“El nuevo Reglamento Europeode Protección de Datos y suaplicación en autónomos yPYMES”

http://consultingpro.laboralkutxa.com

3

✓ Es una normativa que impone una serie deobligaciones a TODAS las empresas y organizaciones,públicas y privadas, que en el desarrollo de susactividades realicen tratamiento de datos depersonas físicas.

¿QUÉ ES LA PROTECCIÓN DE DATOSPERSONALES?✓ Es un Derecho fundamental que tienen,

exclusivamente, las personas físicas y que buscaproteger sus datos personales frente a intromisioneso violaciones ilegítimas de su privacidad o intimidad.

¿QUÉ ES LA LEGISLACIÓN DE PROTECCIÓN DEDATOS?

4

✓ Toda información que identifica o permite identificara una persona: nombre y apellidos, DNI, direcciónpostal y electrónica, teléfono, fotografías u otrasimágenes, etc.

✓ También aquellos datos que hacen referencia alorigen racial o étnico, la salud y la vida sexual,ideología, afiliación sindical, la religión y lascreencias. Estos datos están especialmenteprotegidos por la ley.

✓ El RGPD incorpora nueva categoría de datos: datosbiométricos, datos genéticos.

¿QUÉ SON LOS DATOS PERSONALES?

5

✓ Garantizar la protección y el correcto uso de losdatos de carácter personal por parte de lasempresas y de las administraciones públicas.

✓ Establece como se deben recoger, tratar y cederlos datos personales por parte de las empresas.

FINALIDAD DE LA NORMATIVA

6

✓ Ley Orgánica 15/1999, de 13 de diciembre, de Protecciónde Datos de Carácter Personal (L.O.P.D.)

✓ Real Decreto 1720/2007, de 21 de diciembre,Reglamento de desarrollo de la Ley Orgánica deProtección de Datos de Carácter Personal.

✓ Reglamento General de Protección de Datos (RGPD), UE2016/679, de 27 de abril de 2016. Aplicable a partir del25 de mayo de 2018.

NORMATIVA BÁSICA DE DATOS

PERSONALES

7

OBLIGACION LEGAL: al igual que otra normativa (fiscal, laboral,mercantil) se trata de una ley de cumplimiento obligatorio.

EVITAR SANCIONES: incumplir esta normativa puede acarrearimportantes sanciones económicas (multas que van de 900 a600.000 €) El RGPD endurece el régimen sancionador, prevésanciones para las empresas que podrán llegar al 4% de su volumende negocio.

IMAGEN DE LA ORGANIZACIÓN: ayuda a que nuestros clientesfortalezcan su confianza en nuestra empresa.

PARALIZACION DE LA ACTIVIDAD: En caso de sanciones graves,puede decretarse la inmovilización de los ficheros.

OPORTUNIDAD: proteger la información como activo fundamentaldel centro: oportunidad de mejora.

RAZONES POR LAS QUE ESTAMOS

OBLIGADOS A SU CUMPLIMIENTO

8

El RGPD es la norma más relevante en materia de protecciónde datos personales de los últimos tiempos, cuya aplicaciónserá efectiva desde el 25/05/2018.

PRINCIPALES OBJETIVOS:

Permitir un mejor control a los ciudadanos sobre suinformación personal en un mundo de teléfonos inteligentes,redes sociales, información personal almacenada en la “nube”,banca por internet y de transferencias de datos globales.

Proporcionar un marco legal único en la UE a las empresas queprocesan datos personales.

REGLAMENTO GENERAL DE PROTECCIÓN DE

DATOS (RGPD), UE 2016/679, DE 27 DE ABRIL DE

2016

9

ÁMBITO TERRITORIAL Y EMPRESAS OBLIGADAS

El RGPD se aplica a las empresas situadas en Europaque tratan datos personales y también a aquellasempresas no establecidas en la UE, que realicentratamientos de datos derivados de una oferta debienes o servicios destinados a ciudadanos de laUnión o como consecuencia de una monitorización yseguimiento de su comportamiento.

REGLAMENTO GENERAL DE PROTECCIÓN DE

DATOS (RGPD), UE 2016/679, DE 27 DE ABRIL DE

2016

10

Obtención del consentimiento para el tratamiento de datos:

Actual LOPD: Si los datos recabados son datos básicos, admiteque dicho consentimiento pueda ser tácito.

