RGPD

25
Mar

Webinar El Reglamento General de Protección de Datos y su implicación en el departamento de RRHH

Webinar sobre el nuevo Reglamento General de Protección de Datos y su implicación en los departamentos de RRHH. Organizado por Selectiva Gestión de Recursos Humanos y DPO it & law e impartido por Fernando Ramos.

 

18
Ene

COMPLIANCE, PRIVACIDAD Y TECNOLOGÍA EN EL NUEVO REGLAMENTO (GDPR)

El principio de Accountability o Responsabilidad Activa del Reglamento General de Protección de Datos (GDPR) introduce un giro de 180 grados en la gestión del dato personal. A partir del 25 de mayo de 2018 es necesario implantar un Sistema de Gestión de Protección de Datos, que garantice el cumplimiento del nuevo Reglamento GDPR.

¿Conoce las políticas de Protección de Datos que debe implementar su empresa para adecuarse al GDPR?
¿Sabe cómo determinar y analizar su riesgo en materia de Protección de Datos?
¿Puede su departamento de Sistemas garantizar la Privacidad por Defecto y por Diseño?

Estas y otras preguntas, tendrán respuesta en una presentación eminentemente práctica desarrollada por expertos en Protección de Datos, Ciberseguridad y Compliance penal.

FECHA: Martes 13 de marzo a las 17:00

LUGAR: Club 567 C/ Velázquez, 12 5ªplanta

 


 

INSCRIPCIÓN

2
Oct

IV. Terceros intervinientes y los códigos de conducta y certificación (III)

  1. EL DELEGADO DE PROTECCIÓN DE DATOS

La figura del Delegado de Protección de Datos viene recogida en los art. 37 a 39 y en el considerando 97.

Artículo 37: Designación del Delegado de Protección de Datos

  1. El responsable y el encargado del tratamiento designarán un Delegado de Protección de Datos siempre que:
    1. el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
    2. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
    3. las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 (Tratamiento de categorías especiales de datos personales)y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10 (Tratamiento de datos personales relativos a condenas e infracciones penales).
  2. Un grupo empresarial podrá nombrar un único Delegado de Protección de Datos siempre que sea fácilmente accesible desde cada establecimiento.
  3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único Delegado de Protección de Datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
  4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un Delegado de Protección de Datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El Delegado de Protección de Datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.
  5. El Delegado de Protección de Datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39 (Funciones del Delegado de Protección de Datos).
  6. El Delegado de Protección de Datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
  7. El responsable o el encargado del tratamiento publicarán los datos de contacto del Delegado de Protección de Datos y los comunicarán a la autoridad de control.

Artículo 38: Posición del Delegado de Protección de Datos

  1. El responsable y el encargado del tratamiento garantizarán que el Delegado de Protección de Datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
  2. El responsable y el encargado del tratamiento respaldarán al Delegado de Protección de Datos en el desempeño de las funciones mencionadas en el artículo 39 (Funciones del Delegado de Protección de Datos), facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
  3. El responsable y el encargado del tratamiento garantizarán que el Delegado de Protección de Datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El Delegado de Protección de Datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
  4. Los interesados podrán ponerse en contacto con el Delegado de Protección de Datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
  5. El Delegado de Protección de Datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
  6. El Delegado de Protección de Datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Artículo 39: Funciones del Delegado de Protección de Datos

  1. El Delegado de Protección de Datos tendrá como mínimo las siguientes funciones:
    1. informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
    2. supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
    3. ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 (Evaluación de impacto relativa a la protección de datos);
    4. cooperar con la autoridad de control;
    5. actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 (Consulta previa), y realizar consultas, en su caso, sobre cualquier otro asunto.
  2. El Delegado de Protección de Datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

 

  1. Alcance

La designación de un Delegado de Protección de datos es obligatoria para el responsable y encargado de tratamiento en los supuestos en los que:

  1. el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  2. las actividades principales consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  3. las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Es necesario, por tanto, tener la condición de autoridad u organismo público o realizar actividades a gran escala de monitorización o de observación habitual y sistemática de los interesados, o de categorías especiales de datos o aquellos relativos a condenas o infracciones penales. Es importante, por tanto, resaltar que nuevamente se incorpora el concepto gran escala, es decir, no sólo deben de existir tratamientos de categorías especiales de datos o tratamientos sistemáticos habituales del interesado, si no que los mismos deben de ser realizados a gran escala.

Por tanto, al igual que en la Evaluación de Impacto, es necesario realizar una mención al considerando 91 para tratar de esclarecer que se entiende por gran escala según el RGPD:

(91)….las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos.

En este sentido los tratamientos a nivel local, aunque se realicen a través de tratamientos sistemáticos habituales o de categorías especiales de datos, no supondrán la obligación de designación de un Delegado de Protección de Datos ya que los mismos no se producen a nivel regional, nacional o supranacional.

No obstante, el principio de Accountability o Responsabilidad Proactiva demanda la existencia de un órgano de control que vele por el cumplimiento del RGPD en la empresa u organización, siendo por tanto recomendable encomendar dichos trabajos de verificación y supervisión del cumplimiento a una Persona física u órgano colegiado que se encargará de la eficaz implantación del RGPD dentro de la organización o empresa. A este respecto, llama la atención la referencia que se realiza en el art. 47.2 h) relativo al contenido de las normas corporativas vinculantes:

  1. h) las funciones de todo Delegado de Protección de Datos designado de conformidad con el artículo 37 (Designación del delegado de protección de datos), o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, así como de la supervisión de la formación y de la tramitación de las reclamaciones;

Consideramos por tanto, que si bien no es necesario su nombramiento y por tanto no sancionable su designación es recomendable su existencia como órgano de supervisión del cumplimiento del RGPD en la organización o empresa.

