El nuevo marco europeo de protección de datos...Agencia Española de Protección de Datos 1 El...
Transcript of El nuevo marco europeo de protección de datos...Agencia Española de Protección de Datos 1 El...
1Agencia Española de Protección de Datos
El nuevo marco europeo de
protección de datos
2º Congreso Internacional de Protección de Datos
Pereira
5/6 de junio de 2014
JOSE LUIS RODRIGUEZ ALVAREZ
DIRECTOR
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
2Agencia Española de Protección de Datos
Instrumentos
• 25 de Enero de 2012 Vicepresidenta Reding
presentó las propuestas de reforma elaboradas
por la Comisión
• dos instrumentos:
• Propuesta de Reglamento relativo a la protección de
las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos
datos (Reglamento general de protección de datos)
• Propuesta de Directiva para el tratamiento de datos
por las autoridades competentes a efectos de la
prevención, investigación, detección y
enjuiciamiento de infracciones penales o la
ejecución de sanciones penales (ámbito policial y
judicial penal)
3Agencia Española de Protección de Datos
El Reglamento
El instrumento principal es un Reglamento
• Directamente aplicable
• Extenso y detallado (91 artículos, frente a 34
de actual Directiva)
• Marco uniforme para toda la UE
• Limitado margen de desarrollo para EEMM
4Agencia Española de Protección de Datos
Aspectos generales
• Una única norma para toda la Unión Europea
• Aplicación a entidades no establecidas en UE cuando traten datos para• ofertar bienes o servicios a residentes en UE• controlar su conducta
• Actualiza y adecua los instrumentos de protección a la realidad actual
• Clarifica y refuerza el sistema de garantías
• Se refuerzan y homogenizan potestades Autoridades Protección Datos
que están obligadas a cooperar entre sí
• Mayor seguridad jurídica: más certeza para los operadores económicos
5Agencia Española de Protección de Datos
Ámbito de aplicación
Mantiene el criterio territorial de la Directiva para entidades
radicadas en la UE:
• Reglamento aplicable a tratamientos desarrollados en el
contexto de las actividades de un establecimiento del
responsable o encargado en la UE
Pero añade como novedad que será también aplicable a los
tratamientos de responsables no establecidos en UE
relacionados con
• Oferta de bienes y servicios a interesados en UE, o
• Control (“monitoring”) de su conducta
6Agencia Española de Protección de Datos
Derechos
Catálogo tradicional con dos novedades:
• Información
• Acceso
• Rectificación
• Derecho al olvido y al borrado
• Portabilidad
• Oposición
Régimen general ejercicio de estos derechos
• Claridad y accesibilidad
• Plazos de respuesta máx. 1 mes
• Formas de ejercicio Posible vía electrónica
• Formas de respuesta Formato electrónico
• Gratuidad
7Agencia Española de Protección de Datos
Responsabilidad activa
(“Accountability”)
• El Reglamento prevé que los responsables adoptarán políticas y
pondrán en práctica medidas para asegurar y estar en condiciones
de demostrar que los tratamientos que realizan son conformes al
Reglamento
• El Reglamento
• Considera insuficiente “no incumplir”
• Incluye exigencias de “responsabilidad activa” dirigidas a evitar
o paliar infracciones
• Es el enfoque de la “accountability”, aunque el listado de medidas
incluye algunas típicas de accountability y otras que son más
propias del enfoque prescriptivo clásico
• La no existencia de estas medidas es sancionable
8Agencia Española de Protección de Datos
Protección de datos desde el diseño y por defecto
Protección de datos desde el Diseño
• Implementación en el momento de determinación de los medios del tratamiento y en el tratamiento propiamente dicho medidas y procedimientos técnicos y organizativosapropiados para cumplir el Reglamento y proteger los derechos de los interesados
• Condicionamiento: Técnicas existentes y costes de implementación
Protección de datos por Defecto
Implantar mecanismos que garanticen
• Sólo se traten los datos necesarios para cada finalidad
• Conservación tiempo mínimo necesario para finalidad
• Por defecto, no sean accesibles a un número indeterminadode personas(v.gr.configuración de privacidad para redes sociales)
9Agencia Española de Protección de Datos
