LUCES Y SOMBRAS DEL RGPD…

Eduard Chaveli

CEO.IT Lawyer

ESTÁ AMANECIENDO EN EL RGPD…

Intento de armonizar u homogeneizar la normativa

Entró en vigor el 25 de mayo de 2016.

Efecto directo. No requiere trasposición al derecho interno.

Será exigible a partir del 25 de mayo de 2018.

Hasta la fecha deberemos realizar una adaptación progresiva.

Se va a aprobar una “nueva LOPD”. Existe un Proyecto de nueva LOPD

Reto de gran envergadura: ADAPTARSE AL RGPD

TRAE NUEVOS DERECHOS Y OBLIGACIONES

Ampliación ámbito territorial de aplicación

Viejos y nuevos conceptos

Viejos y nuevos principios

El tratamiento como protagonista

El registro de las actividades de tratamiento

Cambios en los derechos del titular de los datos

Cambio en el enfoque de las medidas de seguridad

Evaluaciones de impacto

Cambios en las reglas de licitud del tratamiento.

Cambios en el deber de información

Nueva figura del delegado de protección de datos

Diferente régimen sancionador

Autoridades de control

COMPARATIVA LOPD/RGPD

Inscripción de ficheros Registro de Actividades + medidas

Deber de información Cambios en deber de información

Legitimación del tratamiento y reglas consentimiento.

Cambios en legitimación, consentimiento y menores.

Contratos con encargados del tratamiento Cambios en los contratos de encargo de tratamiento

Documento de seguridad e implantación de medidas de seguridad

Responsabilidad proactiva:

• Medidas documentadas pero no DS

• Notificación violaciones de seguridad

• Privacidad desde el diseño y por defecto

• Evaluaciones de Impacto en la Privacidad (EIPD)

• Accontability

• DPO

Formación Formación

Derechos A.R.C.O. ARCOPL

Auditoria bienal Auditorias cuando determine el responsable

NO notificación a la autoridad de control.

Registro a nivel interno y «a disposición de laautoridad de control que lo solicite».

En la práctica = Información NOTA + otra +Descripción general de medidas

A. Registro de Actividades de Tratamiento de datos personales

Recomendación ¿Cómo articular el Registro de Actividadesde Tratamiento? [Vid. Guía del RGPD para Responsables de Tratamiento]

1º Partir de los ficheros que actualmente tienen inscritos en el Registro

2º Desgajar las operaciones de tratamiento concretas vinculándose a una finalidad básica

común de todas ellas (por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de recursos

humanos y nóminas”) o con arreglo a otros criterios distintos.

EJEMPLO

Conjunto de datos personales relativo a“Trabajadores” Registro o inventario deactividades u operaciones de Tratamiento:

1. Tratamiento Recursos Humanos

2. Tratamiento gestión de Nóminas

3. Tratamiento Prevención de riesgoslaborales

Fichero “Trabajadores”

Tipificación de finalidades o usosde los datos:

Recursos Humanos [Gestión; Formación;

Selección; Promoción; Control horario]

Gestión de Nóminas

Prevención de riesgos laborales

Un registro excepcional que en la práctica no será tan excepcional

RGPD: “Están exentas las organizaciones que empleen a menos de 250 trabajadores, amenos que el tratamiento que realicen pueda entrañar un riesgo para los derechos ylibertades de los interesados, no sea ocasional o incluya categorías especiales de datos odatos relativos a condenas e infracciones penales”.

La obligación de publicar el registro de actividades en el sectorpúblico tiene que tener límites.

PLOPD: “Los sujetos enumerados en el artículo 77.1 de esta ley orgánica harán público uninventario de sus actividades de tratamiento accesible por medios electrónicos en el queconstará la información establecida en el artículo 30 del Reglamento (UE) 2016/679 y su baselegal”.

.

Además de la información establecida por la LOPD, se han de añadir otros

extremos:

Datos de contacto del Delegado de Protección de Datos.

La base jurídica o legitimación para el tratamiento (consentimiento, ejecución de un

contrato; cumplimiento de una obligación legal; misión en interés público o ejercicio de

Poderes públicos; interés legítimo del Responsable o un tercero)

Informar de las transferencias internacionales de datos.

Plazo s o criterios de conservación de los datos.

La previsión de transferencias a Terceros Países.

Derecho reclamación ante una autoridad de control.

