Post on 28-Jan-2018
Ana García
DESDE EL PUNTO DE VISTA LEGAL
NUEVA LOPDDESDE EL PUNTO DE VISTA
TÉCNICO
Asger Laursen
&
Ana García
DESDE EL PUNTO DE VISTA LEGAL
NUEVA LOPD
Nuevo Reglamento Europeo de Protección de Datos
Ana García Lucero
Quiénes somosAGM Abogados es una firma de asesoríajurídica y financiera que lleva más de 30 añosen el mercado español y que cuenta consedes internacionales en distintoscontinentes.
Está integrado por un equipo de más de 100profesionales entre abogados, economistas ypersonal de apoyo.
Nuestro compromiso con el cliente no selimita a cubrir sus necesidades cuando éstasse producen, sino a prevenirlas.
Asimismo, nuestra vocación multidisciplinarpermite afrontar operaciones que exijan unasesoramiento integral.
En definitiva, en AGM Abogados queremosser aquello que nuestros clientes esperan denosotros. Tenemos vocación de ser undespacho de referencia que ofrece todosaquellos servicios, tanto a nivel nacionalcomo internacional, que contribuyen aasegurar el éxito en las actividades denuestros clientes.
“Nuestramisiónesofrecersolucionesintegradorasprestando
serviciosespecializados”
2www.agmabogados.com
Introducción
2.1.
3.
4.
Índice
Transparenciaeinformaciónalosinteresados:a. Consentimientob. Deber de informar
Derechos:a. Procedimiento para el ejerciciob. Derecho de acceso c. Derecho al olvidod. Limitación del tratamientoe. Portabilidad
RelacionesResponsable-Encargado:a. Obligaciones para encargadosb. Elección del encargadoc. Contenido del contrato de encargo
3www.agmabogados.com
5.
6.7.
Índice
Medidasderesponsabilidadactiva:a. Análisis de riesgosb. Registro de actividades de tratamientoc. Medidas de seguridad (anonimización)d. Violaciones de protección de datose. Evaluaciones de impactof. Delegado de Protección de Datos
4www.agmabogados.com
Transferenciasinternacionales
Informacióndeinterésgeneral
El Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016.
Será de aplicación enMAYO 2018 > 2 años periodo de transición > ADAPTACIÓN.
El RGPD es directamente aplicable sin necesidad de transposición à en trámite la nueva LEYORGÁNICA DE PROTECCIÓN DE DATOS.
Dos elementos CLAVE en el RGPD:
1. Principio de responsabilidad proactiva (actitud consciente, diligente y proactiva)¿Qué datos se tratan?¿Con qué finalidad se tratan?¿Qué tipo de tratamiento se lleva a cabo?¿Son adecuadas las medidas de seguridad?
2. Enfoque del riesgo:Análisis del riesgo para los derechos y libertades de las personas
5www.agmabogados.com
1. Introducción
2. Transparencia e información a los interesados
6www.agmabogados.com
INEQUÍVOCO: el que se ha prestado mediante una manifestación del interesado o mediante una claraacción afirmativa.
Tiene que ser además EXPLÍCITO en los siguientes casos:Tratamiento de datos sensibles (raza, etnia, religión, afiliación, política, datos genéticos, salud,vida sexual).Adopción de decisiones automatizadas.Transferencias internacionales.
Consentimiento ESPECÍFICO para cada tratamiento.
OBLIGACIONES:Información: concisa, transparente, inteligibley de fácil acceso.Actualizar derechos de los interesados.Incluir información sobre:
Base jurídica del tratamiento.Transferencias internacionales.Datos del Delegado del Protección de datos, si lo hay.Elaboración de perfiles.
7www.agmabogados.com
a) Consentimiento
RECOMENDACIONES:Revisarformulariosderecogidadeconsentimiento.AdaptacióndelosmismosincluyendoinformaciónrequeridaporelRGPD.
Obligación del RESPONSABLE del tratamiento.
¿CUÁNDO se debe informar?Cuando se obtienen directamente de los interesados > en el momento de recogida.Cuando se obtienen de fuentes de acceso público/cesión legítima > en un plazo razonable:
Antes de 1 mes desde que se obtuvieron los datos.Antes de la 1ª comunicación con el interesado.Antes de la comunicación a otros destinatarios.SALVO:
Comunicación imposible/esfuerzo desproporcionado.Datos de carácter confidencial por un deber legal de secreto.Obligación del RESPONSABLE del tratamiento.
¿CÓMO informar? > POR CAPASFormularios en papel.Navegación o formularios web.Entrevista telefónica.Registro de aplicaciones móviles, etc.
