El planteamiento de este dossier es facilitar a las empresas la correcta comprensión de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales, así como las obligaciones que se establecen y se deban adoptar.
El planteamiento de este dossier es facilitar a las empresas la correcta comprensión de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales, así como las obligaciones que se establecen y se deban adoptar.
El próximo 25 de mayo 2018 entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD), sustituyendo y derogando la Ley Orgánica 15/99 de Protección de Datos (LOPD).
Este Reglamento (UE) de gran calado y relevancia permitirá a los ciudadanos tener un mayor control de sus datos personales y a las empresas aprovechar al máximo las oportunidades de un mercado único digital. Todas las empresas han de nombrar a un Responsable de Protección de Datos.
Escura, presta el servicio de implementación del nuevo Reglamento General de Protección de Datos adaptado a las necesidades requeridas por la Ley, ley de obligado cumplimiento.
ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...Javier Alvarez Hernando
Ponente: JAVIER ALVAREZ HERNANDO
Taller: VISION PRACTICA PARA LA EMPRESA: NOVEDADES EN PROTECCION DE DATOS Y COMPLIANCE.
ORGANIZA: THOMSON REUTERS
LUGAR: ASOCIACION DE LA PRENSA DE MADRID.
FECHA: 22/09/2017
BREVE REFERENCIA AL CONTENIDO:
Novedades del Reglamento General de Protección de Datos, de aplicación a partir de Mayo de 2018. El Reglamento establece un cambio de paradigma en materia de protección de datos. Propone un modelo basado en criterios como, la responsabilidad activa, flexibilidad, la importancia del contexto y la cooperación, dirigido tanto a entidades públicas, privadas, autoridades de protección de datos.
En la presentación se analizan las novedades más importantes, a juicio del ponente, que ofrece la nueva regulación sobre privacidad.
Legislación sobre seguridad y protección de datos 2019, Trabajo para la asignatura de Seguridad y Alta Disponibilidad de 2º de ASIR del IES Romero Esteo
Semana habeas-data [POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES] .pdfWILLIAM HORNA
La presente política tiene por objeto el cumplimiento de las disposiciones legales, constitucionales y jurisprudenciales concernientes al desarrollo del derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar la información que se haya recogido sobre ellas en bases de datos o archivos relativos al artículo 15 de la Constitución Política, así como el derecho a la información consagrado en el artículo 20 de la misma
El próximo 25 de mayo 2018 entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD), sustituyendo y derogando la Ley Orgánica 15/99 de Protección de Datos (LOPD).
Este Reglamento (UE) de gran calado y relevancia permitirá a los ciudadanos tener un mayor control de sus datos personales y a las empresas aprovechar al máximo las oportunidades de un mercado único digital. Todas las empresas han de nombrar a un Responsable de Protección de Datos.
Escura, presta el servicio de implementación del nuevo Reglamento General de Protección de Datos adaptado a las necesidades requeridas por la Ley, ley de obligado cumplimiento.
ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...Javier Alvarez Hernando
Ponente: JAVIER ALVAREZ HERNANDO
Taller: VISION PRACTICA PARA LA EMPRESA: NOVEDADES EN PROTECCION DE DATOS Y COMPLIANCE.
ORGANIZA: THOMSON REUTERS
LUGAR: ASOCIACION DE LA PRENSA DE MADRID.
FECHA: 22/09/2017
BREVE REFERENCIA AL CONTENIDO:
Novedades del Reglamento General de Protección de Datos, de aplicación a partir de Mayo de 2018. El Reglamento establece un cambio de paradigma en materia de protección de datos. Propone un modelo basado en criterios como, la responsabilidad activa, flexibilidad, la importancia del contexto y la cooperación, dirigido tanto a entidades públicas, privadas, autoridades de protección de datos.
En la presentación se analizan las novedades más importantes, a juicio del ponente, que ofrece la nueva regulación sobre privacidad.
