El Reglamento General de Protección de Datos (RGPD) comenzará a aplicarse a partir del próximo mes de mayo de 2018 con el fin de reforzar los derechos de los ciudadanos y de establecer una regulación uniforme en los distintos países de la Unión Europea.
3. 1. Disminuye el riesgode sanciones
Los incumplimientos del RGPD pueden suponer la imposición de multas de hasta 20.000.000€ o el 4% de la facturación
anual del Grupo a nivel mundial.
2. Evitadaños reputacionales
«SánchezRomerocometió unainfracción«grave» al noprotegerdatospersonales»
“La Agencia de Protección de Datos inició una inspección, tras la aparición, en bolsas y contenedores de basura, de una serie de
fichas y datos personales de aspirantes a un puesto de trabajo en los establecimientos de la cadena de supermercados. En las
fichas aparecían una serie de anotaciones calificadas como «despectivas» y «vejatorias» sobre el aspecto físico o las
circunstancias personales de los candidatos”
¿Porquéesimportante adaptarnuestras empresas al RGPD?
www.ejaso.es 3
4. ¿Porqué es importante adaptarnuestras empresas al RGPD?
3. Generaconfianza ennuestrosclientes
CASO TJ MAX: Piratas informáticos obtuvieron datos de más de 40 millones de tarjetas
de crédito y débito utilizadas en la cadena, lo que supuso $320M entre juicios y
sanciones. Además, la publicación de esta noticia se traduciría en una caída del 5% de
sus acciones.
4. Generaconfianza enempleados
«Multaa Wortenporvenderundiscodurocon losdatosde sustrabajadores»
“El disco duro fue adquirido por el usuario como nuevo en 2013, por lo que al descubrir que ya había sido usado, presentó
una reclamación al advertir que estaba lleno de datos personales y profesionales de los empleados del establecimiento de la
cadenaque WortenteníaenSevilla,y quecerróen2015.”
www.ejaso.es 4
5. ¿Cuándoes obligatorio cumplircon el RGPD?
El RGPDentróenvigor el25 de mayode 2016y será efectivo elpróximo 25 de mayo de 2018(findelperiodotransitorio).
www.ejaso.es 5
6. Modernización de la normativa con el fin de fortalecer los derechos de protección de
datos frente a los avances de la era digital (redes sociales, cloud computing, servicios
basados en geolocalización, wearebles, Big Data, IoT, IA, robótica, etc.)
Establecer un marco legal armonizado en la UE (“Un continente una ley”)
Simplificar requerimientos administrativos para las empresas (simplificación de
trámites para transferencias internacionales de datos, eliminación de la obligación de
inscribir ficheros, etc.)
¿Qué objetivos tiene el RGPD?
www.ejaso.es 6
7. I. Principio de responsabilidad activa y enfoque del riesgo
El responsable del tratamiento aplicará medidas técnicas y organizativas
apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme
con el RGPD.
Paso de responsabilidad “pasiva” (no infringir) a “activa” (garantizar el
cumplimiento de manera demostrable).
La falta de aplicación de estas medidas es por sí misma sancionable.
Las medidas se aplican en función del nivel de “riesgo”, no a todos los
tratamientos por igual (p.ej. Evaluaciones de Impacto de Privacidad, Delegado de
Protección de Datos, notificaciones de violaciones de seguridad, etc.)
¿Cuáles son las principales novedades del RGPD?
www.ejaso.es 7
8. II. El RGPD introduce modificaciones relevantes en el cumplimiento de las
obligaciones ya existentes y establece nuevas obligaciones para el tratamiento de
datos personales
Consentimiento del interesado
Deber de información
Derechos de los interesados
Relaciones Responsable – Encargado
Medidas de seguridad
Registro de actividades de tratamiento
Notificación de quiebras de seguridad
Evaluación de Impacto sobre la Protección de Datos
Nombramiento del Delegado de Protección de Datos
¿Cuáles son las principales novedades del RGPD?
www.ejaso.es 8
9. III. Endurecimiento de las sanciones
El RGPD establecen dos rangos de sanciones:
Multas hasta 10 millones de euros o, si es superior, hasta un 2% como máximo
del volumen de negocio total anual global.
Multas hasta 20 millones de euros o, si es superior, hasta un 4% como máximo
del volumen de negocio total anual global.
¿Cuáles son las principales novedades del RGPD?
www.ejaso.es 9
11. ¿CómoadaptarsealRGPD?
Creaciónde un inventario de tratamientos
Adecuación de medidas de seguridad
Revisión de contratos con Encargados del tratamiento
Adaptación de cláusulas informativas
Análisis de riesgos
• Registro actividades tratamiento
• DPO
• EIPD
Revisión procedimientos de obtención del consentimiento
Revisión de las transferencias internacionales
Adaptación procedimientos atención de derechos
Comunicación quiebras de seguridad
www.ejaso.es 11
12. Creación de un inventario de tratamientos
Es necesario documentar e identificar claramente la base legal sobre cada uno
de los tratamientos se desarrollan los tratamientos.