Y, en el caso de que los datos no se obtengan del propio interesado:

El origen o procedencia de los datos

Las categorías o tipos de datos (identificativos, características personales,

etc.)

B. Deber de información

Primera capa. Información básica

Supuestos:1. Datos recabados del afectado en redes de comunicaciones electrónicas o

servicios de la sociedad de la información2. Lo disponga la Ley3. O lo autorice la AEPD

Información básica1. Identidad del responsable2. Finalidad del tratamiento3. Forma de ejer los derechos4. Y dirección electrónica para acceder a la segunda capa de información

Información por capas

Novedad: Información mediante iconos

La información por doble capa es una buena idea pero el uso delmodo tabla que sugieren las autoriades no siempre es factible.

El uso de iconos será una buena opción pero sólo si los que se elijansean acertados y existe educación en privacidad Un icono que no es sencillode entender o cuyo significado no se conoce es como si no existiera.

.

C. Licitud (legitimación) del tratamiento

El consentimiento deja de ser la RG para ser “una causa mas”:

Ejecución de un contrato (hacer referencia a contrato o tipo de contrato) Cumplimiento del deber de una obligación legal (indicar la norma con rango

de Ley) Misión en interés público o ejercicio de poderes públicos (indicar la norma

con rango de Ley) Interés legítimo de responsable o tercero (explicitar el interés y buena

práctica ponderación) Consentimiento del interesado Excepcionalmente en supuestos de urgencias: Protección de intereses

vitales

Consentimiento “inequívoco” y “explícito”. No tácito

Venimos del consentimiento como Regla General y ahora va a costarmucho ”cambiar el chip” a que sea “una causa más” …

En España no tenemos tradición de balancear el interés legítimoporque durante mucho tiempo “no existía”… y ahora pasa a tener un lugarmuy importante. .

D. El tratamiento de datos de menores de edad

14 años en general, se requerirá elconsentimiento delPadre/Madre/Tutor/Representante Legal

La información dirigida a los mismos deberáexpresarse. en un lenguaje que sea fácilmentecomprensible por aquéllos

Articular los procedimientos que garanticenque se ha comprobado de modo efectivo la edaddel menor y la autenticidad del consentimientoprestado en su caso, por los padres, tutores orepresentantes legales

13 años pero 16 años en los servicios ofrecidos porInternet

Por debajo de esa edad, es necesario elconsentimiento de padres o tutores.

El aviso de privacidad debe estar escrito en unlenguaje que los niños puedan entender.

Se hará esfuerzos razonables para verificar enteniendo en cuenta la tecnología disponible.

El proyecto de LOPD es confuso y no queda claro si la mayoría deedad para tratamientos off line son los 13 años o más de 13 (y por tanto14).

En España ya se exigía articular los procedimientos que garanticenque se ha comprobado de modo efectivo la edad del meno y laautenticidad del consentimiento prestado porsus representantes y el RGPDrebaja la exigencia exigiendo sólo que se hagan esfuerzos razonables paraverificar en teniendo en cuenta la tecnología disponible. .

¿ Quién es el Encargado de Tratamiento? Persona física o jurídica, autoridad pública,servicio u otro organismo que trate datos personales por cuenta del responsable deltratamiento.

¿Cómo debe regularse la relación entre Responsable y el Encargado?

Contrato o acto jurídico similar que los vincule.

Deberá constar por escrito, inclusive en formato electrónico.

AEPD: NOVEDAD: "La posibilidad de regular esta relación a través de un acto

jurídico unilateral del responsable del tratamiento es una novedad del RGPD”.

Pero matiza que “en cualquier caso debe tratarse de un acto jurídico que establezca

y defina la posición del encargado del tratamiento, siempre y cuando ese acto vincule

jurídicamente al encargado del tratamiento.

Un ejemplo: una resolución administrativa que conste notificada al encargado del

tratamiento.

E. Regularización de los prestadores de servicios con acceso a datos (= Encargados de Tratamiento)

.

¿Cuál es el contenido mínimo de un contrato de encargo detratamiento?

Los contratos de encargo concluidos con anterioridad a la aplicación del RGPD en

mayo de 2018 deben modificarse y adaptarse para respetar este contenido, sin que

sean válidas las remisiones genéricas al artículo del RGPD que los regula.

