ribas INTERÉS LEGÍTIMO

30 años. 1987 - 2017 ribas. CONSENTIMIENTO. EIPD - PIA. DPD - DPO. INTERÉS LEGÍTIMO. VIOLACIONES DE DATOS. OTRAS MATERIAS. PUNTOS CLAVE. Prioridades a tener en cuenta. 1. 2. 3. 4. 5. 6 ...
3MB Größe 20 Downloads 71 vistas
Aproximación legal al RGPD Xavier Ribas

30 años ribas 1987 - 2017

PUNTOS CLAVE Prioridades a tener en cuenta 1

CONSENTIMIENTO

2

EIPD - PIA

3

DPD - DPO

4

INTERÉS LEGÍTIMO

5

VIOLACIONES DE DATOS

6

OTRAS MATERIAS 30 años ribas 1987 - 2017

20 M

20 M

Los resultados de este proyecto tendremos que reportarlos al Consejo de Administración debido a la cuantía del riesgo." 4%

Cliente del despacho, 2017 30 años ribas 1987 - 2017

CONSENTIMIENTO Antes y después del 25/05/2018

30 años ribas 1987 - 2017

Evolución del consentimiento El consentimiento antes y después del 25/05/2018

30 años ribas 1987 - 2017

Evolución del consentimiento El consentimiento antes y después del 25/05/2018

30 años ribas 1987 - 2017

EIPD - PIA Evaluación de impacto

30 años ribas 1987 - 2017

EIPD - PIA Evaluación de impacto

30 años ribas 1987 - 2017

30 años ribas 1987 - 2017

30 años ribas 1987 - 2017

Evaluación de impacto Fase final

30 años ribas 1987 - 2017

Tratamiento en la nueva LOPD Las evaluaciones de impacto en el anteproyecto de LOPD

Infracción grave (10M) Artículo 73.r El tratamiento de datos de carácter personal sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.

30 años ribas 1987 - 2017

DPO Delegado de protección de datos

30 años ribas 1987 - 2017

DPO - DPD Supuestos en los que es obligatoria su designación

1. Organismo público

15 supuestos.

Limitación a los tratamientos a gran escala.

Prácticamente cualquier empresa que tenga una página web.

1. Volumen de interesados

2. Observación a gran escala 3. Categorías especiales a gran escala

2. Volumen de datos

3. Ámbito geográfico

Tres únicos supuestos

15 supuestos

Tres únicos supuestos

30 años ribas 1987 - 2017

DPO - DPD Cualificación

Cualificación del DPD 1. Conocimientos especializados del Derecho 2. Práctica en materia de protección de datos 3. Capacidad para desempeñar las funciones asignadas en el RGPD 4. Certificación voluntaria

30 años ribas 1987 - 2017

DPO - DPD Cualificación

Certificación de la AEPD 1. Emitida por entidades de certificación como AENOR. 2. Previa superación de un examen 3. Cinco años de experiencia o 180 horas de formación (Escala de niveles de experiencia inferiores)

30 años ribas 1987 - 2017

DPO - DPD Responsabilidad

Responsabilidad del DPD 1. Obligación de denuncia interna al órgano de administración (Anteproyecto) 2. Posición similar a la del Compliance Officer 3. Diferencia: No puede ser despedido ni sancionado (RGPD y anteproyecto)

30 años ribas 1987 - 2017

INTERÉS LEGÍTIMO Protocolo de actuación

30 años ribas 1987 - 2017

INTERÉS LEGÍTIMO Supuestos

Datos de contacto 1. Personas físicas que presten servicios en una persona jurídica. 2. Datos imprescindibles para su localización profesional 3. Única finalidad de mantener relaciones de cualquier índole con la persona jurídica

30 años ribas 1987 - 2017

INTERÉS LEGÍTIMO Tratamientos declarados lícitos por ley

Datos de empresarios individuales 1. Tratamiento referido a su condición de empresarios. 2. Tratamiento no dirigido a entablar una relación con los mismos como personas físicas.

30 años ribas 1987 - 2017

INTERÉS LEGÍTIMO Tratamientos declarados lícitos por ley

Datos hechos manifiestamente públicos por el afectado 1. Fuentes de acceso público. 2. Redes sociales - No las menciona. 3. Deber de información - Dificultad para cumplirlo 4. Salvo en el caso de menores de edad y discapacitados con medidas de apoyo.