Legislación sobre seguridad y protección de datos 2019, Trabajo para la asignatura de Seguridad y Alta Disponibilidad de 2º de ASIR del IES Romero Esteo
Semana habeas-data [POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES] .pdfWILLIAM HORNA
La presente política tiene por objeto el cumplimiento de las disposiciones legales, constitucionales y jurisprudenciales concernientes al desarrollo del derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar la información que se haya recogido sobre ellas en bases de datos o archivos relativos al artículo 15 de la Constitución Política, así como el derecho a la información consagrado en el artículo 20 de la misma
Derechos de las personas con discapacidad. Análisis documental..pdfJosé María
El Real Patronato sobre Discapacidad es un organismo autónomo que tiene entre otros fines la promoción de la aplicación de los ideales humanísticos, los conocimientos científicos y los desarrollos técnicos para el perfeccionamiento de las acciones públicas y privadas sobre discapacidad.
es un libro utilizado para el peritaje o estudio de los documentos y firmas, encontrara una guía completa que le servirá para emitir un dictamen técnico en la materia.
contiene ejemplos para una mejor interpretación, ente no solo es de carácter teórico si no que presenta las habilidades de origen técnico.
COONAPIP II FORO DE MUJERES BUGLÉ Elaborado por: Yanel Venado Jiménez/COONAPI...YuliPalicios
Es una copilación de fotografías y extractos
del II Foro de Mujeres Buglé: Por la Defensa de los Derechos Territoriales, realizado en el corregimiento de Guayabito Comarca Ngäbe-Buglé de Pannamá. A través de estas imágenes y sus reseñas, buscamos presentar estrategias
para responder a las amenazas a las que se enfrentan, reforzar el cuidado y vigilancia del territorio, los derechos y la cultura, como mecanismos de defensa territorial, aportes que fortalezcan colectivamente la protección de
los derechos territoriales del Pueblo Buglé.
2. ¿Qué es la Protección de Datos Personales?
Es un Derecho
Fundamental
Que reconoce a cada ciudadano:
- La facultad de controlar sus datos personales
- La capacidad de disponer y decidir sobre ellos
Mayores Riesgos – Mayores Garantías
Globalización Big Data
Rápida evolución
tecnológica
Nube
Redes Sociales
Internet de las
cosas
Art. 18.4 CE
“la ley limitará el uso de la informática para
garantizar el honor y la intimidad personal y familiar
de los ciudadanos y el pleno ejercicio de sus derechos”
3. Marco legislativo Actual
A nivel Europeo A nivel nacional
Reglamento (UE) 2016/679, del
Parlamento Europeo y del
Consejo, de 27 de abril de 2016
General de Protección de Datos
(RGPD)
Objetivo: Integra en el
ordenamiento español, la
norma europea (RGPD)
clarificando y desarrollando su
contenido.
El RGPD no excluye la intervención del
Derecho Interno, sino que es necesaria para
la depuración del ordenamiento nacional y
el desarrollo del RGPD.
Objetivo: Lograr un derecho de
protección de datos personales
único, para toda la Unión Europea.
Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de
Datos Personales y garantía de
los derechos digitales
(LOPDyGDD)
5. Concepto de “Dato Personal”
“toda información sobre una
persona física identificada o
identificable (el interesado)”.
(Art. 4.1 RGPD)
Nombre y apellidos
DNI
Minusvalía
E-mail
Expediente
administrativo
Historial médico
Fotografía
Datos
económicos
Vídeo
Dirección
Teléfono
6. Concepto de “Dato Personal”
La definición de “dato personal” sólo abarca a personas
físicas y no a personas jurídicas ni personas fallecidas.
El RGPD matiza la definición incluyendo la expresión:
“identificada o identificable”
Para el ámbito de
Protección de datos
personales
Para el ámbito de
Secreto Estadístico
Art 13.1 y 2 LFEP:
“1. Serán objeto de protección y quedarán amparados por el
secreto estadístico los datos confidenciales que obtengan los
servicios estadísticos tanto directamente de los informantes
como a través de fuentes administrativas.
2. Se entiende que son datos personales los referentes a
personas físicas o jurídicas que o bien permitan la
identificación inmediata de los interesados, o bien conduzcan
por su estructura, contenido o grado de desagregación a la
identificación indirecta de los mismos.”
7. Concepto de “Dato Personal”
Secreto
Estadístico
Protege los datos personales
de los informantes
Protege los datos confidenciales
que supongan una
Persona Física
Persona Jurídica
Identificación Directa
Identificación Indirecta
Protección
de Datos
Protege los datos personales
de los ciudadanos
Protege los datos personales
que supongan una
Persona Física
Identificación Directa
Identificación Indirecta
8. Categorías especiales de datos personales
Art. 9.1 RGPD
“Quedan prohibidos el tratamiento de datos personales que
revelen el origen étnico o racial, las opiniones políticas, las
convicciones religiosas o filosóficas, o la afiliación sindical, y
el tratamiento de datos genéticos, datos biométricos
dirigidos a identificar de manera unívoca a una persona
física, datos relativos a la salud o datos relativos a la vida
sexual o las orientación sexuales de una persona física.”