1. Objeto, duración y naturaleza

2. Finalidad del tratamiento/s que se autoriza al encargado

3. Tipo de datos personales y categorías de interesados

4. Que el encargado tratará los datos personales únicamente siguiendo instrucciones

documentadas del responsable.

5. Deber de confidencialidad, secreto profesional

6. Medidas de seguridad, técnicas y organizativas.

7. Régimen de subcontratación

8. Colaboración en el cumplimiento de obligaciones del Responsable:

9. Finalización de la relación: supresión o devolución de datos

Diligencia en la elección y supervisión del Encargado

El Responsable de Tratamiento debe elegir un encargado del tratamiento que ofrezcagarantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas yorganizativas apropiadas. El Encargado ofrecerá conocimientos especializados, fiabilidad yrecursos.

Para demostrar que el Encargado (o Sub-encargados) ofrece garantías suficientes el RGPDprevé que la adhesión a CÓDIGOS DE CONDUCTA o la posesión de un CERTIFICADO deprotección de datos pueden servir como mecanismos de prueba.

La posibilidad de regular esta relación a través de un acto jurídicounilateral del responsable del tratamiento es una novedad del RGPDpero sólo aplica al sector público.

El proyecto de LOPD (Disposición transitoria quinta) consciente delproblema lo que hace es prorrogar esta obligación:

Los contratos artículo 12 firmados antes del 25 de mayo de 2018:

• Mantienen vigencia hasta fin contrato

• Pero:

• Si son indefinidos máximo 4 años desde 25 Mayo de 2018.

• Si prevén su prórroga al finalizar deberán adaptarse con anterioridad almomento en que estuviera prevista dicha prórroga.

NOVEDADES

Derecho a la PORTABILIDAD DE LOS DATOS

F. Derechos del ARCO

Derecho de Supresión (= Derecho al Olvido)

Derecho a la limitación en el tratamiento) tico

QUIERO QUE…

Gratuidad: no obstante hay supuestos en que puede cobrar una tasa o

canon razonable o incluso negarse a responder.

Ej. solicitudes abusivas que manifiestamente infundadas, excesivas, o aquellas

que tengan un carácter repetitivo.

Plazos: 1 MES. Puede ser prorrogado por 2 meses más en supuestos de

complejidad o número de solicitudes recibidas.

Medios Electrónicos: Se proporcionará medios para ejercicio por esta vía

Negativa a la solicitud: Cuando no se le conceda el derecho se informará

de la posibilidad de presentar la correspondiente reclamación ante la

Autoridad competente.

Información adicional: en aquellos casos en los que existan dudas

razonables sobre la identidad de la persona física que realiza la solicitud.

G. Pongamos el zoom en las medidas de seguridad

Novedad: Las medidas se derivarán del AARR y Evaluación de impacto …

Privacy by default

Privacy by design

Notificación de violaciones o brechas de seguridad

No existe tradición generalizada del análisis de riesgos en el ámbitode la protección de datos: muchos tendrán que “ponerse las pilas” en estecampo.

Que no exista una serie de medidas tasadas por tipo de datos nosignifica que - después de realizado el análisis de riesgos del tratamiento -no se puedan traducir a niveles de medidas ni que las medidas de dichosniveles no puedan ser coincidentes con las que establecía el RD 1720/2007como hace por ejemplo la GUIA 803 del CCN para el ENS

H. EL DPD

a) ANTECEDENTES

Directiva 95/46 permitía omitir la notificación cuando se dieran ciertas

condiciones, entre las que se exigía haber designado DPD.

b) ANTES LA SITUACIÓN ERA ASIMÉTRICA

Términos utilizados:

•DPO (Data Protection Officer)

•DSO (Responsable de Seguridad)

•Fuente: http://www.aspectosprofesionales.info/2012/04/el-delegado-de-proteccion-de-datos.html

c) AHORA SUPUESTOS DE OBLIGATORIEDAD DPD

RGPD

1. Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los

tribunales que actúen en ejercicio de su función judicial”.

2. Cuando las actividades principales consistan en operaciones de tratamiento que, en razón

de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de

interesados a gran escala”.

3. Cuando as actividades principales consistan en el tratamiento a gran escala de

categorías especiales de datos y de datos relativos a condenas e infracciones penales.