8www.agmabogados.com
b) Deber de informar
9www.agmabogados.com
Epígrafe InformaciónBásica(1ªcapa) Información adicional(2ªcapa)
Responsable Identidad delresponsabledeltratamiento
Datosde contactodelresponsable.
Identidadydatos delrepresentante.
Datosde contactodelDPO.
Finalidad Descripciónsencilladelosfinesdeltratamiento,elaboracióndeperfiles
Descripción ampliadelosfinesdetratamiento.
Plazos/criterios deconservacióndedatos.
Decisionesautomatizadas,perfiles.
Legitimación Base jurídicadeltratamiento Detalle delabasejurídica;obligaciónlegal,interéspúblico,interéslegítimo.
Obligación onodefacilitardatosyconsecuenciasdenohacerlo.
Destinatarios Previsióno nodecesiones Destinatariosocategoríasdedestinatarios.
Previsiónonodetransferenciasatercerospaíses
Adecuación, garantías,situacionesespecíficasaplicablesentercerospaíses.
Derechos Referenciaalejerciciodelosderechos
Derechosdeacceso,rectificación,supresión,portabilidad,limitación,oposición.
Derecho aretirarelconsentimientoprestado.
Derecho areclamarantelaAutoridadcompetente.
Procedencia Fuentedelosdatos(cuandonoprocedendelosinteresados)
Informacióndetallada delorigendelosdatos,inclusosiprocedendefuentespúblicas.
Categorías delosdatosquesetraten.
b) Deber de informar
10www.agmabogados.com
3. Derechos
Facilitar el ejercicio por medios electrónicos.
Plazo de información al interesado > 1 mes > 2 meses solicitudes complejas.
Tomar medidas para verificar la identidad de quienes ejercitan los derechos.
Colaboración de encargados de tratamiento para atender las respuestas a los ejercicios de losderechos de los interesados.
GRATUITO, salvo:Solicitudes manifiestamente infundadas, excesivas, repetitivas > el responsable podrá cobrar uncanon.
11www.agmabogados.com
a) Procedimiento para el ejercicio
12www.agmabogados.com
LOPD RGPDObligación defacilitartodoslosdatosdelosafectados,peronocopiasodocumentos(exceptoenelcasodehistoriaclínica)
Derecho delafectadodeobtenercopiadelosdatosobjetodeltratamiento.
Posibilidaddeaccesoremoto.
Aplicación del derecho de borrado, derecho de cancelación/oposición en el entorno online.
Introducir de medidas técnicas para informar a los afectados de este derecho y del procedimientopara ejercitarlo.
b) Derecho de acceso
c) Derecho al olvido
No utilización de los datos del afectado.
Se puede solicitar cuando:Ejercicio de los derechos de rectificación/oposición, estando la solicitud en trámite.Tratamiento ilícito, pero el interesado se opone al borrado de los datos.Cuando ya no siendo procedentes, el interesado solicite su conservación para la formulación,ejercicio, defensa de reclamaciones.
El responsable sólo los puede tratar:Con el consentimiento de interesado.Para la formulación, el ejercicio o la defensa de las reclamaciones.Para proteger los derechos de otra persona física o jurídica.Por razones de interés público de la UE o de un Estado miembro.
13www.agmabogados.com
d) Limitación del tratamiento
Derecho avanzado del derecho de acceso > la copia debe proporcionarse en un formato estructurado,de uso común y lectura mecánica.
Los datos se transmiten directamente de un responsable a otro, siempre que ello sea técnicamenteposible.
Sólo puede ejercitarse:Cuando el tratamiento se realiza por medio automatizados.Cuando el tratamiento se base en un consentimiento/contrato.Cuando se trate de datos proporcionados por el propio interesado.
14www.agmabogados.com
e) Portabilidad
15www.agmabogados.com
4. Relaciones Responsable-Encargado
Laresponsabilidadsobreeltratamiento>RESPONSABLE.
ProcesosdeCertificación/Adhesiónacódigosdeconducta.
Medidasderesponsabilidadactiva>Obligaciones:Registrodeactividadesdeltratamiento.Determinarlasmedidasdeseguridadaplicablesaltratamientoquerealizan.DesignarunDELEGADODEPROTECCIÓNDEDATOS(DPO)enloscasosprevistos.
16www.agmabogados.com
a) Obligaciones específicas para los encargados
RECOMENDACIÓN:
Adherirsealoscódigosdeconducta/certificarseantelaautoridadcompetente.Contratassóloconencargadosdeltratamientoadheridos.
17www.agmabogados.com
LOPD RGPDDiligencia debidaenlaseleccióndeencargadosdetratamiento.