Art. 10 RGPD
“El tratamiento de datos personales relativos a condenas e
infracciones penales o medidas de seguridad conexas sobre
la base del artículo 6, apartado 1, sólo podrá llevarse a cabo
bajo la supervisión de las autoridades públicas o cuando lo
autorice el Derecho de la Unión o de los Estados miembros
que establezca garantías adecuadas para los derechos y
libertades de los interesados. Solo podrá llevarse un registro
completo de condenas penales bajo el control de las
autoridades públicas.”
Hay datos personales a los que el RGPD otorga una especial protección
debido a su sensibilidad. Son los recogidos en los artículos 9.1 y 10 RGPD.
9. Categorías especiales de datos personales
Art. 10 RGPD
Art. 9.1 RGPD
Art. 9.2 RGPD
Excepción
“El apartado 1 no será de aplicación cuando concurra una de las
circunstancias siguientes:
j) el tratamiento es necesario con fines de archivo en interés público,
fines de investigación científica o histórica o fines estadísticos, de
conformidad con el artículo 89, apartado 1, sobre la base del Derecho
de la Unión o de los Estados miembros, que debe ser proporcional al
objetivo perseguido, respetar en lo esencial el derecho a la protección
de datos y establecer medidas adecuadas y específicas para proteger
los intereses y derechos fundamentales del interesado.”
“[…] sólo podrá llevarse a cabo bajo la supervisión de las
autoridades públicas o cuando lo autorice el Derecho de la
Unión o de los Estados miembros que establezca garantías
adecuadas para los derechos y libertades de los interesados.”
Como puede extraerse de los preceptos anteriores, el RGPD prohíbe el
tratamiento de esos datos personales sensibles. Sin embargo, establece
una serie de excepciones a esa prohibición general.
10. Categorías especiales de datos personales
REGLA GENERAL:
Prohibición del tratamiento de datos personales especiales (los
recogidos en los artículos 9 y 10 del RGPD)
EXCEPCIONES:
Pueden tratarse datos personales especiales cuando el
tratamiento sea necesario para fines estadísticos o así lo
establezca el Derecho de la Unión o de los Estados miembros.
¿CÓMO PUEDEN TRATARSE LOS DATOS PERSONALES
ESPECIALES EN EL ÁMBITO ESTADÍSTICO?
De acuerdo con lo establecido en el 89.1 RGPD y el
25.2 LOPDyGDD.
11. Categorías especiales de datos personales
Art. 89.1
RGPD
Establece, garantías y excepciones GENERALES aplicables al tratamiento
con fines estadísticos y que desarrollará el Art. 25.2 LOPDyGDD.
Art. 25.2
LOPDyGDD
“De conformidad con lo dispuesto en el artículo 11.2 de la Ley 12/1989,
de 9 de mayo, de la Función Estadística Pública, serán de aportación
estrictamente voluntaria y, en consecuencia, solo podrán recogerse
previo consentimiento expreso de los afectados los datos a los que se
refieren los artículos 9 y 10 del Reglamento (UE) 2016/679.”
“El tratamiento con […] fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al presente
Reglamento, para los derechos y las libertades de los interesados. Dichas garantías harán que se disponga de
medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos
personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos
fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la
identificación de los interesados, esos fines se alcanzarán de ese modo.”
CONCLUSIÓN:
Los datos personales especialmente protegidos (Art. 9 y 10 RGPD) SÍ pueden tratarse para fines
estadísticos PERO serán de aportación estrictamente voluntaria y, en consecuencia, solo podrán
recogerse previo consentimiento expreso de los afectados.
12. Responsable y Encargado del Tratamiento
Persona física o jurídica,
autoridad pública […] que, solo o
junto con otros determine los
fines y medios del tratamiento.
Persona física o jurídica,
autoridad pública […] que trate
datos personales por cuenta del
responsable del tratamiento
Responsable Encargado
Contrato Administrativo: Cláusulas de
encargo de tratamiento
Entre distintas AAPP:
Encargo a medio propio o convenio.