Autoridades de Protección de Datos
Obligación de que en cada EM haya al menos una autoridadencargada de velar por la aplicación del Reglamento
Las APD deberán ser independientes
• Miembros nombrados por Parlamento o Gobierno
• Personas de cualificación, experiencia e independencia
• Nombramiento por un mínimo de 4 años
• Inamovilidad excepto por causas penales, renuncia o fin de mandato
• Prohibición recibir instrucciones
• Recursos suficientes. Presupuesto separado
• Personal propio bajo su exclusiva dirección
• Deber de secreto
Amplio catálogo de competencias
• Incluye potestades investigación y sanción
• Principio general de gratuidad
10Agencia Española de Protección de Datos
Régimen sancionador
El Reglamento establece un régimen sancionador completo
Sanciones deberán ser, en cada caso, efectivas, proporcionadas y
disuasorias
Posibilidad de apercibimiento (advertencia escrita sin sanción) en
primer incumplimiento no deliberado:
Persona física sin interés comercial
Empresa con menos de 250 empleados que trata datos como
actividad auxiliar de la principal
Importe sanciones deberá modularse atendiendo a varios criterios:
Naturaleza, gravedad y duración de la infracción
Carácter intencional o accidental
Grado de responsabilidad del infractor e infracciones previas
Existencia de medidas preventivas
Cooperación con la Autoridad
11Agencia Española de Protección de Datos
Régimen sancionador
Tipificación infracciones y sanciones:
• Multa hasta 250.000€ o hasta el 0,5% de volumen de negocio anual a nivel mundial (empresa)
• Cobrar por ejercicio derechos…
• Multa hasta 500.000€ o hasta el 1%
• No proporcionar información o información incompleta
• No proporcionar acceso o no rectificar datos
• Incumplir derecho al olvido o al borrado
• No mantener documentación exigida...
• Multa hasta 1.000.000€ o hasta el 2%
• Tratamiento sin legitimación
• Tratamiento irregular de datos sensibles
• No adoptar medidas de “accountability”
• No notificar violaciones de seguridad…
El Reglamento no prevé régimen especial para poderes públicos
12Agencia Española de Protección de Datos
Estado actual
Parlamento Europeo
Posición Común Comisión LIBE) Octubre de 2013
Posición Común Plenario 12 Marzo 2014
Consejo
Finalizada tercera lectura Reglamento
No acuerdo final sobre ningún área
Acuerdos específicos sobre materias aisladas
Aprobación
Depende de “posición común” del Consejo
Previsiones “Timely adoption” (CEUR)
“Posible antes de finales de 2014” (COM)
13Agencia Española de Protección de Datos
Temas clave
Ámbito territorial “Amplio apoyo” CJAI a propuesta COM
Previsión de aplicabilidad a empresas no establecidas en UE, pero que tratan datos en el contexto de
• Oferta de bienes o servicios dirigidos a ciudadanos UE
• Control de su actividad (“monitoring”)
Concepto de dato personal
Debate sobre datos pseudónimos
Aplicabilidad a sector público
Se está planteando el problema de si la rigidez que supone
un Reglamento permite adaptar normativa a sector público
14Agencia Española de Protección de Datos
Temas clave
Derechos Catálogo tradicional con adiciones
Consentimiento explícito vs. consentimiento inequívoco
Derecho al olvido ¿Cuál es el efecto de la Sentencia
Google?
“Obligaciones del responsable”
“Risk based approach”
Apoyo generalizado a aplicar el criterio de RBA en
obligaciones
Problema ¿Cómo medir riesgo y cómo guiar a
responsables?
DPD Acuerdo sobre carácter voluntario
Notificación quiebras de seguridad
Esfuerzos para limitar mejor el ámbito de aplicación
(desde la obligación general prevista por la COM)
15Agencia Española de Protección de Datos
Temas clave
Corregulación Avances sustanciales en GT del Consejo sobre
Códigos de conducta
Mecanismos de certificación
Establecimiento principal y “ventanilla única”
Tema principal de discusión desde presidencia lituana
Postura COM Toda la competencia para la APD del
establecimiento principal cuando hay varios en la UE
PE ofrece una primera modulación en su posición común
Posición de CJAI a favor de
Ventanilla única en “important transnational cases”
Garantizando la proximidad al ciudadano en las decisiones
Sanciones
Debate sobre alternativas a sanciones económicas
Debate sobre cuantía máxima