Nuevo RGPD: Deja de ser válido el consentimiento tácito o poromisión. El consentimiento debe darse mediante un actoafirmativo y debe ser libre, informado, específico e inequívoco.

El responsable del tratamiento deberá ser capaz de demostrarque el interesado consintió el tratamiento de sus datospersonales. Art. 7.1 RGPD.

IMPORTANTE: Revisar la forma en la que se obtiene y seregistra el consentimiento.

PRINCIPALES NOVEDADES DEL RGPD

11

SITUACIONES QUE PUEDEN DARSE✓ Tratamientos de datos iniciados antes del 25/05/2018,

basados en un consentimiento que cumple los requisitosdel RGPD: no es necesario pedir al interesado que de suconsentimiento nuevamente si los datos van a seguirtratando para los mismos fines que el interesado consintió.

✓ Tratamiento de datos iniciados antes del 25/05/2018,basados en un consentimiento que sí cumple los requisitosdel RGPD: será necesario pedir al interesado y que éste désu consentimiento de nuevo, si los datos se van a tratarpara fines distintos de los que el interesado consistió.Aprovechar esa petición para informar de las nuevascondiciones.

✓ Tratamientos de datos iniciado antes del 25/05/2018,basados en un consentimiento que no cumple losrequisitos del RGPD (basados en un consentimiento tácito):deben ajustarse a los requisitos del RGPD antes de esafecha y sí es necesario pedir al interesado y que éste dé suconsentimiento (expreso)

PRINCIPALES NOVEDADES DEL RGPD

12

DERECHO A LA INFORMACIÓN

El responsable del tratamiento de datos debe informar quién,para qué y cómo van a ser tratados los datos personales.El art. 5.1 de la actual LOPD concreta el contenido delderecho/deber de información:a) De la existencia de un fichero de datos personales, de lafinalidad de recogida de éstos y de los destinarios de lainformación.b) Del carácter obligatorio o facultativo de la respuesta y de lasconsecuencias de la obtención de los datos o de la negativa asuministrarlos.d) De la posibilidad de ejercer los derechos de acceso,rectificación, cancelación y oposición.e) De la identidad y dirección del responsable del tratamiento,o en su caso, de su representante.

PRINCIPALES NOVEDADES DEL RGPD

13

DERECHO A LA INFORMACIÓN (arts. 13 y 14 RGPD)

El nuevo RGPD obliga a informar de forma más precisa ytransparente y obliga también a informar de:✓ El plazo durante el cual se conservarán los datos.✓ Fundamento jurídico del tratamiento y de las finalidades

del tratamiento (consentimiento del interesado,cumplimiento de una obligación legal)

✓ En caso de tener que designar un delegado de protecciónde datos, la identidad del mismo.

✓ En su caso, de la existencia de una transferenciainternacional de datos.

✓ De la posibilidad de presentar una reclamación a la Agenciade protección de datos.

✓ La identidad de los destinatarios o categorías dedestinatarios de los datos personales.

PRINCIPALES NOVEDADES DEL RGPD

14

NUEVAS OBLIGACIONES QUE INTRODUCE EL RGPD

PRINCIPIO DE RESPONSABILIDAD ACTIVA (art. 24 RGPD)

✓ La actual LOPD establece la obligación de aplicar diferentesmedidas en función del nivel de seguridad -básico, medio oalto- según los datos tratados. A diferencia de la LOPD, elRGPD establece el principio de RESPONSABILIDAD ACTIVA.

✓ La principal obligación del responsable del tratamiento dedatos (responsable es quien decide los datos que serecaban y quien determina las finalidades del tratamiento)es asegurar y demostrar que el tratamiento de datos sehace acorde al RGPD.

✓ Se deben adoptar las medidas de seguridad adecuadas enfunción del riesgo del tratamiento (debe tenerse en cuentala naturaleza, el ámbito, el contexto y los fines deltratamiento así como los riesgos de diversa probabilidad ygravedad).

PRINCIPALES NOVEDADES DEL RGPD

15

NUEVAS OBLIGACIONES QUE INTRODUCE EL RGPD

PRINCIPIO DE RESPONSABILIDAD ACTIVA (art. 24 RGPD)

✓ Las empresas deberán implementar medidas que permitanun tratamiento seguro de los datos personales que trata, yademás deberán ser capaces de demostrar que hanactuado con diligencia (art. 5.2 RGPD).

