El Reglamento Europeo de Protección de Datos
Webinar IMPLICACIONES DE LA PROPUESTA DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UNIÓN EUROPEA EN LAS ORGANIZACIONES
Esmeralda Saracibar
Quienes somos
Ecix Group es un grupo empresarial nacido del spin-off del área de Gobierno, Riesgos y Cumplimiento. de Écija. La compañía liderada por Álvaro Écija y Carlos Sáiz, cuenta con su ya consolidado equipo de profesionales y se posiciona en el mercado como una Firma líder en servicios y soluciones legales, de seguridad de la información y cumplimiento normativo, con una clara vocación internacional.
Quienes somos
• • •
Vocación internacional Dos oficinas: Madrid y Singapur +100 profesionales
Quienes somos
Socio fundador de prestigiosas iniciativas nacion internacionales de seguridad de la información y pr
Servicios
Haga clic para modificar el estilo de texto del patr Segundo nivel Tercer nivel Cuarto nivel Quinto nivel
ÍNDICE ANTECEDENTES APLICABILIDAD
El Reglamento Europeo de Protección de Datos
PROCEDIMIENTO DE APROBACIÓN PRINCIPALES NOVEDADES ANÁLISIS DEL IMPACTO EN ORGANIZACIONES
Análisis de su eventual impacto en las organizaciones
DIRECTIVA Fija objetivos y plazos vinculantes Norma nacional para transposición
REGLAMENTO Alcance general y eficacia directa Aplicación directa
Reglamento Europeo Directiva 95/46/CE
ANTECEDENTES
PROCEDIMIENTO PARA SU APROBACIÓN
XO R P A SEM I R T 4 1 0 2
P ROCE DI MI E NT O
L E GI S L A T I V O
O IG V D A R T N E 6 1 0 .2 X O R P A
APLICABILIDAD Derogación
? ¿
?
Derogación total o parcial Subsistirán cuestiones no reguladas
PRINCIPALES NOVEDADES C O N C E P T O S
C O N C E P T O S
DATA PRIVACY OFFICER
ACCOUNTABILITY
N O
P R E G U L A D O S
PRIVACY BY DESIGN
PRIVACY IMPACT ASSESSMENT
P
R E G U L A D O S
IMPACTO EN LAS ORGANIZACIONES
JURÍDICO TÉCNICO ORGANIZATIVO
CONSENTIMIENTO EX PL
ÍC IT O
DESEQUILIBRIO
Acciones: Revisión de los consentimientos
DATOS DE SALUD “datos relativos a la salud»: cualquier información que se refiera a la salud física o mental de una persona, o a la asistencia prestada por los servicios de salud a la persona”.
Tarjeta sanitaria
Facultativo
Interés público
Acciones: Revisión de la categorización de los datos. Posibles efectos en niveles de seguridad y auditorías bienales
PRINCIPIOS
TRANSPARENCIA
MINIMIZACIÓN
ACCOUNTABILITY
Acciones: Revisión del ciclo completo de vida de los datos. Desde recogida hasta supresión.
INTERÉS LEGÍTIMO
Informe 2012/0111
“habrá de acreditarse caso por caso y atendiendo a las circunstancias que concurran en el responsable, sin que sea posible establecer una regla general que determine con precisión cuándo un interés legítimo podrá ser considerado suficiente para legitimar el tratamiento de los datos”
Acciones: Valoración profunda y justificación
MENORES
La Comisión emitirá condiciones concretas para la obtención del consentimiento de menores Acciones: Consentimiento verificable
DERECHOS DE LOS INTERESADOS
Acceso
Rectificación
lvido y Supresión
Portabilidad Solicitudes manifiestamente excesivas
Corresponsable Coencargado s s
1 MES
Acciones: Revisión de los protocolos A.R.C.O.
INDEMNIZACIÓN Y RESPONSABILIDAD
Responsables
Encargados
Corresponsable Coencargado s s
RESPOSNABILIDAD SOLIDARIA
Acciones: Fortalecer los controles y cláusulas con los Encargados y Subencargados del tratamiento
DEBER DE INFORMACIÓN •
las cláusulas y condiciones generales del contrato cuando el tratamiento se base en A la ejecución de un contrato en el que el interesado es parte;
DE MÁ S LO DEL PD AR T.5
•
el interés legítimo perseguido, cuando proceda;
•
el plazo durante de conservación;
•
el derecho a presentar una reclamación ante la autoridad de control y los datos de contacto de la misma;
•
cuando proceda, la intención de efectuar una transferencia internacional de datos, y el nivel de protección del país destinatario con referencia a decisión de adecuación por parte dela Comisión;
•
cualquier otra información que resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado, habida cuenta de las circunstancias específicas en que se recojan los datos personales.
Acciones: Revisión de los consentimientos
IMPLEMENTACIÓN DE MEDIDAS
?