ElResponsabledeberáadoptarmedidasapropiadasquegaranticeypuedademostrarqueeltratamientoserealiceconformeal RGPD.
b) Elección del encargado del tratamiento
Formalización del encargo en:Contrato.Acto Jurídico.
CONTENIDOmínimo del contrato:Objeto, duración, naturaleza y finalidad del tratamiento.Tipos de datos personales y categorías de los interesados.Tratamiento de datos por parte del encargado siguiendo instrucciones del responsable.Condiciones para dar autorización/consentimiento a subcontrataciones.Asistencia mutua para el ejercicio de los derechos de los interesados.Deber de confidencialidad.Medidas de seguridad.Destino de los datos al finalizar la prestación > supresión.
18www.agmabogados.com
c) Contenido del contrato de encargo
19www.agmabogados.com
5. Medidas de responsabilidad activa
Valoración del riesgo de los tratamientos que realicen.
El análisis variará en función de:Los tipos de tratamientos.La naturaleza de los datos.El número de interesados afectados.La cantidad y variedad de tratamientos que en una misma organización se lleven a cabo.
Grandes organizaciones.Organizaciones de menor tamaño y tratamientos de poca complejidad:
Análisis documentado.Ranking de riesgo:
¿Se tratan datos sensibles? SÍ < NO¿Se tratan datos de un gran número de personas? SÍ < NO¿Se realiza elaboración de perfiles? SÍ < NO¿Se cruzan datos con otros disponibles en otras fuentes? SÍ < NO¿Se pretenden utilizar los datos para varias finalidades? SÍ < NO¿Análisis masivo de datos (big data)? SÍ < NO¿Utilización de técnicas invasivas de la privacidad (videovigilancia, geolocalización, etc.)? SÍ < NO
20www.agmabogados.com
a) Análisis de riesgos
Similar a la información que se comunica actualmente a la AEPD mediante la comunicación deficheros.
Exentas empresas con menos de 250 trabajadores, salvo que:El tratamiento entrañe un riesgo para los derechos y libertades de los interesados y no seaocasional.Datos especialmente protegidos.Datos relativos a condenas e infracciones penales.
Registro de operaciones de tratamiento:Nombre y datos de contacto del Responsable y DPO.Finalidades del tratamiento.Descripción de las categorías de interesados.Transferencias internacionales de datos.
21www.agmabogados.com
b) Registro de actividades de tratamientos
Aplicación de las medidas desde el inicio del tratamiento.
El actual Documento de Seguridad puede seguir siendo útil, si tras realizar el análisis de riesgos seconcluye que las medidas de seguridad contempladas en el mismo son apropiadas.
Medidas técnicas y organizativas teniendo en cuenta:El coste de la técnica.Los costes de aplicación.La naturaleza, el contexto y los fines del tratamiento.Los riesgos para los derechos y libertades.
Aplicación de los principios ya conocidos:Datos necesarios.Cantidad de los datos.Calidad de los datos.Extensión del tratamiento.Periodo de conservación.
PROCESOS DE ANONIMIZACIÓN /SEUDONIMIZACIÓN de los datos.
22www.agmabogados.com
c) Medidas de seguridad
Todo incidente que ocasione: la destrucción, pérdida o alteración accidental o ilícita de datospersonales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso noautorizados a dichos datos. Ejemplos:
La pérdida de un ordenador portátil.El acceso no automatizado a una base de datos por personal no autorizado.Borrado accidental de datos.
Notificación a la autoridad competente > plazo > 72 horas.
Incluir en la notificación:La naturaleza de la violación.Categorías de los datos e interesados afectados.Medidas correctivas.Medidas para minimizar efectos negativos.Cuando afecte a los derechos y libertades de los afectados > notificación también a ellos.
23www.agmabogados.com
d) Notificación de violaciones de protección de datos
24www.agmabogados.com
Para tratamientos de alto riesgo.
Se pueden realizar consultas a la AEPD, que puede dar recomendaciones o limitar el tratamiento.
Supuestos de alto riesgo:La AEPD elaborará listados sobre supuestos de tratamiento de alto riesgo.Elaboración de perfiles sobre cuya base se tomen decisiones jurídicas.Tratamientos a gran escala de datos personales:
Volumen absoluto de datos en relación a una determinada población.Volumen de datos y variedad de datos.Duración y permanencia de la actividad del tratamiento.La extensión geográfica de la actividad del tratamiento.
e) Evaluación de impacto
25www.agmabogados.com
Persona con cualificaciones profesionales en materia jurídica y tecnológica (proceso de Certificaciónestablecido por la AEPD > la Certificación no es un requisito indispensable para el acceso a laprofesión).