En particular, una empresa debería:✓ Cifrar los datos personales, sobre todo si son datos

especialmente protegidos. La AEPD publicó al respecto unaguía con el objetivo de orientar sobre estos aspectos.

✓ Garantizar la confidencialidad, integridad y la disponibilidadde los datos personales.

✓ Establecer un plan de acción continuo, de controlesperiódicos, técnicos y organizativos, que permitan darseguimiento al cumplimiento de las medidas de seguridad.

PRINCIPALES NOVEDADES DEL RGPD

16

NUEVAS OBLIGACIONES QUE INTRODUCE EL RGPD

REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO (art. 30RGPD)

✓ El RGPD elimina la obligación actual de notificar los ficherosde datos de carácter personal a la Agencia de Protección deDatos, e introduce en su lugar la obligación del responsabley del encargado del tratamiento de crear un registrointerno, que refleje por escrito y de forma detallada, lasactividades de tratamiento que se efectúan bajo suresponsabilidad.

✓ Este Registro podrá realizarse partiendo de los ficherosactuales. Puede accederse a una copia de la inscripción deficheros desde https://sedeagpd.gob.es/sede-electronica-web/vistas/formCopiaContenido/copiaContenido.jsf

✓ El Registro en cuestión deberá mantenerse a disposición dela AGPD.

PRINCIPALES NOVEDADES DEL RGPD

17

NUEVAS OBLIGACIONES QUE INTRODUCE EL RGPD

COMUNICACIÓN DE VIOLACIONES DE SEGURIDAD DE LOSDATOS (arts. 33 y 34 RGPD)

✓ La pérdida o robo de un portátil, el acceso no autorizado alos datos personales, un ataque informático sobre nuestrosequipos y servidores son supuestos de una violación obrecha de seguridad.

✓ Cuando se produzcan estas situaciones, se deberá notificara la Agencia de Protección de Datos (AGPD), a menos quesea improbable que la violación suponga un riesgo para losderechos de los datos afectados.

✓ La obligación de notificar a la AGPD debe hacerse dentro delas 72 horas siguientes a que la empresa tenga constanciade la brecha sufrida. Deberá documentarse cualquierincidencia: detallando los hechos, sus efectos y las medidascorrectivas adoptadas.

PRINCIPALES NOVEDADES DEL RGPD

18

NUEVAS OBLIGACIONES QUE INTRODUCE EL RGPD

COMUNICACIÓN DE VIOLACIONES DE SEGURIDAD DE LOSDATOS (arts. 33 y 34 RGPD)

✓ Obligación de notificación a los interesados: La violaciónde datos personales deberá ser comunicada también a losinteresados (art.34.2 RGPD), sin dilación indebida, cuandopueda entrañar un alto riesgo para sus derechos ylibertades (art. 34.1 RGPD).

✓ La finalidad de esta notificación es otorgar al interesado laposibilidad de tomar las precauciones necesarias paraevitar consecuencias mayores debido a la violación de losdatos personales.

PRINCIPALES NOVEDADES DEL RGPD

19

NUEVAS OBLIGACIONES QUE INTRODUCE EL RGPD

Evaluaciones de Impacto sobre la Protección de Datos

El art. 35 del Reglamento regula las Evaluaciones de Impactosobre la Protección de Datos (EIPD), cuya finalidad es analizarlos riesgos que un producto o servicio puede entrañar para laprotección de datos de los afectados y cómo gestionar dichosriesgos mediante la adopción de las medidas adecuadas.

La AGPD tiene publicada una Guía al respecto:https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/2018/Guia_EvaluacionesImpacto.pdf

PRINCIPALES NOVEDADES DEL RGPD

20

DERECHOS DE LOS TITULARES DE LOS DATOS (INTERESADOS OAFECTADOS)

El RGPD contiene los tradicionales Derechos ARCO.

✓ Derechos de Acceso, Rectificación, Cancelación y Oposiciónal tratamiento de datos por parte de sus titulares (interesado o afectado)

✓ Se deberá atender la solicitud en el plazo de un mes.

✓ NUEVOS DERECHOS: el RGPD incorpora el denominadoDerecho al olvido (ej. borrado de los datos en buscadores oen Web´s) y el Derecho a la portabilidad de los datos.