¿ P
Acciones: Documentación probatoria
ANÁLISIS DE RIESGOS Cuando exista probabilidad suficiente de destrucción, pérdida, acceso no autorizado o alteración de los datos
? ¿ Acciones: Evaluar los riesgos de los tratamientos de datos previstos
PRIVACY BY DESIGN
P
“tanto en el momento de la determinación de los medios de tratamiento como en el del tratamiento propiamente dicho”,
Acciones: implicación de todas las áreas implicadas en el proceso
ENCARGADO DEL TRATAMIENTO
Colaboración con el Responsable para garantizar la protección y el cumplimiento Puesta a disposición del Responsable y Autoridades la documentación probatoria
Acciones: adecuar los contratos de ET
DOCUMENTACIÓN
(i)
el nombre y los datos de contacto del delegado de protección de datos, si lo hubiera;
(ii)
las cesiones de datos;
(iii)
responsables del tratamiento a quienes se comuniquen datos personales por el interés legítimo que persiguen;
(iv)
garantías adecuadas para aquellas transferencias de datos que así lo requieran;
(v)
una indicación general de los plazos establecidos para la supresión de las diferentes categorías de
Acciones: Reorganización de la documentación relativa a la protección de datos: plazos de conservación, inventario datos cesiones, etc
NOTIFICACIÓN DE VIOLACIÓN DE DATOS
CONTENIDO DE LA COMUNICACI ÓN
VIOLACIÓN DE DATOS “toda violación de la seguridad que ocasione la destrucción accidental o ilícita, la pérdida, alteración, comunicación no autorizada o el acceso a datos personales transmitidos, conservados o tratados de otra forma”. P máx lazo im 24 h o de ora (I) la naturaleza de la violación (categorías, número de afectados, y s (II)
(III) (IV) (V)
categorías y número de registros de datos); comunicar la identidad y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; recomendar medidas para atenuar los efectos; describir las consecuencias; describir las medidas Propuestas o adoptadas para remediarlo.
Acciones: Capacidad de reacción
PRIVACY IMPACT ASSESSMENT Antes de efectuar operaciones de tratamiento arriesgadas ü
CU AN
Tratamientos sistemáticos con finalidades de análisis económico, localización, estado de salud, preferencias personales, fiabilidad o comportamiento;
ü
Tratamientos a gran escala sobre la vida sexual, la salud, la raza y el origen étnico o atención sanitaria, investigaciones epidemiológicas o estudios relativos a enfermedades mentales o infecciosas, cuando sean tratados para decisiones sobre personas concretas;
ü
Videovigilancia a gran escala;
ü
Tratamientos a gran escala relativos a niños;
ü
Tratamientos de datos genéticos o biométricos;
ü
Otras operaciones de tratamiento para las cuales sea necesaria la consulta de la autoridad.
DO
PRIVACY IMPACT ASSESSMENT Requisitos mínimos a incluir en el PIA NID E T CON S O ü descripción general de las operaciones de tratamiento previstas; ü
una evaluación de los riesgos para los derechos y libertades de los interesados;
ü
las medidas contempladas para hacer frente a los riesgos, y las garantías;
ü
medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales y a probar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
Acciones: Documentación, valoración del riesgo, medidas, etc
DELEGADO DE PROTECCIÓN DE DATOS ü
Q Organismo Público UIÉN
ü
Entidad >250 empleados
ü
v
v
Por motivo de la Actividad requiere seguimiento periódico o sistemático de los interesados
Personal propio o prestador de servicios Puede ser común para todo el grupo de empresas
MO Ó C ü ü ü
Mínimo 2 años Figura independiente Reporta a Dirección
DELEGADO DE PROTECCIÓN DE DATOS v
Informar y asesorar al responsable/encargado de sus obligaciones:
ü ü ü ü ü ü ü ü ü ü ü
ü
Documentar esta actividad y las respuestas recibidas;
v
Actuar como interlocutor con la AEPD;
v
Supervisar:
la implementación y aplicación de las políticas y del Reglamento; asignación de responsabilidades; la formación del personal; las auditorías correspondientes; privacy by design y la protección de datos por defecto; información de los interesados y las solicitudes ARCO; la documentación, notificación y comunicación de las violaciones de datos; la realización del PIA; la presentación de solicitudes de autorización o consulta previas; la respuesta a las solicitudes de la autoridad de control y prestar cooperación; la conservación de la documentación. Acciones: Reorganización jerárquica, organizativa y funcional. Definición de puesto
CERTIFICACIONES
CERTIFICAD O
Evaluación rápida del nivel de protección de datos A DE CTOS LE GA • Criterios y requisitos S DO • condiciones de concesión y revocación, reconocimiento en la Unión y en terceros países, •
normas técnicas para los mecanismos de certificación y los sellos y marcados de protección de datos,
•
mecanismos para promover y reconocer las certificaciones y sus signos distintivos. Acciones: Definición y puesta en marcha de un proyecto integral de cumplimiento de los requisitos exigidos para la obtención de la certificación.
RÉGIMEN SANCIONADOR
L EV E
Hasta 250.000€ o hasta el 0,5% volumen de negocios anual a nivel mund
GRAV E
Hasta 500.000€ o hasta el 1% volumen de negocios anual a nivel mundia
MUY GRAVE
Hasta 1.000.000€ o hasta el 2% volumen de negocios anual a nivel mun
RÉGIMEN SANCIONADOR EL IMPORTE SE FIJARÁ TENIENDO EN CUENTA
Naturaleza, gravedad y duración de la infracción, Intencionalidad o negligencia, Grado de responsabilidad y anteriores infracciones de dicha persona, Medidas de carácter técnico y organizativo y los procedimientos aplicados Grado de cooperación con la autoridad de control con el fin de reparar la infracción
Muchas gracias ¿Alguna pregunta?
[email protected] C/Quintanavides, 19. Edificio 4.Planta ·E. 28050 (+34) 91 001 67 67 www.ecixgroup.com
@esaracibar @Ecixgroup