Comunicación de la designación a la AEPD.
Contrato laboral/mercantil. Jornada completa/parcial.
Requisitos de sus funciones:Total autonomía en el ejercicio de sus funciones.Relación directa con el órgano de Administración.
Obligatorio para:Autoridades y organismos públicos.Tratamientos que requieran observación sistemática y habitual a gran escala.Tratamientos a gran escala de datos sensibles.
f) Delegado de Protección de Datos (DPO)
26www.agmabogados.com
Los datos sólo pueden ser comunicados fuera del espacio Económico Europeo:
A países o sectores específicos previamente autorizados por la Comisión.Cuando se garanticen medidas de protección adecuadas en el destino.Cuando aunque el país no sea seguro, se realice de forma puntual y no suponga perjuicio para elafectado, y se realice en virtud de un interés legítimo del responsable.
6. Transferencias internacionales
ContactoBARCELONAPau Clarís,139- 08009Tel.:+34934871126agm@agmabogados.com
MADRIDPaseodelaCastellana,114- 28046Tel.:+34915621386madrid@agmabogados.com
SHANGHAICrystalCenturyPlaza– Room17A567WeihaiRoad- 200041WeChat:AGM_Abogadosshanghai@agmabogados.com
SABADELLC/delSol,217,Local- 08201Tel.:+34937155136sabadell@agmabogados.com
PARÍS27,rueDumontd’Urville- 75116Tel.:+33144430070paris@agmabogados.com
OficinaderepresentaciónMéxicoDF
27www.agmabogados.com
AnaGarcíaLuceroAbogadaáreaDerechoMercantil–
Barcelonaagarcia@agmabogados.com
www.agmabogados.com
Síguenosycompartetuopinión@AGMAbogados
AGMAbogados,S.L.Despachodeabogadosyeconomistas.MiembrosdelgrupointernacionaldeabogadosLAWROPE.
NUEVA LOPDDESDE EL PUNTO DE VISTA
TÉCNICO
Asger Laursen
LOPD =
GDPR (General Data Protection Regulation)
RIGHT
DUTY “A duty to obtain and process personal data fairly and lawfully”
Everyone has the right to respect for his private and family life, his home and his correspondence.
RET PLIGTTRUST
GDPR IS ABOUT ONE THING:
INDIVIDUAL (Data Subject)
DATA CONTROLLER (You)
DATA PROCESSOR (Google etc.)
COLLECTED MOVED STORED LOADED PROCESSED
WHEN PERSONAL DATA IS…
WHAT IS PERSONAL DATA?
WHAT IS PERSONAL DATA?
"Personal data" means any information relating to an identified or identifiable natural person ("data subject"); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person.
USER STORY DATA A-Z
B2B LEAD: GDPR WHITEPAPER
B2B LEAD: GDPR WHITEPAPER
B2B LEAD STRANGER VISITOR LEAD CUSTOMER
User Story Sees a social media post Visits our blogpost about GDPR
Downloads the whitepaper, receives a newsletter and attends a seminar
-
Systemer / Processor
- -
Data - • IP Addresse • Timestamp • Behavior • Company name*
• Name • E-mail • Company • Titel • Phonenumber
…
GDPR - • Data processor agreement
• Consent
• Informativ Consent • Policies (access) • Right to be forgotten • Storing • Justification • Consequence-analysis
•
-
CRM
B2C USER STORIES
User Story: New customer registers for an insurance product and submits required information
Externally Internally
CRM
3. Party
Employees
Services
ERP
Consent/Agreement Data processing agreement Policies Technical Data Protection responsibility
COLLECTED MOVED STORED LOADED PROCESSED
WHEN PERSONAL DATA IS…
CRM
Services
ERP
User Story: New customer registers for an insurance product and submits required information
Externally Internally 3. Party
EmployeesConsent/Agreement Data processing agreement Policies Technical Data Protection responsibility
CRM
Services
ERPSubmits history of health and payment
information
Send to CRM
Saved in CRM
Presented to account manager
Send to Gateway
Payment Service
Created In ERP
User Story: New customer registers for an insurance product and submits required information
Externally Internally 3. Party
EmployeesConsent/Agreement Data processing agreement Policies Technical Data Protection responsibility
CRM
Services
ERPSubmits history of health and payment
information
Send to CRM
Saved in CRM
Presented to account manager
Send to Gateway
Payment Service
Created In ERP
User Story: New customer registers for an insurance product and submits required information
Externally Internally 3. Party
EmployeesConsent/Agreement Data processing agreement Policies Technical Data Protection responsibility
B2C User Story: PRIVACY By DESIGN
User Story: Client reports incident/damage and sends information to be processed
CRM
Receptionist
Finds contact information
Recipient
Forwards
Sends mail
Account Manager
Creates case in CRM system
Externally Internally 3. Party
User Story: Kunde anmelder skade og indsender oplysninger til Trust Forsikring
Eksternt Internt
CRM
3. part
Reception
Finder kontaktoplysninger
Modtager
Forwarder
Sender mail
Sagsbehandler
Opretter skade
User Story: Kunde anmelder skade og indsender oplysninger til Trust Forsikring
Eksternt Internt
CRM
3. part
Reception
Finder kontaktoplysninger
Modtager
Forwarder
Sender mail
Sagsbehandler
Opretter skade
CRM
Case Worker
Finds Incident Form
Sends to CRM
Case is created in the system
Notification to employee
Fills in information
Externally Internally 3. Party
User Story: Client reports incident/damage and sends information to be processed
B2C USER STORY RIGHT TO BE FORGOTTEN/ DATA PORTABILITY
Externally Internally
CRM
3. part
Case Worker
User Story: Client wants to execute her right to be forgotten, or to have her data with her.