En los supuestos de grupos empresariales se podrá nombrar un único Delegado de Protección de Datos siempre que sea fácilmente accesible desde cada establecimiento. Igualmente, en el caso de autoridades u organismos públicos, se podrá designar un único Delegado de Protección de Datos para varias autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

El Delegado de Protección de Datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39 del RGPD. Así mismo podrá ser externalizado o formar parte de la plantilla del responsable o encargado. Sus datos de contacto deberán ser publicados y comunicados a la Autoridad de Control competente. A este respecto conviene señalar que no necesariamente se deben publicar el nombre y apellidos del Delegado de Protección de Datos bastando identificar los datos de contacto del mismo.

 

  1. Contenido

En el art 38 de RGPD se establece la Posición del Delegado de Protección de Datos

  • Debe participar de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
  • Se le deberán facilitar los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
  • No puede recibir instrucciones en lo que respecta al desempeño de dichas funciones.
  • No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones.
  • Rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
  • Los interesados podrán ponerse en contacto con el Delegado de Protección de Datos para cualesquiera cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos.
  • Estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
  • Podrá desempeñar otras funciones y cometidos, debiendo garantizarse que las mismas no den lugar a un conflicto de intereses.

Respecto a las funciones del Delegado de Protección de Datos el art. 39 del RGPD señala que las funciones mínimas serán:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les conforme al RGPD, así como de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  • Supervisar el cumplimiento de lo dispuesto en RGPD y de otras disposiciones o políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del RGPD.
  • Cooperar con la autoridad de control.
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

 


  • El Delegado de Protección de Datos será obligatorio en los supuestos de autoridades y organismos públicos, y en los supuestos de tratamiento a gran escala de datos para actividades de tratamientos sistemáticos habituales o tratamientos de categorías especiales de datos.
  • Puede ser externalizado.
  • Debe tener conocimientos especializados en Derecho y en la práctica de Protección de Datos
25
Sep

IV. Terceros intervinientes y los códigos de conducta y certificación (II)

EL ENCARGADO DE TRATAMIENTO

La figura del encargado de tratamiento viene recogida en el art. 4.8, 28 y 29 y considerando 81 del RGPD.

Artículo 4: Definiciones

  1. “encargado del tratamiento” o “encargado”: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

Artículo 28: encargado del tratamiento

  1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
  2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
  3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
    1. tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
    2. garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
    3. tomará todas las medidas necesarias de conformidad con el artículo 32 (Cooperación con la autoridad de control);
    4. respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;
    5. asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;
    6. ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 (Seguridad del tratamiento) a 36 (Consulta previa), teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
    7. a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
    8. pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.

  1. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
  2. La adhesión del encargado del tratamiento a un código de conducta aprobado a tenor del artículo 40 (Códigos de conducta) o a un mecanismo de certificación aprobado a tenor del artículo 42 (Certificación) podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo.
  3. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive cuando formen parte de una certificación concedida al responsable o encargado de conformidad con los artículos 42 (Certificación) y 43. (Organismo de certificación).
  4. La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de examen a que se refiere el artículo 93, (Procedimiento de comité) apartado 2.
  5. Una autoridad de control podrá adoptar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el mecanismo de coherencia a que se refiere el artículo 63 (Mecanismo de coherencia).
  6. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico.
  7. Sin perjuicio de lo dispuesto en los artículos 82, (Derecho a indemnización y responsabilidad) 83 (Condiciones generales para la imposición de multas administrativas) y 84, (Sanciones) si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.

Artículo 29: Tratamiento bajo la autoridad del responsable o del encargado del tratamiento

El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros.

 

  1. Alcance

Tanto el considerando 81 como el propio art. 28.1 nos avanza que los encargados de tratamiento deben de ser cualificados y que por tanto el responsable está obligado a elegir exclusivamente a aquellos encargados de tratamiento que puedan garantizar el cumplimiento del RGPD respecto del tratamiento que lleven a cabo por cuenta del responsable.

Por tanto, todo encargado de tratamiento debe de reunir conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del RGPD, incluida la seguridad del tratamiento.

La adhesión del encargado a un código de conducta aprobado o a un mecanismo de certificación puede servir como elemento para demostrar el cumplimiento de las obligaciones por parte del responsable de elección de un encargado de tratamiento cualificado. En la práctica, esta medida va a suponer una verdadera carrera por la certificación o aprobación de códigos de conducta que permitan demostrar o cualificar a los encargados de tratamiento y por tanto garantizar el cumplimiento del RGPD. Se prevé, por tanto, que aquellos encargados de tratamiento que cumplan con las respectivas certificaciones o códigos de conducta tendrán menos barreras de entrada en la prestación de servicios a responsables de tratamiento, ya que con la obtención de dichas certificaciones estarán cumpliendo indirectamente con la obligación del responsable de contratar con un encargado de tratamiento cualificado.

  1. Contenido

La prestación de los servicios con acceso a datos por parte de un encargado deberá regirse por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al encargado con el responsable el cual deberá constar por escrito, inclusive en formato electrónico.

Si bien nuestra normativa ya preveía la redacción de este contrato entre responsable y encargado, el RGPD establece prácticamente las mismas obligaciones que nuestra normativa establecía en cuanto contenido que debía ser incluido en dichos contratos. El contrato de encargado de tratamiento por tanto deberá hacer mención expresa a los siguientes contenidos:

  1. Objeto.
  2. Duración.
  3. Naturaleza y finalidad del tratamiento.
  4. Tipo de datos personales.
  5. Categorías de datos personales tratados.
  6. Interesados afectados.
  7. Obligaciones y derechos del responsable del tratamiento.
  8. Obligación del encargado de tratar los datos únicamente siguiendo instrucciones del responsable las cuales deberán estar documentadas.
  9. Establecer imponer el deber de confidencialidad de todas personas que accedan a los datos de carácter personal en la prestación de los servicios.
  10. Garantizar el cumplimiento de las medidas de seguridad conforme el art. 32 del RGP.
  11. En los supuestos de contratación de subencargados del tratamiento será necesaria la autorización del responsable que podrá ser:
    • Una autorización específica para la subcontratación identificando por tanto al subencargado.
    • Una autorización general, debiendo en este caso informar al responsable sobre la incorporación de encargados o sustitución de existentes con el objeto de que el mismo pueda oponerse a dichos cambios.
  1. Asistencia al responsable en ejercicio de derechos y en el cumplimiento de las obligaciones marcadas por los art. 33 a 36 del RGPD (Violación de Seguridad, Evaluaciones de impacto y Consulta Previa).
  2. Establecer a elección del responsable la devolución o destrucción datos, suprimiendo las copias existentes salvo que se requiera la conservación de datos en virtud del Derecho de la Unión o de los Estados miembros.
  3. Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28, es decir las propias del encargado, así como permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable u otro auditor autorizado por dicho responsable.

Por último, se establece también la posibilidad por parte de la Comisión y las Autoridades de Control nacionales de desarrollar contratos modelo para regular y fijar este tipo de relaciones.


  • El responsable está obligado a elegir exclusivamente a aquellos encargados de tratamiento que puedan garantizar el cumplimiento del RGPD.
  • En los supuestos de autorizaciones generales para la subcontratación el responsable se podrá oponer a la inclusión de nuevos subencargados.
  • El encargado está obligado a facilitar la información necesaria para garantizar el cumplimiento de sus obligaciones, incluidas las auditorías e inspecciones realizadas por el responsable o un tercero.
21
Sep

IV. Terceros intervinientes y los códigos de conducta y certificación (I)

TERCEROS INTERVINIENTES Y LOS CÓDIGOS DE CONDUCTA Y CERTIFICACIÓNCORRESPONSABLES Y REPRESENTANTES NO ESTABLECIDOS EN LA UE

  • Corresponsables

La figura del Corresponsable viene recogida en el art. 26, 82.3-5 y considerandos 79 y 146 del RGPD.

Artículo 26: Corresponsables del tratamiento

  1. Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 (Información que deberá facilitarse cuando los datos personales se obtengan del interesado) y 14, (Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado) salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.
  2. El acuerdo indicado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo.
  3. Independientemente de los términos del acuerdo a que se refiere el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a, y en contra de, cada uno de los responsables.

Artículo 82: Derecho a indemnización y responsabilidad

  1. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
  2. Cuando, de conformidad con el apartado 4, un responsable o encargado del tratamiento haya pagado una indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados, de conformidad con las condiciones fijadas en el apartado 2.

El RGPD establece la posibilidad de que exista un tratamiento conjunto de datos de carácter personal, siempre y cuando los responsables del tratamiento determinen conjuntamente los objetivos o finalidades del tratamiento y establezcan los medios necesarios para el mismo. Se pueden dar por ejemplo estos supuestos en la recogida de datos realizada por Grupos Empresariales.

Serán por tanto corresponsables del tratamiento y deberán determinar de forma transparente y de mutuo acuerdo, qué responsabilidad ostentan cada uno en cumplimiento de las obligaciones que marca el RGPD. Para ello, deberán formalizar un acuerdo, en el que se expresen dichas obligaciones y en particular, en el que se indique la forma en la que los interesados serán informados, así como el punto de contacto para ejercitar el derecho de acceso. Dicho acuerdo o un resumen del mismo deberá estar a disposición de los interesados.

Con independencia del establecimiento de un único punto de contacto para el ejercicio de los derechos, lo interesados podrán ejercitar sus derechos frente a cualquiera de los responsables del tratamiento.

Por otro lado y en relación con las posibles responsabilidades que surgen respecto a los daños y perjuicios causados a los interesados, el art. 82 apartado 3 establece que el responsable o encargado de tratamiento no será responsable si demuestra su fala de culpabilidad respecto al daños causado, y por otro lado el art.82 apartado 5, establece que aquel corresponsable que haya pagado una sanción o indemnización de daños y perjuicios podrá reclamar a los demás corresponsables la parte proporcional en función de las responsabilidades asumidas por cada responsable. Se establece por tanto la posibilidad del interesado de reclamar a cualquiera de los corresponsables, los cuales deberán responder por la totalidad con independencia de que con posterioridad puedan repetir contra los demás corresponsables por la parte proporcional en función de la responsabilidad asumida.

El RGPD establece por tanto la completa responsabilidad de los Corresponsables, de tal manera que el interesado puede ejercer sus derechos frente o contra cualquiera de los responsables, asumiendo los mismos la indemnización o reparación del daño con independencia de que fueren o no responsables del mismo. Estos derechos del interesado implican por parte de los corresponsables un análisis y estudio previo del grado de responsabilidad que deberán asumir en los supuestos en los que traten datos personales de forma conjunta, ya que deberán responder ante cualquier demanda o solicitud de indemnización de daños y perjuicios producidos por el ellos mismos o por terceros responsables del tratamiento o corresponsables.

 

  1. Representantes

La figura del Representante viene recogida en el art. 4, 27, y considerando 80.

Artículo 4: Definiciones

  1. “representante”: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27 (Representantes de responsables o encargados del tratamiento no establecidos en la Unión), represente al responsable o al encargado en lo que respecta a sus respectivas 0obligaciones en virtud del presente Reglamento;

Artículo 27: Representantes de responsables o encargados del tratamiento no establecidos en la Unión

  1. Cuando sea de aplicación el artículo 3, (Ámbito territorial) apartado 2, el responsable o el encargado del tratamiento designará por escrito un representante en la Unión.
  2. Esta obligación no será aplicable a:
    1. el tratamiento que sea ocasional, que no incluyan el manejo a gran escala de categorías especiales de datos indicadas en el artículo 9, (Tratamiento de categorías especiales) apartado 1, o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, (Condenas e infracciones) y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento, o
    2. las autoridades u organismos públicos.
  3. El representante estará establecido en uno de los Estados miembros en que estén los interesados y cuyos datos personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado.
  4. El responsable o el encargado del tratamiento encomendará al representante que atienda, junto al responsable o al encargado, o en su lugar, a las consultas, en particular, de las autoridades de control y de los interesados, sobre todos los asuntos relativos al tratamiento, a fin de garantizar el cumplimiento de lo dispuesto en el presente Reglamento.
  5. La designación de un representante por el responsable o el encargado del tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado.