30 años ribas 1987 - 2017

INTERÉS LEGÍTIMO Tratamientos declarados lícitos por ley

Videovigilancia 1. Finalidad de preservar la seguridad de personas, bienes e instalaciones. 2. Imágenes de la vía pública: sólo en la medida en que resulte imprescindible. 3. Extensión superior en el caso de bienes o instalaciones estratégicas e infraestructuras de transporte.

4. Supresión de los datos en el plazo de un mes. 5. Salvo para acreditar la comisión de actos contra la integridad de personas, bienes o instalaciones. 6. No será de aplicación la obligación de bloqueo.

7. Deber de información mediante dispositivo informativo + hojas a disposición de los afectados. 8. Tratamiento para funciones de control de trabajadores según artículo 20.3 ET, previa información. 30 años ribas 1987 - 2017

INTERÉS LEGÍTIMO Tratamientos declarados lícitos por ley

Canales de denuncia 1. Posibilidad de presentar denuncias anónimas. 2. Información obligatoria de la existencia de estos canales. 3. Acceso limitado al personal de Compliance durante la fase de investigación.

4. Acceso limitado al personal de RRHH en el caso de medidas disciplinarias. 5. Medidas orientadas a preservar la confidencialidad de los datos. 6. Conservación de los datos durante el tiempo imprescindible para la investigación.

7. En tres meses: supresión o cambio de entorno para continuar la investigación. (Innecesario) 8. No será de aplicación la obligación de bloqueo. 30 años ribas 1987 - 2017

INTERÉS LEGÍTIMO Tratamientos declarados lícitos por ley

Operaciones mercantiles 1. Modificación de la estructura societaria.

2. Aportación o transmisión de negocio o rama de actividad. 3. Tratamientos necesarios para el buen fin de la operación. 4. Y para garantizar la continuidad en la prestación de los servicios.

30 años ribas 1987 - 2017

INTERÉS LEGÍTIMO Protocolo de actuación

30 años ribas 1987 - 2017

VIOLACIONES DE DATOS Protocolo de actuación

30 años ribas 1987 - 2017

CONFIRMACIÓN DE LA VIOLACIÓN Diferencia entre incidente y violación de la seguridad

Security breach

=

Data breach

30 años ribas 1987 - 2017

CONFIRMACIÓN DE LA VIOLACIÓN Diferencia entre incidente y violación de la seguridad

Incidente de seguridad

=

Violación de la seguridad de los datos personales

30 años ribas 1987 - 2017

Incidentes de seguridad Protocolo de actuación

30 años ribas 1987 - 2017

Evaluación de la violación de datos Protocolo de actuación

30 años ribas 1987 - 2017

TIPOS DE VIOLACIONES DE SEGURIDAD Comprobación del tipo de violación de seguridad que se ha producido VALORACIÓN DEL TIPO DE VIOLACIÓN DE LA SEGURIDAD VIOLACIÓN DE LA CONFIDENCIALIDAD

Comunicación o acceso no autorizados a los datos

VIOLACIÓN DE LA DISPONIBILIDAD

Pérdida de acceso o destrucción de los datos

VIOLACIÓN DE LA INTEGRIDAD

Alteración no autorizada de los datos

30 años ribas 1987 - 2017

NOTIFICACIÓN Cuándo hay que notificar la brecha de seguridad

30 años ribas 1987 - 2017

OTRAS MATERIAS Previstas para la nueva LOPD

30 años ribas 1987 - 2017

Prioridad 1: prevenir infracciones muy graves Infracciones más relevantes con sanciones de hasta 20 millones

Vulneración de los principios básicos

Omisión del deber de información

Tratamiento ilícito

Vulneración del deber de confidencialidad

Consentimiento inválido

Respuesta inadecuada al ejercicio de derechos

Finalidad distinta

Transferencia a un tercer país sin garantías

Tratamiento inadecuado de datos sensibles

Incumplimiento de la obligación de bloqueo

30 años ribas 1987 - 2017

Prioridad 2: prevenir infracciones graves Infracciones más relevantes con sanciones de hasta 10 millones

Tratamiento inadecuado datos de menores

No realización de la evaluación del impacto

Medidas técnicas y organizativas inadecuadas

No notificación de una violación de datos

Contratación de ET sin garantías suficientes

No designación de un DPO

Subcontratación de ET sin autorización

Apoyo insuficiente al DPO

Inexistencia de registro de tratamientos

Otras infracciones graves

30 años ribas 1987 - 2017

Prioridad 3: Accountability Responsabilidad proactiva y evidencias de cumplimiento

36

©️ Ribas y Asociados 2010 - 2017

30 años ribas 1987 - 2017

30 años ribas 1987 - 2017