ERP
Externally Internally
CRM
3. part
Case Worker
ERP
User Story: Client wants to execute her right to be forgotten, or to have her data with her.
Can be withheld payment
Can be a manual process
Does also mean 3. party
HOW TO GET STARTED
ANCHOR PLANNING EXECUTE EVALUATE
4 STEPS
ANCHORPurpose: Identify your role under GDRP Have a clear sense of: • Which personal data are you using? • Who has access to personal data? • Where and how is personal data stored? • When is personal data deleted? • How is personal data deleted? ...
Identify your need for working with personal data and map it to the how it is used in the organization today.
Identify the tasks and measures which needs to be taken and carried out.
Format: Workshop with stakeholder, and interviews with key personnel in the organization.
Result: Report of findings and overview of tasks needed to be carried out.
Scope: 15-20 hours*
ANCHOR
WE HAVE MADE IT EASY…
PLANNINGPurpose: Identify and give the needed mandate to the team driving the and fulfilling the tasks.
Allocate resources both internally and externally.
Identify a Change Agent across the organization.
Planning and estimation of the roadmap ahead and have the critical path defined and identified.
Format: Workshop
Result: A planned project with clear milestones. A team with clearly defined roles and responsibility in regard to driving and fulfilling the tasks in the project. A clear overview of the time, ressources and money needed to complete to project
Scope: 10 - 15 Hours*
EXECUTEPurpose: • Establish and create documentation and policies. • Review legal texts concerning personal data • Data Processor Agreements • Internal policies • Internal documentation, consequence analysis, justification, processes • Operational procedures for how to delete or port data • Operational procedures for what to do in case of data breach. • Consent and information • IT-architecture overview of how and where personal data is stored and moved
around. • Internal education • Audit • New security measures • Passwords and user accounts • Review of current business design • Create contact forms • Data washing - getting rid of personal data not used or not obtained with the right
consent. • Flow for collecting consent from existing users/clients
Result: Measurable and tangible artifacts and solutions, bringing the company in compliance with GDPR
Scope: Very individual - estimated in the planning phase.
EVALUERINGPurpose: Evaluation of the ended project.
Identification of any missing tasks.
Planning the next revisit of the Anchor step. • Motivated or triggered by: • Changes in the organization • Changes in GDPR. • Changes in the IT landscape
• New software etc. • Changes to the way the organization uses personal data.
Format: Workshop og audit
Result: Sign off on compliance process
Scope: 10 Hours*
ANCHOR PLANNING EXECUTE EVALUATE
4 STEPS
START TODAY!
KICK START - PACKAGE
• Anchor step light • Website audit • Flow of data from and to the website • Legal audit on privacy copy/text • Identification of todos
Result: Action plan and tasks needed to be carried out regarding the website.
SUMMED UP1. Appoint a Change Agent to take charge of the process. 2. Start asking yourself the right questions:
1. Why, which, who, when, what 3. Follow the flow of data in your organization
1. Collecting, Moving, Storing, Loading and Processing 4. Document
1. Responsibility| Processing| Policies| Procedures 5. Make a emergency procedure
1. What do we do if data is lost (breached/stolen) 6. Do recurring evaluation 7. Remember it is about the freedom and rights of the individual 8. Make a choice about what you want to handle yourself or need help to from us 9. Ask us how to get started if you are still in doubt!.
GRACIAS!@asgerlaursen ala@novicell.com