 

  1. Alcance

La obligación de la designación de un representante surge para aquellos responsables o encargados de tratamiento no establecidos en la UE pero que realicen tratamiento de datos personales de interesados que residan en la UE y cuyas actividades de tratamiento estén relacionadas con ofertas de bienes o servicios a dichos interesados, o en el control de su comportamiento, es decir para toda empresa extranjera que ofrezcan bienes o servicios a residentes Europeos, o simplemente estudie el control de su comportamiento en la Unión Europea. (Ver pág. 11 Unidad 1, 3.3 Ámbito Territorial).

No seré necesaria dicha designación:

  • A las autoridades y organismos públicos.
  • Al tratamiento ocasional siempre y cuando el mismo no suponga:
    • Un tratamiento a gran escala de datos personales de categoría especial o de condenas e infracciones penales.
    • Que sea improbable que el tratamiento entrañe riesgo para los derechos y libertades de las personas físicas.
  1. Contenido

El Representante podrá establecerse en cualquier de los Estados miembros en los que se encuentren los interesados y cuyos datos personales son tratados, bien para la oferta de bienes y servicios o bien para el estudio del comportamiento.
Entre sus funciones se encargarán fundamentalmente la atención de las consultas de cualquier Autoridad de Control y así como de los interesados sobre cualquier asunto relativo al tratamiento de datos.

 

La designación deberá constar por escrito según lo establecido en el considerando 80, y con independencia de las funciones que ostenta de cooperación con las autoridades de control o de consulta éstas últimas o de los interesados, se podrán ejercitar acciones contra el propio responsable o el encargado. Así mismo, se establece expresamente por el considerando 80 que el representante podrá ser objeto de sanción o de medidas coercitivas en supuestos de incumplimiento por parte del responsable o del encargado, siendo por tanto recomendable en los acuerdos de designación el establecimiento de fuertes cláusulas de indemnización en el supuesto de sanción por el incumplimiento del responsable o encargado.

 


  1. Los corresponsables deberán establecer por escrito el acuerdo en el que se identifique la responsabilidad de cada uno, debiendo facilitar copia o resumen el mismo a los interesados.
  2. Cualquier de los corresponsables podrá responder de los daños y perjuicios causados, pudiendo con posterioridad repetir contra los mismos por la parte proporcional de responsabilidad que corresponda a cada uno.
  3. La designación de Representante es obligatoria para aquellos responsables o encargados no establecidos en la UE cuyas actividades de tratamiento estén relacionadas con ofertas de bienes o servicios a residentes europeos o estudios en el control de su comportamiento.
  4. El Representante podrá ser responsable de los incumplimientos del responsable o encargado.

 

20
Sep

Autorización previa o consultas previas con la autoridad de control

La consulta previa a la Autoridad de control en supuestos de Evaluación de Impacto viene recogida en el art. 36 y en el considerando 94 del RGPD.

Artículo 36 Consulta previa

  1. El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 (Evaluación de impacto relativa a la protección de datos) muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo.
  2. Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado 1 podría infringir el presente Reglamento, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera de sus poderes mencionados en el artículo 58 (Poderes de la Autoridad de Control). Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta.
  3. Cuando consulte a la autoridad de control con arreglo al apartado 1, el responsable del tratamiento le facilitará la información siguiente:
    1. en su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial;
    2. los fines y medios del tratamiento previsto;
    3. las medidas y garantías establecidas para proteger los derechos y libertades de los interesados de conformidad con el presente Reglamento;
    4. en su caso, los datos de contacto del Delegado de Protección de Datos;
    5. la evaluación de impacto relativa a la protección de datos establecida en el artículo 35 (Evaluación de impacto relativa a la protección de datos), y
    6. cualquier otra información que solicite la autoridad de control.
  4. Los Estados miembros garantizarán que se consulte a la autoridad de control durante la elaboración de toda propuesta de medida legislativa que haya de adoptar un Parlamento nacional, o de una medida reglamentaria basada en dicha medida legislativa, que se refiera al tratamiento.
  5. No obstante lo dispuesto en el apartado 1, el Derecho de los Estados miembros podrá obligar a los responsables del tratamiento a consultar a la autoridad de control y a recabar su autorización previa en relación con el tratamiento por un responsable en el ejercicio de una misión realizada en interés público, en particular el tratamiento en relación con la protección social y la salud pública.

Es necesario analizar el considerando 94 para identificar cuando es necesaria la realización de la consulta a la Autoridad de control ya que del tenor literal del art. 36 no se identifica exactamente cuándo es necesaria la misma:

(94) Debe consultarse a la autoridad de control antes de iniciar las actividades de tratamiento si una evaluación de impacto relativa a la protección de datos muestra que, en ausencia de garantías, medidas de seguridad y mecanismos destinados a mitigar los riesgos, el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas físicas, y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación.

Requerirá, por tanto, la Consulta previa de la Autoridad de control cuando en aquellos supuestos en los que el responsable de tratamiento considera que en la Evaluación de Impacto el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación.

Recibida la consulta la Autoridad de control podrá:

  • Asesorar por escrito al responsable o encargado.
  • Utilizar cualquiera de sus poderes para prohibir el tratamiento.