PRINCIPALES NOVEDADES DEL RGPD

21

RELACIONES RESPONSABLES - ENCARGADOS DELTRATAMIENTO

✓ El RGPD contiene obligaciones expresamente dirigidas a losencargados de tratamiento, debiendo estos implantarmedidas de seguridad técnicas y organizativas apropiadaspara garantizar un nivel de seguridad de los datos adecuadoal riesgo (art. 32 RGPD)

✓ Los términos y obligaciones del encargo se regirán por uncontrato (o acto jurídico vinculante), que regulará el accesoa los datos del responsable por parte del encargado.

✓ EL RGPD regula de forma minuciosa el contenido mínimode los contratos (Art. 28.3 RGPD)

✓ Los contratos de encargo anteriores a la aplicación delRGPD debe modificarse y adaptarse. La AGPD ha publicadounas directrices para la redacción de estos contratos enhttp://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/directricescontratos.pdf

PRINCIPALES NOVEDADES DEL RGPD

22

PUBLICACIÓN DE FOTOS, VIDEOS Y OTROS DATOSPERSONALES DE NUESTROS CLIENTES EN LA PÁGINA WEB,EN REDES SOCIALES Y EN EL BLOG DE LA EMPRESA

✓ Únicamente se pueden publicar si se cuenta con elconsentimiento del cliente. Si se trata de menores de 14años de edad el consentimiento lo deben dar sus padres orepresentantes legales.

✓ El consentimiento podrá ser revocado en cualquiermomento.

23

✓ La captación y/o la grabación de imágenes de personas confines de vigilancia mediante cámaras constituye un tratamientode datos, estando sujeto a la normativa de protección de datos.

✓ Se debe informar sobre la captación y/o grabación de lasimágenes mediante cartel colocado en lugar visible, en cada unode los accesos al área videovigilada.

✓ Los datos deben eliminarse en el plazo máximo de un mesdesde su captación.

✓ En principio, no se puede captar imágenes de la vía pública.

✓ Si se instalan cámaras conectadas a una central de alarma, debela empresa proveedora del sistema de seguridad estarautorizada por el Ministerio del Interior.

CÁMARAS DE VIDEOVIGILANCIA Y PROTECCIÓN DEDATOS PERSONALES.

24

✓ Conforme al artículo 20.3 del Estatuto de los Trabajadores sobreel poder de dirección empresarial, las empresas tienen derechoa vigilar y controlar el correcto cumplimiento de la actividadlaboral, utilizando para ello, si resulta necesario, sistemas decámaras de videovigilancia.

✓ La empresa deberá informarse previamente de modo expresso,preciso e inequívoco a los trabajadores del propósito de esecontrol de la actividad laboral.

✓ Se grabarán únicamente aquellos espacios indispensables parasatisfacer la finalidades de control laboral y no se podrán utilizarpara fines distintos de los del propio control laboral.

CAPTACIÓN DE IMÁGENES EN EL PUESTO DE TRABAJO

FACILITA RGPD

Con la finalidad de facilitar la adecuación al nuevoRGPD por parte de empresas y profesionales(Responsables o Encargados de tratamientos) quetraten datos personales de escaso riesgo, la AGPDha desarrollado la herramienta denominadaFACILITA RGPD.

Puede accederse desde:https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/herramientas_ayuda/index-ides-idphp.php

HERRAMIENTAS DE AYUDA PARA TRATAMIENTOS

DE RIESGO BAJO

HOJA DE RUTA PARA RESTO DE EMPRESAS

Para aquellas empresas a las que la HerramientaFACILITA no les resulta de utilidad, la AGPD haelaborado una hoja de ruta para la adaptación alRGPD que puede accederse desde:

https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/infografias/Adaptacion_RGPD_sector_privado.pdf

HERRAMIENTAS DE AYUDA PARA EL

CUMPLIMIENTO DEL RGPD

Eskerrik Asko

consultas@consulting-pro.org

900 100 240

Para más información no dude en ponerse en contacto con nosotros

Plan de Empleo Comarcal Rioja Alavesa

BILBAO

Alcalde Uhagón, 12- 2º

Tel. +34 94 410 21 44

info@bultz-lan.com

DONOSTIA

Urbieta, 64 -1º izda

Tel. +34 943 47 20 96

info@bultz-lan.com

VITORIA-GASTEIZ

Pedro Orbea, 8

Tel. +34 945 12 00 08

info@bultz-lan.com