Posibles bases legales:
o Consentimiento de los interesados.
o Necesario para la ejecución de un contrato.
o Cumplimiento de obligaciones legales.
o Interés legítimo del Responsable del tratamiento.
o Etc.
www.ejaso.es 12
13. Adecuación de las cláusulas informativas
El RGPD exige que la información al interesado sobre el tratamiento de sus
datos se facilite con un lenguaje claro y sencillo.
Adicionalmente se incrementa la información a facilitar a los interesados (base
jurídica del tratamiento, plazos de conservación de datos, transferencias
internacionales, etc.)
Revisión de los de las cláusulas de protección de datos:
Formularios en papel.
Páginas web.
Contratos.
No será necesario volver a facilitar la información respecto de los datos ya
obtenidos con anterioridad a mayo de 2018.
www.ejaso.es 13
15. Revisión de procedimientos de obtención del consentimiento
¿Cuándo es necesario recoger el consentimiento?
NO cuando los tratamientos sean necesarios para:
Desarrollo de la relación contractual con el interesado.
Cumplimiento de obligaciones legales.
Interés legítimo del Responsable (prevención del fraude en la
contratación, cesiones intragrupo con fines administrativos,
etc.)
SI cuando el tratamiento exceda de dichas finalidades:
Tratamientos que excedan de los necesarios (publicidad,
perfiles sobre comportamiento, rendimiento laboral,
solvencia, etc.
Tratamiento de datos sensibles (salud, ideología, etc.)
www.ejaso.es 15
16. Revisión de procedimientos de obtención del consentimiento
A diferencia de la LOPD, no se admiten formas de consentimiento tácito
(inacción) o que se basan en casillas ya marcadas.
¿Cómo debe obtenerse el consentimiento?
De manera inequívoca (acción afirmativa, conducta que indique
claramente que acepta el tratamiento).
De forma específica: mediante casillas diferenciadas para cada una de
las finalidades (marketing, cesiones a terceros, etc.)
A partir de la entrada en vigor del RGPD, los consentimientos obtenidos con
anterioridad de manera tácita dejarán de ser válidos, por lo que el
consentimiento debe obtenerse nuevamente.
Debemos ser capaces de demostrar la existencia del consentimiento.
www.ejaso.es 16
17. Si se recogen datos de menores de 14 años, el consentimiento debe
ser prestado por padres o tutores.
Los mayores de 14 años pueden consentir el tratamiento de sus datos
personales pero debe facilitarse la información en lenguaje adaptado
a su edad.
El RGPD modifica la edad para consentir a 16 años pero permite a los
estados miembros bajarla hasta los 13 años. El Proyecto de LOPD
rebaja la edad a 13 años.
Revisión de procedimientos de obtención del consentimiento
www.ejaso.es 17
18. Revisión de los contratos de encargo del tratamiento
El RGPD impone deber de diligencia en la elección del Encargado.
Conveniencia de verificar las garantías ofrecidas durante los
procesos de homologación de proveedores (certificaciones,
etc.) y de establecer procedimientos de control durante la
relación contractual (auditorías, etc.)
La adhesión a códigos de conducta o la posesión de un
certificado de protección de datos pueden servir como mecanismos
de prueba de la diligencia.
www.ejaso.es 18
19. Revisión de los contratos de encargo del tratamiento
El RGPD amplía el contenido mínimo de los contratos de encargo de
tratamiento.
La naturaleza y la finalidad del tratamiento.
Tipo de datos personales y categorías de interesados.
Obligación de confidencialidad contractual o estatutaria para las
personas autorizadas a acceder a los datos.
Régimen para la subcontratación de servicios.
Obligación de asistir al responsable para la respuesta a solicitudes
de ejercicio de derechos de los interesados.
Permitir la realización de auditorías.
Obligación del encargado de adoptar medidas de seguridad.
www.ejaso.es 19
20. Adaptación de las medidas de seguridad
El RGPD no establece medidas técnicas y organizativas concretas a adoptar,
ni prevé su desarrollo.
Se deben aplicar medidas de seguridad apropiadas para garantizar una
seguridad adecuado.
Debe realizarse un análisis de riesgos previo y determinar las medidas a
adoptar, considerando:
Estado de la técnica y costes de aplicación.
Riesgos (destrucción, pérdida, alteración accidental o ilícita, accesos
no autorizados, etc.) y la naturaleza de los datos personales.
La adhesión a códigos de conducta o los mecanismos de certificación podrá
servir de elemento para demostrar el cumplimiento de las obligaciones de
seguridad.
www.ejaso.es 20
21. Revisión de las transferencias internacionales de datos
Concepto de transferencia internacional de datos: aquellas
transferencias de datos fuera del territorio de la UE.
No requieren autorización
Países de protección equiparable (Argentina, Andorra, Israel,
Acuerdo de “Privacy Shield” (USA).
Binding Corporate Rules (BCR´s) aprobadas por la APD
competente.