Por último, además de la consulta o autorización identificada en los supuestos de Evaluaciones de Impacto el RGPD señala que el Derecho Nacional de los Estados miembros podrá establecer consulta y petición de autorización previa en relación con los tratamientos derivados de una misión realizada en interés público por parte del responsable.

  • La consulta a la Autoridad de Control deberá realizarse cuando el responsable considere en la Evaluación de Impacto que el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación.
    Los Estados miembros podrán a través de su derecho nacional someter a consulta o autorización previa de la Autoridad de Control aquellos tratamientos derivados de una misión de interés público.
1
Jul

Actualización del Anteproyecto de Ley Orgánica de Protección de Datos

El Ministerio de Justicia abre el periodo de información pública al Anteproyecto de la Ley Orgánica de Protección de Datos de Carácter Personal.

 

La descarga de la nueva versión del texto del Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal se encuentra aquí ()

 

Os hemos incluido la nueva versión v2 en Word con control de cambios para que podamos ir apreciando los cambios que va introduciendo el Legislador en su trámite parlamentario. Para el acceso al la versión 2 descargar aquí ( descargar documento ).

 

La información sobre los trámites de audiencia e información pública se encuentran aquí.

Esperemos os sea de utilidad.

 

Anteproyecto de Ley Orgánica de Protección de Datos LOPD Junio 2017 (versión 2)

Descargar documento

 

 

 

27
Jun

Principales Novedades del Anteproyecto de Ley Orgánica de Protección de Datos

El pasado 24 de junio a propuesta del ministro de Justicia, Rafael Catalá, el Consejo de Ministros ha impulsado el anteproyecto de Ley Orgánica de Protección de Datos con el fin de mejorar la regulación de la protección de datos de carácter personal y adaptar la legislación española a las disposiciones contenidas en el RGPD (Reglamento UE 2016/679) antes de su definitiva entrada en vigor fijada para el próximo 25 de mayo de 2018.

En DPO&itlaw hemos podido acceder al texto que con tanto secretismo se ha estado confeccionando. Actualmente está accesible en el siguiente enlace del Diario la Ley  ( descargar documento), no obstante os hemos habilitado en nuestro Blog un espacio para que os lo podáis descargar en formato Word y podáis trabajarlo y editarlo correctamente en vuestro trabajo diario. Anteproyecto LOPD

Conforme el considerando IV el Anteproyecto se estructura de la siguiente manera:

 

ESTRUCTURA DE LA LOPD

Consta de 78 artículos estructurados en 8 títulos, 10 disposiciones adicionales, 5 disposiciones transitorias, 1 disposición derogatoria única y 7 disposiciones finales.

De entre los 8 títulos destacan los siguientes:

 

El Título I. Disposiciones generales.

Comienza regulando el objeto de la ley orgánica, que no es otro que la adaptación del ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, Reglamento general de protección de datos, y completar sus disposiciones. A su vez, establece que el derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.

Destaca la novedosa regulación de los datos referidos a las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que los herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido, que por lo demás se podrán incorporar a un registro. También excluye del ámbito de aplicación los tratamientos que se rijan por disposiciones específicas, en referencia, entre otras, a la normativa que transponga la citada Directiva (UE) 2016/680, previéndose en la disposición transitoria quinta la vigencia de estos tratamientos con arreglo a la Ley Orgánica 15/1999 hasta que se apruebe la citada normativa.

 

El Título II. Principios de protección de datos.

Se presumen exactos y actualizados los datos obtenidos directamente del propio afectado y se recoge expresamente el deber de confidencialidad, se regulan garantías específicas y se aplica el principio de minimización de datos para entender desproporcionado el tratamiento de los datos por quien carezca de competencia. Dentro de lo que se viene denominando la “legitimación para el tratamiento”, se alude específicamente al consentimiento, que ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo lo que se conocía como “consentimiento tácito”, se permite la casilla no premarcada en el ámbito de la negociación o formalización de un contrato, y se fija la edad a partir de la cual el menor puede prestar su consentimiento en trece años para asimilar el sistema español al de otros Estados de nuestro entorno.

Se regulan asimismo las posibles habilitaciones legales para el tratamiento que se derive del ejercicio de potestades públicas o del cumplimiento de una obligación legal y se prevé que el interés legítimo de un determinado responsable o de un determinado tercero pueda prevalecer sobre el derecho a la protección de datos del afectado. Y se mantiene la prohibición de llevar a cabo tratamientos con la única finalidad de almacenar información referida a las categorías de datos especialmente protegidos.

En el Capítulo II del Título I se recogen “Disposiciones aplicables a tratamientos concretos”, que son los supuestos antes sometidos a regímenes especiales, en los que se considera de aplicación la regla del equilibrio de intereses o ponderación del interés legítimo como base jurídica para el tratamiento. En segundo lugar, figuran las categorías que ya eran objeto de una regulación específica, legal o reglamentaria, como los sistemas de información crediticia, complementado por una disposición adicional, los tratamientos realizados con fines de videovigilancia y los sistemas de exclusión publicitaria comúnmente denominados “listas Robinson”, los tratamientos llevados a cabo en el ámbito de la función estadística pública o, como novedad, los sistemas de información de denuncias internas en el sector privado.

 

El Título III Los derechos de las personas.

Adapta al Derecho español el principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento, se recoge la denominada “información por capas” ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las “cookies”).

Se hace uso en este título de la habilitación permitida por el considerando 8 del Reglamento (UE) 2016/679 para complementar su régimen, garantizando la adecuada estructura sistemática del texto. A continuación, la ley orgánica contempla los derechos de Acceso, Rectificación, Supresión, Oposición, derecho a la Limitación del tratamiento y derecho a la Portabilidad. La obligación de bloqueo garantiza la adecuada aplicación y supervisión del cumplimiento de las normas de protección de datos.

 

El Título IV. El Responsable y el Encargado del tratamiento.