Directrices
AEPD
En el ámbito de las AAPP
En la misma AP:
Atribución de competencias
Relación AAPP-
empresas
13. RESPONSABLE EN EL INE
Persona física o jurídica, autoridad pública […] que, solo o junto
con otros determine los fines y medios del tratamiento.
Responsable del
tratamiento
Subdirecciones Generales
Titular de la Presidencia
del INE
Como máximo responsable del INE en su totalidad.
Como máximas responsables de determinar los fines y los
medios con los que se lleva a cabo cada uno de los
tratamientos dentro de la Subdirección
¿Qué ocurre en caso de INCUMPLIMIENTO?
14. Régimen Sancionador en las AA.PP.
Es importante cumplir con la normativa de protección de datos personales en el
trabajo diario. En caso de dudas en dicha materia, se debe acudir al superior
jerárquico y si éste dudara en la respuesta, elevará una consulta al DPD.
Las infracciones cometidas por los órganos y organismos del Sector Público serán
sancionadas con un apercibimiento con medidas correctoras y no tendrán sanción
económica.
La resolución sancionadora de la AEPD identificará el cargo responsable de la
infracción, se notificará al infractor, a su superior jerárquico, al Defensor del Pueblo
y se publicará en la página web de la AEPD y en el diario oficial correspondiente.
La resolución sancionadora podrá proponer al órgano y organismo del Sector
Público la iniciación de actuaciones disciplinarias, cuya resolución deberá ser
comunicada por dicho órgano u organismo a la AEPD.
Cuando las infracciones sean imputables a autoridades y directivos del Sector Público
y se acredite la existencia de informes técnicos o recomendaciones que no hubieran
sido atendidos por éstos, la resolución sancionadora incluirá una amonestación con la
identificación del cargo responsable y se publicará en el diario oficial correspondiente.
15. ¿Qué novedades supone la nueva normativa
de protección de datos personales?
Modelo basado en el
Cumplimiento Pasivo
Modelo basado en el
Principio de
responsabilidad proactiva
Supone un cambio de actitud
Con no incumplir, basta.
CUMPLIR
No incumplir, no es suficiente.
CUMPLIR + DEMOSTRAR
TENER INICIATIVA
La nueva regulación impone al responsable el deber de:
- adoptar las medidas necesarias para garantizar que están en condiciones de cumplir con los
principios, derechos y garantías que establece el RGPD y, además,
- poder demostrar que el tratamiento es conforme con el mismo.
Protección de datos desde
el diseño y por defecto
Evaluaciones de impacto
Notificación de brechas de
seguridad
Códigos de conducta y
esquemas de certificación
Principios
del RGPD
Análisis de riesgos y
medidas de seguridad
Derechos
del RGPD
RAT
DPD
16. Principio de responsabilidad proactiva
Responsabilidad
proactiva
Valoración por el responsable o por el encargado del
tratamiento del riesgo que pudiera generar el
tratamiento de los datos personales para el ciudadano y
adoptar las medidas que procedan.
Protección de datos desde el
diseño (Art.25.1 RGPD)
PD presente en las primeras
fases de un proyecto o en las
nuevas fases de desarrollo
Esto se traducirá en medidas
técnicas y organizativas
Minimización de datos
Seudonimización
Protección de datos por
defecto (Art.25.2 RGPD)
Sólo deben ser objeto de tratamiento
los datos personales que sean
estrictamente necesarios para cada
uno de los fines previstos.
17. ¿Qué es el tratamiento de datos personales?
Art. 4.2 RGPD: Tratamiento de datos:
Cualquier operación o conjunto de operaciones realizadas sobre datos
personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no, como la recogida, registro, organización,
estructuración, conservación, adaptación o modificación, extracción,
consulta, utilización, comunicación por transmisión, difusión o cualquier
otra forma de habilitación de acceso, cotejo o interconexión, limitación,
supresión o destrucción. Algunos ejemplos son:
Listados de opositores Procedimientos
disciplinarios
Control de
accesos
Gestión de RRHH
Encuesta de integración
social y de salud
Gestión de brechas de
seguridad
Censo
Electoral
Videovigilancia
EPA
Formación
18. Legitimación para el tratamiento Art.6.1RGPD
Consentimiento:
Art.6.1 a) RGPD
- Manifestación de la voluntad libre, informada, específica e
inequívoca.
