda a demostrar el cumplimiento. En ocasiones, su nombramiento es obligatorio. 42 Nuevo régimen de responsabilidad para las Agencias
  • 43. Implicaciones nuevo RGPD AD Delegado de protección de datos • ¿Cuándo es obligatorio? : o Las actividades del Cliente consistan en tratamientos o que requieran una observación habitual y sistemática de interesados a gran escala. o a gran escala de categorías especiales de datos personales o se refieran a infracciones penales. • Los Estados Miembros pueden ampliar esta lista. Aunque no está previsto que España lo haga. 43 Nuevo régimen de responsabilidad para las Agencias
  • 44. Implicaciones nuevo RGPD AD Delegado de protección de datos • Según GT Art.29 Se realizan tratamientos de datos a gran escala segun • El número de personas, en números absolutos o en proporción • El volumen de datos que se procesan • La duración, o permanencia, del tratamiento • El alcance geográfico de la actividad de tratamiento • Ejemplos tratamiento de datos a gran escala • De geolocalización en tiempo real de usuarios • De usuarios de empresa de seguros o un banco • Para publicidad basada en el comportamiento por parte de un motor de búsqueda • De contenido, tráfico, ubicación por parte de proveedores de telefonía o de servicios de Internet 44 Nuevo régimen de responsabilidad para las Agencias
  • 45. Implicaciones nuevo RGPD AD Delegado de protección de datos • Según GT Art.29 Ejemplo • Una pequeña tienda de electrodomésticos contrata un servicio de análisis de sitios web y asistencia mediante publicidad y marketing selectivos. • ¿ Quién debe nombrar el DPD ? La tienda o el proveedor 45 Nuevo régimen de responsabilidad para las Agencias
  • 46. Implicaciones nuevo RGPD AD Delegado de protección de datos • Según GT Art.29 Ejemplo • Una pequeña tienda de electrodomésticos contrata un servicio de análisis de sitios web y asistencia mediante publicidad y marketing selectivos. • ¿ Quién debe nombrar el DPD ? La tienda o el proveedor • La tienda no tiene porque nombrar DPD • no genera ningún tratamiento de datos «a gran escala», teniendo en cuenta el reducido número de clientes y sus actividades relativamente limitadas. • El proveedor que presta servicios de publicidad si debe nombrar DPD • Cuenta con muchos clientes como esta pequeña empresa, consideradas en conjunto, suponen un tratamiento de datos a gran escala. 46 Nuevo régimen de responsabilidad para las Agencias
  • 47. Implicaciones nuevo RGPD AD Delegado de protección de datos • Los grupos de empresas pueden nombrar un único DPD. • El DPD puede ser interno o externo. • Una única persona puede ser DPD de varias empresas. • No tiene que ser licenciado en Derecho, pero debe tener suficientes conocimientos sobre la normativa y la práctica de protección de datos. • La APD está desarrollando un esquema de certificación para profesionales que quieran acreditar sus facultades como DPD. No será un requisito obligatorio. 47 Nuevo régimen de responsabilidad para las Agencias
  • 48. Implicaciones nuevo RGPD AD El registro de tratamientos • ¿ Cuándo es obligatorio ? o La Agencia tiene mas de 250 empleados o o El tratamiento “entrañe riesgo” o sea categorías especiales de datos • Contenido mínimo: o Identificación y datos de contacto de Agencia representante y DPD o Finalidades del tratamiento o Descripción de categorías de interesados y datos personales o Categorías de destinatarios existentes y previstos o Transferencias internacionales y documentación de garantía de las legitimadas en interés legítimo imperioso. o Plazos para la supresión de datos. o Descripción de las medidas de seguridad. 48 Nuevo régimen de responsabilidad para las Agencias
  • 49. Implicaciones nuevo RGPD AD Conclusiones • Agencias como encargadas de tratamiento deben • Adoptar una actitud proactiva debe demostrar el cumplimiento de normativa • Realizar un análisis de riesgo • Contrato de encargado de tratamiento 49
  • 50. 50 ADIGITAL ¡Muchas gracias! Iñaki Uriarte iuriarte@adigital.org