Es preciso tener en cuenta que la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan. Con el fin de aclarar estas novedades, la ley orgánica mantiene la misma denominación del Capítulo IV del Reglamento, dividiendo el articulado en cuatro capítulos dedicados, respectivamente, a: las medidas generales de responsabilidad activa, al régimen del encargado del tratamiento, a la figura del delegado de protección de datos y a los mecanismos de autorregulación y certificación.

La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la ley orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica. La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. El responsable o el encargado deberán dotar al delegado de medios materiales y personales suficientes y no podrán removerle, salvo en los supuestos de dolo o negligencia grave. Es de destacar que el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento. 

Así mismo dentro de los 78 artículos podemos encontrar las siguientes novedades.

  1. No será necesario solicitar el consentimiento para los ficheros de contactoprofesionales en base al interés legítimo, no obstante sí es será necesario informar.

Artículo 12. Tratamiento de datos de contacto y de empresarios individuales.

  1. Se entenderá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
    1. Que el tratamiento se refiera únicamente a los mínimos datos imprescindibles para su localización profesional.
    2. Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
  2. El mismo amparo legal tendrá el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
  1. Otra novedad que introduce el Anteproyecto es que las las Camaras de videovigilancia puedan captar la vía pública siempre y cuando su finalidad sea preservar las seguridad de las personas y bines de la empresa.

Artículo 15. Tratamientos con fines de videovigilancia.

  1. Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.
  2. Sólo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior. 
    No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte. 
    Respecto a la Portabilidad de los datos solo es necesario respecto de los datos facilitados y generados, NO a los datos inferidos utilizando estos últimos.
  1. En relación con el derechos de portabilidad se aclara que los datos que deben de ser objeto de portabilidad serán aquellos que haya facilitado el usuario y hayan sido generados durante la prestación del servicios, pero no se facilitarán los datos que el responsable haya inferido de éstos últimos, los cuales en todo caso podrán someterse al derecho de acceso, rectificación o surpresión.

Artículo 27. Derecho a la portabilidad.

  1. El derecho a la portabilidad regulado en el artículo 20 del Reglamento (UE) 2016/679 podrá ejercerse por el afectado respecto de los datos que hubiera facilitado al responsable del tratamiento y de los que se deriven directamente del uso por aquél de los servicios prestados por el responsable.
  2. El derecho a la portabilidad no se extenderá a los datos que el responsable hubiere inferido a partir de aquellos a los que se refiere el apartado anterior. En todo caso, el afectado podrá ejercer respecto de estos datos los restantes derechos enumerados en este capítulo, particularmente el derecho de acceso contemplado en el artículo 15 del Reglamento (UE) 2016/679.
  1. A pesar de que el RGPD no habla del bloqueo de datos, salvo en algunos casos o supuestos en los que hace referencia a mantener los para la defensa del Responsableo, el Anteproyecto expresamente y con muy buen criterio permite el bloqueo de datos 

Artículo 29. Bloqueo de los datos.

  1. El responsable del tratamiento estará obligado a bloquear los datos en los casos previstos en los artículos 16 y 17.1 a), d) y e) del Reglamento (UE) 2016/679, así como cuando deba proceder de oficio a su rectificación o supresión.
  2. Los datos bloqueados quedarán a disposición exclusiva del tribunal, el Ministerio Fiscal u otras Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de las mismas.
  3. Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior.
  4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus mpetencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo.
  1. Se identifica en el art. 35 con nombres y apellidos a aquellas organizaciones que necesariamente deberán nombrar a un DPO, facilitando enormemente la labor de interpretación del RGPD, que a pesar de haber sido aclarada por el GT 29 seguía presentando muchas dudas.

Artículo 35. Designación de un delegado de protección de datos.

  1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679. A tal efecto, se consideran incluidas en dichos supuestos, en todo caso, las siguientes entidades:
    1. Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
    2. Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
    3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones.
    4. Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
    5. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
    6. Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
    7. Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
    8. Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
    9. Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
    10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
    11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
    12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
    13. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
    14. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
    15. Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.
  1. Por último conviene destacar también los supuestos en los que sería necesaria la emisión de un informe de Evaluación de Impacto:

Artículo 30. Obligaciones generales del responsable y encargado del tratamiento.

  1. Los responsables y encargados, tras ponderar los riesgos que el tratamiento pueda generar en los derechos de los afectados y en particular en su derecho a la protección de datos, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el Reglamento (UE) 2016/679, con la presente ley orgánica, la legislación sectorial y sus normas de desarrollo. En particular valorarán si proceder la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3a del Capítulo IV del citado reglamento.
  2. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:
    1. Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
    2. Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
    3. Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento(UE) 2016/679 y 10 y 11 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.
    4. Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.
    5. Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad para las que se hubiesen establecido medidas de apoyo.
    6. Cuando se produzca un tratamiento masivo que afecte a un gran número de afectados o implique la recogida de una gran cantidad de datos personales.


Anteproyecto de Ley Orgánica de Protección de Datos LOPD Junio 2017

Descargar documento

 

21
Jun

Medidas de responsabilidad Proactiva (III)

1.3.4. VIOLACIONES DE SEGURIDAD

Las notificaciones sobre violaciones de seguridad o quiebras vienen recogidas en los arts. 33 y 34 y considerandos 85 a 88 del RGPD.

Artículo 33: Notificación de una violación de la seguridad de los datos personales a la autoridad de control

  1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 (Competencias de la Autoridad de Control)sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
  2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
  3. La notificación contemplada en el apartado 1 deberá, como mínimo:
    1. describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
    2. comunicar el nombre y los datos de contacto del Delegado de Protección de Datos o de otro punto de contacto en el que pueda obtenerse más información;
    3. describir las posibles consecuencias de la violación de la seguridad de los datos personales;
    4. describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
  4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
  5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.