- El RGPD requiere una acción positiva que indique la
autorización del interesado.
- NO se admite el consentimiento tácito: no puede
deducirse del silencio o de la inacción de los ciudadanos.
- Quien recopile los datos personales deben ser capaces de
demostrar que la persona física otorgó su consentimiento.
- ¡Ojo! El consentimiento es esencialmente revocable y que
se debe informar al afectado de esta posibilidad.
Consentimiento
otorgado por los
menores de edad
“El tratamiento de los datos personales de un menor de edad
únicamente podrá fundarse en su consentimiento cuando sea
mayor de catorce años.” (Art.7.1 LOPDyGDD)
- Mayores de 14 años: Válido el consentimiento del menor
- Menores de 14 años: Necesario el consentimiento del titular
de la patria potestad o tutela.
Siempre que se vaya a realizar un tratamiento de datos personales, hay
que determinar la base jurídica que nos legitima para llevarlo a cabo.
19. Legitimación para el tratamiento
Relación contractual:
Art. 6.1 b) RGPD
El tratamiento es necesario “para la ejecución de un
contrato en el que el interesado es parte o para la
aplicación a petición de éste de medidas
precontractuales”
- Común en el ámbito privado (empresas)
- Las AAPP cuando actúan en su ámbito privado
Interés legítimo:
Art. 6.1 f) RGPD
- Interés legítimo del responsable o de un tercero que
prevalezca sobre los intereses, derechos o
libertades fundamentales del interesado.
- Implica realizar, en cada caso, una ponderación para
determinar la prevalencia o no del interés legítimo.
- ¡Ojo! no será de aplicación al tratamiento realizado
por las AAPP en el ejercicio de sus funciones.
Interés vital:
Art. 6.1 d) RGPD
- Ha de tratarse de un “interés esencial” para la vida
de los interesados.
- Tiene carácter subsidiario y restrictivo
- Ej.: fines humanitarios, epidemias, emergencias
humanitaria derivadas de catástrofes…
20. Legitimación para el tratamiento
Cumplimiento de una
misión realizada en interés
público o en el ejercicio de
poderes públicos:
Art. 6.1 e) RGPD
Un tratamiento sólo podrá considerarse fundado en el Art. 6.1
e) RGPD cuando derive de una competencia atribuida por una
norma con rango de ley.
Se refiere a las competencias esenciales de una AAPP
Cumplimiento de una
obligación legal:
Art. 6.1 c) RGPD
Un tratamiento sólo podrá considerarse fundado en el Art. 6.1 c) RGPD
cuando así lo prevea una norma de Derecho de la Unión Europea o
una norma con rango de ley.
Este precepto se aplica a empresas privadas que, en virtud de un
mandato legal, están obligadas a realizar ese tratamiento o a las AAPP
cuando ese mandato este fuera de sus competencias esenciales.
En el caso concreto de la estadística oficial, el artículo 25.2
párrafo 1 LOPDyGDD establece:
“La comunicación de los datos a los órganos competentes en
materia estadística solo se entenderá amparada en el artículo
6.1 e) del Reglamento (UE) 2016/679 en los casos en que la
estadística para la que se requiera la información venga
exigida por una norma de Derecho de la Unión Europea o se
encuentre incluida en los instrumentos de programación
estadística legalmente previstos.”
21. Legitimación para el tratamiento
REGLA GENERAL:
La base jurídica para el tratamiento de datos personales por parte de las
AAPP en el ejercicio de sus competencias es:
Art. 6.1 e) RGPD: el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al
responsable del tratamiento.
Puntualmente, si una ley habilita a las AAPP a tratar datos personales, en
ámbitos distintos al de sus competencias esenciales, entonces la base
jurídica será:
Art. 6.1 c) RGPD: el cumplimiento de una obligación legal aplicable al
responsable del tratamiento.
Excepcionalmente, los tratamientos de datos que no encuentren
justificación en las bases anteriores (o en el caso del INE el tratamiento de
categorías especiales de datos), tendrán que basar su legitimidad en:
Art. 6.1 a) RGPD: el consentimiento del interesado
22. ¿Qué obligaciones genera el RGPD?