+ PLOPD: Supuestos concretos

+ CONVENIENCIA: Sanciones, complejidad, etc…

d) FUNCIONES DEL DPD

RGPD

1. Informar y asesorar al responsable, al encargado y empleados.

2. Supervisar el cumplimiento incluyendo asignación de responsabilidades,concienciación y formación del personal.

3. Asesorar acerca de la evaluación de impacto y supervisar su aplicación.

4. Cooperar con la autoridad de control

5. Actuar como punto de contacto en cuestiones relativas al tratamiento de losdatos, incluyendo las consultas previas.

Según el ESQUEMA DE CERTIFICACIÓN D E DPD Y RECOME

ESQUEMA DE CERTIFICACIÓN Y RECOMENDACIONES PARA AAPP

1. Cumplimiento de principios relativos al tratamiento: limitación de finalidad, minimización o exactitud de los datos

2. Identificación de las bases jurídicas de los tratamientos

3. Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos

4. Existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas

5. Diseño e implantación de medidas de información a los afectados por los tratamientos de datos

6. Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los

interesados

7. Valoración de las solicitudes de ejercicio de derechos por parte de los interesados

8. Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos requeridos

9. Identificación de los instrumentos de TID adecuados a las necesidades y características de la organización y de las razones

que la

10. Diseño e implantación de políticas de protección de datos

11. Auditoría de protección de datos

12. Establecimiento y gestión de los registros de actividades de tratamiento

13. Análisis de riesgo de los tratamientos realizados

14. Implantación de las medidas de protección de datos desde el diseño y por defecto adecuadas a los riesgos y naturaleza de los

tratamientos

15. Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos

16. Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos y de notificación a las autoridades y a

los afectados

17. Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos

18. Realización de evaluaciones de impacto sobre la protección de datos

19. Relaciones con las autoridades de supervisión

20. Implantación de programas de formación y sensibilización del personal en materia de protección de datos

• Cuando el responsable o el encargado del tratamiento hubieran designado un DPD

• GESTIÓN PREVIA A LA RECLAMACIÓN:

•El afectado se podrá dirigir al DPD de la entidad contra la que se reclame.•EL DPD comunicará al afectado la decisión que se hubiera adoptado en el plazomáximo de dos meses a contar desde la recepción de la reclamación.

• Si el afectado presenta RECLAMACIÓN DIRECTAMENTE ANTE LA AUTORIDAD DE CONTROL:

•Las autoridades podrán remitir la reclamación al delegado de protección de datos afin de que por el mismo se dé respuesta a la misma en el plazo de un mes.

+ PLOPD Gestión de reclamaciones

e) POSIBILIDADES DE CONFIGURACIÓN

A. INTERNO/EXTERNO

Dependerá del tipo, actividad y tamaño de organIzación

B. UNIPERSONAL O COLECTIVO

La organización cual se adapta mejor a sus necesidades.

PLOPD Dice que puede ser una persona física o jurídica

.

33

f) POSICIÓN DEL DPD

• PARTICIPACIÓN del DPD en todas las cuestiones relativas a la protección de

datos personales

• RECURSOS NECESARIOS

• INDEPENDENCIA

• No recibirá instrucciones.

• Depende directamente del más alto nivel jerárquico.

• DESPIDO O SANCIÓN

• Concepto amplio de sanción

• No podrá ser sancionado o destituido por el hecho de desempeñar sus

funciones…. PLOPD: salvo que incurriera en dolo o negligencia grave en su

ejercicio”.

• COMPATIBILIDAD CON OTRAS FUNCIONES. ANÁLISIS DE CONFLICTO DE

INTERESES.

g) CUALIDADES DEL DPD

EXPLÍCITAS (ART. 37 RGPD)

1.Cualidades profesionales2.Conocimientos especializados del Derecho3.Práctica en materia de protección de datos4.Capacidad para ejecutar las tareas contempladas en el art. 39.

Considerando 97:

El nivel de conocimientos especializados necesario se debe determinar, en particular, en función delas operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para losdatos personales tratados por el responsable o el encargado.

Pese a las “aclaraciones” del grupo de trabajo del artículo 29 lossupuestos de exigencia de DPD no son nada claros. ¿Es una Ley Orgánica ellugar para aclararlos? Creo que no.

La certificación no es exigible legalmemte (aunque creo que elmercado la irá exigiendo en ciertos supuestos). Pero lo que si que deberíagarantizarse es la formación y capacitación mínima.

Puedes continuar profundizando en las luces y sombras en:

https://dpd.aec.es/blog/