 

Artículo 34: Comunicación de una violación de la seguridad de los datos personales al interesado

  1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
  2. La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las recomendaciones establecidas en el artículo 33, (Notificación de violación de seguridad) apartado 3, letras b), c) y d).
  3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:
    1. el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
    2. el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;
    3. suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
  4. Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.

La notificación de las violaciones o brechas de seguridad fue introducida por el art.4.2 de la Directiva sobre privacidad y comunicaciones electrónicas (2002/58/CE) y transpuesta al derecho español por la Ley General de Telecomunicaciones (Ley 9/2014 de 9 de Mayo) a través de su art. 41.2 y 3 y en los art. 2 y 3 del Reglamento UE (611/2013). Si bien dichas notificaciones o violaciones de seguridad sólo afectaban a los operadores de servicios de comunicaciones electrónicas, a partir del 18 de mayo de 2018 las notificaciones sobre violaciones o brechas de seguridad deberán ser notificadas por los responsables de tratamiento a las Autoridades de Control y, en su caso, a los interesados si las mismas suponen un alto riesgo para los derechos y libertades de las personas físicas.

A. Notificaciones a las Autoridades de Control

 

  1. Alcance

El responsable de tratamiento deberá notificar a la Autoridad de Control tan pronto como tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales. Dicha notificación deberá realizarse sin dilación indebida y a más tardar en el plazo de 72 horas después de que haya tenido constancia de la misma, salvo que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases.

Así mismo, se establece que el encargado del tratamiento estará obligado a notificar sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

  1. Contenido

La comunicación deberá contener como mínimo la siguiente información:

  • Una descripción de la naturaleza de la violación de la seguridad de los datos personales: indicando si es posible las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
  • El nombre y los datos de contacto del Delegado de Protección de Datos o de otro punto de contacto en el que pueda obtenerse más información;
  • Una descripción de las posibles consecuencias de la violación de la seguridad de los datos personales;
  • Una descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Así mismo, la violación de seguridad deberá quedar registrada y documentada por el responsable de tratamiento identificando los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas (Esta medida de obligado cumplimiento para los responsables es muy parecida a la medida de seguridad del Registro de Incidencias que marca el RLOD).

Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

B. Notificaciones a los interesados

  1. Alcance

Además de la comunicación a la Autoridad de Control el responsable tratamiento deberá comunicar al interesado sin dilación indebida, la violación de la seguridad de los datos personales cuando la misma entrañe un alto riesgo para los derechos y libertades de las personas físicas.

No será necesaria la comunicación al interesado, si el responsable cumple con alguna de las siguientes condiciones:

  • El responsable del tratamiento ha adoptado con anterioridad a la violación de seguridad (ex-ante), medidas de protección técnicas y organizativas apropiadas sobre los datos que sufrieron dicha brecha o violación de seguridad, de manera que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como por ejemplo el cifrado;
  • El responsable del tratamiento tras la violación de seguridad (ex-post) ha tomado medidas para garantizar que ya no se materializará un alto riesgo para los derechos y libertades del interesado;
  • Suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
  1. Contenido

La comunicación al interesado describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la siguiente información:

  • El nombre y los datos de contacto del Delegado de Protección de Datos o de otro punto de contacto en el que pueda obtenerse más información;
  • Una descripción de las posibles consecuencias de la violación de la seguridad de los datos personales;
  • Una descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Por último, se establece que en aquellos supuestos en los que el responsable no haya comunicado al interesado la violación de la seguridad de los datos personales, la Autoridad de Control, podrá exigirle que lo haga o que cumpla alguna de las condiciones anteriormente señaladas, si ésta última considera que existe probabilidad de que la violación de seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas.

CONCLUSIONES

  • La comunicación a la Autoridad de Control de las violaciones de seguridad que afecten a datos personales se deberán realizar por el responsable del tratamiento sin dilación y en el plazo de 72.
  • La comunicación a los interesados de las violaciones de seguridad que supongan un alto riesgo para los derechos y libertades de las personas físicas se deberán realizar por el responsable del tratamiento sin dilación indebida.

 

1.3.5. EVALUACIÓN DE IMPACTO

La evaluación de impacto viene recogida en el art. 35 y en los considerandos 90 a 93 del RGPD.

Artículo 35: Evaluación de impacto relativa a la protección de datos

  1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
  2. El responsable del tratamiento recabará el asesoramiento del Delegado de Protección de Datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
  3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:
    1. evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
    2. tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9 (Tratamiento de categorías especiales de datos personales), apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 (Tratamiento de datos personales relativos a condenas e infracciones penales), o
    3. observación sistemática a gran escala de una zona de acceso público.
  4. La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1. La autoridad de control comunicará esas listas al Comité a que se refiere el artículo 68 (Comité Europeo de Protección de Datos).
  5. La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. La autoridad de control comunicará esas listas al Comité.
  6. Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad de control competente aplicará el mecanismo de coherencia contemplado en el artículo 63 (Mecanismo de coherencia) si esas listas incluyen actividades de tratamiento que guarden relación con la oferta de bienes o servicios a interesados o con la observación del comportamiento de estos en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulación de datos personales en la Unión.
  7. La evaluación deberá incluir como mínimo:
    1. una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
    2. una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
    3. una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y
    4. las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
  8. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 (Códigos de conducta) por los responsables o encargados correspondientes se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos.
  9. Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.
  10. Cuando el tratamiento de conformidad con el artículo 6 (Licitud del tratamiento), apartado 1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a las actividades de tratamiento.
  11. En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.

Un análisis en profundidad de las Evaluaciones de Impacto excede del ámbito del presente curso de Actualización al RGPD. No obstante, conviene señalar algunos aspectos.

  1. Alcance

La Evaluación de Impacto deberá realizarse cuando sea probable que un tipo de tratamiento por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, art.35.1

En todo caso la Evaluación de Impacto deberá realzarse en tres supuestos:

  1. Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas.
  2. Tratamiento a gran escala de datos sensibles.
  3. Observación sistemática a gran escala de una zona de acceso público.