1. Atender los
Derechos del
interesado
2. Conocer las actividades
de tratamiento y los datos
contenidos en ellas
Evaluaciones de impacto
Análisis de riesgos y
medidas de seguridad
Brechas de seguridad
Limitación del tratamiento
Información
ARCO
Portabilidad de datos
4. Proteger los datos
incluidos en las actividades
de tratamiento
Elaboración y publicación
del RAT
3. Figura del Delegado
de Protección de Datos
23. 2. Conocer las actividades de tratamiento y
los datos contenidos en ellas
Desaparece la obligación de
notificar los ficheros ante el
Registro General de
Protección de Datos
Aparece la obligación de
elaborar el Registro de
Actividades de Tratamiento
Bajo el Principio de Responsabilidad Proactiva
Las AAPP están obligadas a
publicarlo en su web
Mantener el RAT
actualizado es obligación
del responsable y del
encargado del tratamiento,
que deberán informar al
DPD.
Contenido del RAT:
- Identidad y contacto del RT
- Datos del DPD
- Finalidad
- Base jurídica
- Colectivo del que se toman los datos
- Datos tratados
- Destinatarios
- Transferencias internacionales de datos
- Plazo de conservación
- Medidas de seguridad
Consulta el RAT del INE
24. 3. Delegado de Protección de Datos (DPD)
Supervisará el
cumplimiento
del RGPD
Asesorará al
responsable
del tratamiento
Atenderá las
peticiones de
los ciudadanos
Actuará como
intermediario frente
a la Autoridad de
Control (AEPD)
Designación DPD
Es obligatoria en las AAPP
Hay que comunicarla a la AEPD
• Conocimientos especializados
en Derecho y en la práctica de
protección de datos
• Conocimiento sólido de las
normas y procedimientos
administrativos
• Alto nivel de integridad y
ética profesional
El DPD actúa como asesor y supervisor
interno, por lo que ese puesto NO
puede ser ocupado por personal que
tome decisiones sobre la existencia de
tratamientos de datos o sobre el
modo en el que van a ser tratados.
El DPD no tiene responsabilidad a
titulo personal por las infracciones
cometidas por su organización.
25. Delegado de Protección de Datos INE:
Juan Antonio Gil Murillo. Vocal Asesor.
Unidad del DPD:
Laura Grande Freire
Email: dpd@ine.es
DPD INE (Gabinete de Presidencia)
26. Reclamaciones y consultas ante DPD del INE
El artículo 37 LOPDyGDD regula la intervención del DPD, en caso de reclamación frente al
responsable o encargado del tratamiento, ante las autoridades de protección de datos.
Para dar cumplimiento a este requerimiento del RGPD, el INE ha habilitado en su Sede
Electrónica el trámite denominado Actuaciones ante el DPD del INE que se puede
consultar en el siguiente enlace.
27. Consultas ante el DPD por personal del INE
SIEMPRE: Utilizar el correo genérico dpd@ine.es
Preferiblemente, planteadas por el responsable de la Subdirección General.
IMPORTANTE:
La AEPD no atiende consultas que antes no se hayan
planteado ante el DPD
28. Plan de actuación ante brechas de seguridad
Brecha de
seguridad
“Toda violación de la seguridad que ocasione la destrucción,
pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a dichos datos.”
En una brecha o violación de la seguridad de los datos
personales, el responsable del tratamiento no puede garantizar
los principios recogidos en el Art. 5 RGPD.
Es un tipo de incidente
de seguridad
Ejemplo: Un ciudadano entra en el cuestionario online (CAWI) para responder su encuesta y al
acceder con sus credenciales, se encuentra con los datos de otro hogar.
PLAN DE ACTUACIÓN ANTE UNA BRECHA DE SEGURIDAD
Cuando se produzca un incidente de seguridad en el que se hayan visto afectados o pensemos
que han podido verse afectados datos personales:
1. Comunicarlo al superior jerárquico, al Subdirector General y éste al Delegado de Protección
de Datos del INE y al Responsable de Seguridad del INE y controlar la brecha.
2. Recabar toda la información posible sobre el incidente: Qué ha ocurrido, origen de la brecha,
categorías y volumen de datos afectados, categorías y volumen de personas afectadas…
3. Junto al DPD, completar el Formulario de Notificación de brechas de seguridad (72 horas):
https://www.aepd.es/sites/default/files/2021-02/formulario-brechas.pdf