Cláusulas Tipo aprobadas por la Comisión.
www.ejaso.es 21
22. Adaptación de los procedimientos de atención de derechos
El RGPD establece nuevos derechos:
Derecho de acceso.
Derecho de rectificación.
Derecho de supresión: comprende los tradicionales derechos de
cancelación y oposición y revocación del consentimiento.
Derecho a la limitación del tratamiento: derecho al marcado (bloqueo
de sus datos) con el fin de limitar su tratamiento futuro.
Derecho a la portabilidad de datos: derecho a recibir los datos
personales que haya facilitado a un responsable, en un formato
estructurado
El Reglamento requiere que los responsables posibiliten la presentación de
solicitudes por medios electrónicos.
Plazo de 1 mes para atender las solicitudes de los interesados.
www.ejaso.es 22
23. Comunicación de quiebras de seguridad
Violaciones de seguridad (accesos no autorizados, borrado accidental, robo de
datos, etc.)
Notificación a la APD competente de todas las violaciones de seguridad, salvo
que:
Sea improbable que dicha violación de la seguridad constituya un
“riesgo” para los derechos y libertades de los interesados.
Comunicación al interesado: sólo cuando sea probable que dicha
violación de la seguridad constituya un “un alto riesgo” para los
derechos y libertades de los interesados.
Plazo máximo de 72 horas desde que se tuvo constancia (certeza, no
mera sospecha).
Conveniencia de desarrollar e implantar procedimientos de gestión de
quiebras de seguridad.
www.ejaso.es 23
24. Enfoque del riesgo: determinadas medidas deben adoptarse en función del nivel de riesgo
del tratamiento:
Registro de actividades de tratamiento.
Delegado de Protección de Datos (DPO)
Evaluación de Impacto sobre la Protección de Datos (EIPD)
El responsable deberá realizar y documentar un análisis de riesgos para determinar
las medidas a adoptar en función de:
Los tipos de tratamientos y naturaleza de los datos.
Numero de interesados afectados.
Cantidad y variedad de los tratamientos que se lleven a cabo.
Medidas de responsabilidad proactiva
www.ejaso.es 24
25. Medidas de responsabilidad proactiva - Registro de actividades
Los responsables y encargados del tratamiento, deberán llevar un
registro de actividades del tratamiento.
Sustituye a la obligación de la LOPD de inscribir ficheros en la
AEPD.
Están exentas las organizaciones que empleen a menos de 250
trabajadores, a menos que lleven a cabo:
Tratamientos que puedan entrañar un riesgo para los
interesados.
Tratamientos que incluyan datos especialmente protegidos
(salud, ideología, datos biométricos, etc.).
www.ejaso.es 25
26. Medidas de responsabilidad proactiva - DPO
Los responsables y encargados deberán designar un DPD cuando:
Actividades principales consistan en tratamientos que
requieran una observación habitual y sistemática de
interesados a gran escala.
Actividades principales consistan en el tratamiento a gran
escala de categorías especiales de datos personales (salud,
ideología, etc.)
Proyecto LOPD recoge entidades que en todo caso deben designar DPO:
o Entidades de crédito y compañías aseguradoras.
o Distribuidores y comercializadores de energía eléctrica.
o Las entidades que desarrollen actividades de publicidad y
prospección comercial.
o Centros sanitarios.
o Operadores de telecomunicaciones.
o Etc. www.ejaso.es 26
27. Las EIPD consisten en una análisis de los riesgos de un producto, sistema de información o
servicio que permite identificar los posibles riesgos para los derechos de los interesados y
corregirlos anticipadamente.
Metodología: Guía para la EIPD publicada por la AEPD.
Contenido mínimo de la EIPD:
Descripción de las operaciones de tratamiento y de los fines (identificación y
clasificación de la información, quién tendrá acceso a la información, fines para los
que será tratado, etc.)
Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento.
Evaluación de riesgos para los interesados (violación de derechos, pérdida de
información, posibles daños de la utilización ilícita -económicos, reputacionales, etc.-)
Medidas previstas para afrontar los riesgos (formación al personal, disociación o
seudonimización de datos, asesoramiento externo, controles periódicos, etc.)
Medidas de responsabilidad proactiva - EIPD
www.ejaso.es 27
28. Tratamientos de datos que entrañen un alto riesgo para los derechos y libertades de los
interesados, entre otros casos:
Elaboración de perfiles para la toma decisiones individuales que produzcan efectos
jurídicos
Tratamiento a gran escala de categorías especiales de datos.
Observación sistemática a gran escala para una zona de acceso público (drones,
videovigilancia, etiquetas RFID, etc.)
Otros posibles supuestos: tratamientos significativos de datos de menores de edad, Big Data,
Internet de las Cosas, geolocalización, etc.
La APD aprobará listados de tratamientos que requieran EIPD (listas positivas y negativas).
No se tratará de listas cerradas de tratamientos, es el responsable el que tiene que evaluar
cuando existe un alto riesgo para los derechos de los interesados.
Medidas de responsabilidad proactiva - EIPD
www.ejaso.es 28