Es también es necesario realizar una mención al considerando 91 para tratar de esclarecer que se entiende por gran escala según el RGPD:

(91)….las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos.

Así mismo, permite a las Autoridades de Control de los Estados miembros establecer listas de tipos de operaciones de tratamiento que requieren Evaluación de Impacto o que consideren que no es necesaria dicha evaluación.

 

  1. Contenido

Respecto al contenido mínimo de la Evaluación el art. 35.7 del RGPD señala que deberá como mínimo contener:

  • Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
  • Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
  • Una evaluación de los riesgos para los derechos y libertades de los interesados;
  • Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales y demuestren la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Así mismo, se establece que en los supuestos en los que exista un Delegado de Protección de datos habrá que recabarse asesoramiento del mismo y, en su caso, cuando proceda de los propios interesados.

  • CONCLUSIONES
  • La evaluación de Impacto deberá realizarse cuando sea probable que un tipo de tratamiento por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.
  • Deberá realizarse en todo caso en la elaboración de perfiles, tratamiento a gran escala de datos sensibles, observación a gran escala de zona de acceso público.
  • Se define gran escala como cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo.

 

14
Jun

Desayunos de trabajo

Buenos días reader,  adjuntamos la convocatoria de los Desayunos de Trabajo de DPO&itlaw que vamos a realizar los próximos lunes 26 de junio en Madrid y martes 27 de junio en Barcelona.

Abordaremos los cambios que introduce el  RGPD Europeo (Reglamento General de Protección de Datos) en la la gestión empresarial, identificando las acciones y cambios que se deben de realizar por la empresa antes del 25 de mayo para evitar incumplimientos que pueden ser sancionados con multas millonarias que oscilan entre los 10 y 20 millones de euros, o el 2% o 4% de la facturación anual.

¿ESTAMOS PREPARADOS PARA EL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS?

Si bien durante años la Auditoría Bienal, y por tanto el cumplimiento de las medidas técnicas y organizativas de seguridad, eran los servicios o las obligaciones que marcaban el cumplimiento de una organización en materia de protección de datos, con el RGPD se produce un giro de 180º en la forma de gestionar el cumplimiento normativo, pasando a tener una mayor relevancia la adecuación jurídica o cumplimiento normativo.

A través del principio de Accountability o de Responsabilidad proactiva, las empresas y los encargados de tratamiento deberán implantar medidas que garanticen y permitan demostrar el cumplimiento del RGPD a través de políticas de protección de datos adaptadas a la necesidades de la organización.

En el desayuno de trabajo pretendemos extraer del RGPD todas aquellas medidas que será necesario implantar dentro de una organización empresarial para el correcto cumplimiento de la normativa de protección de datos a través de las correspondientes.

Durante los desayunos se dará respuesta a las siguientes cuestiones:

  • ¿Que es el Registro de actividades? ¿es obligatorio para mi empresa?. Identificación y clasificación de los Registro de actividades.
  • ¿ Puedo utilizar el consentimiento informado que actualmente tengo implantado en la recogida de datos?. Implantación de sistemas de recogida de datos por capas identificando la información a incluir en la cláusulas de información cumpliendo con los principios de finalidad, transparencia, conservación, información y deber de comunicación al interesado.
  • ¿Quienes son los  actores implicados?: Responsable, Corresponsable, Encargado de tratamiento, Representante del Responsable, Interesados….
  • ¿Debo modificar los procedimientos de ejercicios de derechos ARCO?: además de los tradicionales derechos ARCO se incorporan nuevos derechos como el de portabilidad, supresión o derecho al olvido, limitación….
  • ¿Quién es el Delegado de Protección de Datos o DPO? ¿es obligatorio para mi empresa?: la figura del DPO, funciones y obligaciones. Identificación de los supuestos en los que es obligatorio su nombramiento.
  • ¿ Que ocurre con el Documento de Seguridad? ¿debo implantar medidas de Seguridad Técnicas y Organizativas?¿El Reglamento LOPD es aplicable?. Estudio del criterio de Aproximación al Riesgo en materia de Seguridad.
  • El cumplimiento de las obligaciones de Privacidad por Defecto y Diseño,  Evaluaciones de Impacto y Régimen sancionador.

El Desayuno permitirá tener un primer acercamiento a las novedades introducidas por el RGPD en la normativa española de protección de datos, con el objeto de proceder a su cumplimiento antes  del 25 de mayo de 2018, momento en el cual toda organización empresarial deberá contar con una política de protección de datos que le permita prevenir, detectar, responder y verificar  los derechos y obligaciones establecidos por el RGPD.

Ponente

Fernando María Ramos Suárez, Socio Director de DPO&itlaw.

 

Inscripción

Las inscripciones se realizarán por riguroso orden de recepción a través de correo electrónico.

Confirmación: Myriam López de Arbina

email: myriamldam@dpoitlaw.com

 

Lugar

MADRID

Fecha: lunes 26 de junio 2017, de 9:00 a 11:30
Inscripciones y entrega de documentación a partir de las 8:45.
Coffe Break de 10:00 h a 10:15 h.
Lugar: Ibercenter Business Center, Edificio Azca. Está situado en Plaza de Carlos Trías Bertrán 4 (inmueble Holiday Inn).

Se encuentra encuadrado entre las calles Orense, General Perón y Paseo de la Castellana.

El acceso es posible mediante el metro (Santiago Bernabéu, línea 10)

 

BARCELONA

Fecha: lunes 27 de junio 2017, de 9:00 a 11:30
Inscripciones y entrega de documentación a partir de las 8:45.
Coffe Break de 10:00 h a 10:15 h.
Lugar: Rambla de Cataluña,115 bis (esquina Rosellô) 9na planta.

La entrada al edificio es por Rosellò, 216.

Es la torre del Banco Sabadell que hace esquina.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies