FCOV011PO

1
OBJETIVOS

• ¿Qué novedades supone la nueva normativa?

• ¿Qué es eso de la protección de datos personales?
• ¿Por qué es importante?
• ¿Qué obligaciones genera? ¿Cómo podemos cumplirlas?
• ¿Quién tiene que cumplir las obligaciones?
• ¿Qué pasa si no cumplimos?
• Supuestos prácticos

3
OBJETIVOS

En mi trabajo
En mi vida privada

4
¿Qué es? ¿Por qué es importante?

Derecho Fundamental

a la Protección de Datos Personales

5
¿Qué es? ¿Por qué es importante?

Reconoce a cada persona:

• Facultad de controlar sus datos.
• Capacidad de disponer y decidir sobre ellos.

Redes Sociales, Big data, Internet de las Cosas, la “Nube”

Mayores riesgos - Másgarantías

6
Marco Normativo

• Directiva Europea 95/46/CE

25 mayo 2018
• LOPD= LeyOrgánica de Protección de
Datos(1999)
ReglamentoEuropeode
• Reglamento de Desarrollo de Protección de Datos: RGPD
LOPD (2007) = GDPR

7
Marco Normativo

REGLAMENTO EUROPEO DE PROTECCION DE DATOS

Aplicación directa a partir 25 de mayo de 2018 Publicaciones de las

En vigor el 25 de mayo 2016 Agencias de Protección
de Datos

RD-Ley de medidas urgentes de adaptación a la normativa

española (julio 2018)

(vigente hasta nueva Ley Orgánica: proyecto en tramitación)

8
¿Qué podemos hacer?

CULTURA DE
LA PRIVACIDAD

9
Dos modelos contrapuestos

10
11
12
13
¿Cómo nos afecta la nueva normativa?

¿Qué tenemos que hacer?

¿Nos vale con lo que ya hemos hecho?

14
Recordando CONCEPTOS IMPORTANTES

¿Qué es un dato personal?

En mi trabajo, ¿manejo datos personales?

¿Todos los datos son iguales?

15
Recordando CONCEPTOS IMPORTANTES

DATO PERSONAL

DNI Nº Cuenta
Nombre y apellidos
Alergia alimentaria

Matrícula coche
Toda informaciónsobre una
E-mail
persona física identificada o
Historia social
identificable.
Puesto de trabajo
Cursos realizados

Minusvalía Fotografía Video

16
Recordando CONCEPTOS IMPORTANTES

TRATAMIENTO DE DATOS
Cualquier operación o conjunto de operaciones realizadas sobre datos
personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no, como la recogida, registro, organización, estructuración,
conservación, adaptación o modificación, extracción, consulta, utilización,
comunicación por transmisión, difusión o cualquier otra forma de habilitación
de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Trato datos personales continuamente en mi trabajo diario. Cuando:

• Recojo datos de las personas usuarias de servicios.
• Gestiono datos de personal (nóminas, contratos, formación).
• Utilizo datos de personas de contacto (proveedores).
• Facilito datos de las personas socias de mi entidad a terceros. 16
¿Por qué es importante? ¿Qué pasa si no cumplimos?

¿Los datos que utilizo en mi trabajo son míos? ¿De quién sino?

¿Tengo que preocuparme por cumplir con la protección de datos? ¿O no es

asunto mío?

¿Y si paso de hacer caso de la normativa? ¿Me pueden poner una multa?

¿Puedo ir a la cárcel?

1
8
¿Qué figuras intervienen en protección de datos?

Delegado de
Responsable Encargado de Protección de
de Tratamiento Datos
Tratamiento

¿Responsable de
Personas que
Interesado Seguridad?
tratan datos
¿Otras?

1
Recordando CONCEPTOS IMPORTANTES

INTERESADO

Persona física identificada o identificable cuyos datos

personales se tratan.

Yo soy el interesado, respecto de mis datos personales:

- mi nombre y apellidos
- mi dirección
- mi número de cuenta bancaria
- mi DNI
- mi experiencia laboral
- mi diagnóstico médico
- Fotos y vídeos en los que aparezco
¿Quién tiene que cumplir?

RESPONSABLE DEL TRATAMIENTO

Persona física o jurídica, autoridad pública, servicio u

otro organismo que, solo o junto con otros, determine
los fines y medios del tratamiento.

Cada entidad (empresa, asociación, fundación, etc) es responsable de los

tratamientos de datos sobre los que decide.

• Un grupo de danzas es responsable de los datos de su voluntariado.

• Un centro educativo es responsable de los datos de su alumnado.
• Un gimnasio es responsable de los datos de las personas que asisten.
• Una entidad o empresa es responsable de los datos de su personal.
¿Quién tiene que cumplir?

ENCARGADO DEL TRATAMIENTO

Persona física o jurídica, autoridad pública, servicio u

otro organismo que, trate datos personales por cuenta
del responsable del tratamiento.

Es un prestador de servicios – Necesidad de CONTRATO

• La gestoría externa que nos realiza las nóminas.

• La empresa informática que nos desarrolla una base de datos.
• La empresa que contratamos para hacer una auditoría de calidad.
• La empresa que imparte clases de inglés al alumnado.

2
¿Responsable o encargado?

Cuando en mi entidad tratamos datos…

¿somos Responsable del Tratamiento?

¿o Encargado del Tratamiento?

2
¿Responsable o encargado?

Cuando en mi entidad tratamos datos…

➢ somos Responsable si decidimos fines y medios del tratamiento.

Posibilidad de Corresponsables

➢ somos Encargado si tratamos datos por cuenta del responsable:

respetando sus instrucciones, les prestamos un servicio

2
5
Relación Responsable - Encargado

Entre responsable y encargado

CONTRATO BILATERAL: Encargo de Tratamiento

O “acto jurídico unilateral” del responsable, vinculante para encargado

Con contenido obligatorio

Constancia escrita – válido formato electrónico

2
6
Relación Responsable - Encargado

CONTENIDO MÍNIMO DEL CONTRATO

✓ Objeto • Seguir instrucciones del Responsable.
✓ Duración • No utilizar los datos con fin distinto al
que figure en contrato.
✓ Naturaleza y finalidad del tratamiento
• No comunicar los datos a terceros, ni
✓ Tipo de datos personales siquiera para su conservación.
✓ Categoría de interesados • Implantar las medidas de seguridad.
• Finalizada la prestación, devolver o
✓ Obligaciones y derechos del responsable
destruir los datos.
✓ Obligaciones y derechos del encargado
Relación Responsable - Encargado

OBLIGACIONES DEL ENCARGADO (1):

• Seguir instrucciones del responsable: tratamiento y comunicaciones.

• Personas con acceso a datos: formación y compromisos de confidencialidad

• Medidas de seguridad: En función de la evaluación de riesgos

• Subcontratación. Se permiten subencargados, con autorización.

• Destino de los datos, al finalizar la prestación: supresión o devolución

2
Relación Responsable - Encargado

OBLIGACIONES DEL ENCARGADO (2):

• Colaboración en cumplir con las obligaciones del responsable: Información,

Consentimiento, Notificación de violaciones de seguridad, Derechos de
interesados, Evaluaciones de Impacto de Privacidad

• Colaboración para demostrar el cumplimiento: en auditorías, inspecciones

2
Relación Responsable - Encargado

[Link]
[Link]

3
Relación Responsable - Encargado

Elección de encargado:
¿Encargado garantiza el cumplimiento de protección de datos?

➢ RESPONSABLE: Obligación de diligencia en elección y supervisión.

➢ ENCARGADO: Ofrecer garantías de las medidas técnicas y organizativas

➢ Códigos de conducta
➢ Certificados de protección de datos
➢ Auditorías
3
1
Conceptos importantes

DELEGADO/A DE PROTECCIÓN DE DATOS (DPD = DPO)

✓ Necesario en la mayoría de los tratamientos:

Administraciones Públicas / “gran escala” / “alto riesgo”

✓ Funciones concretas: Supervisar. Asesorar. Cooperar con Agencias Protección Datos.

✓ Perfil profesional y posición definidos

✓ Publicar sus datos de contacto

3
Conceptos importantes
DELEGADO/A DE PROTECCIÓN DE DATOS (DPD = DPO) 1 de 2
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales,
señala, en su artículo 34, que los responsables y encargados del tratamiento deberán designar, en todo caso, un delegado
de protección de datos cuando se trate de las siguientes entidades:
a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación
reguladora del derecho a la educación, así como las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en
su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles¿de los
usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia
de entidades de crédito.
f) Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

3
Conceptos importantes
DELEGADO/A DE PROTECCIÓN DE DATOS (DPD = DPO ) 2 de 2
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas
natural.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de
los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros
regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de
investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los
afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las
historias clínicas de los pacientes, ejerzan su actividad a título individual.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a
personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos,
telemáticos e interactivos, conforme a la normativa de regulación del juego.
o) Las empresas de seguridad privada.
p) Las federaciones deportivas cuando traten datos de menores de edad.

3
OBLIGACIONES: cambio de paradigma

CAMBIO DE ESQUEMA MENTAL

Cumplir +
Cumplir
Demostrar

3
OBLIGACIONES: cambio de paradigma

RESPONSABILIDAD PROACTIVA
CUMPLIMIENTO PASIVO
➢ Registro interno de tratamientos
➢ Declarar ficheros
➢ Evaluaciones de Impacto de Privacidad
➢ Cláusulas LOPD
➢ Privacidad desde el diseño y por defecto
➢ Documento de Seguridad
➢ Delegado/a de Protección de Datos
➢ Auditorías
➢ Análisis y gestión de riesgos
➢ Medidas de seguridad
➢ Códigos de conducta. Certificaciones

3
Entonces, ¿qué hay que hacer?

OBLIGACIONES
▪ Información
▪ Legitimación para tratar los datos: Consentimiento
▪ Garantizar el ejercicio de los derechos del interesado
▪ Deber de confidencialidad
▪ Contrato entre responsable y encargado
▪ Nuevas medidas de responsabilidad proactiva

3
¿Cómo cumplimos con la obligación de informar?
Información

¿Cómo informamos a las personas usuarias de que utilizamos sus datos?

¿Quién tiene que informar? ¿El responsable o el encargado?

¿De qué tenemos que informarles? ¿Cómo redacto la clausulita? ¿Nos vale con una

estándar?

¿Cuándo hay que informar? ¿En qué casos no hace falta que informemos?

3
¿Cómo cumplimos con la obligación de informar?
Información
DEBER DE INFORMACION

¿Cómo informar?
Información concisa, transparente, inteligible y de fácil acceso.

Lenguaje claro y sencillo.

Diferentes medios, según el tratamiento

INFORMACIÓN POR CAPAS O NIVELES:

1) Básica y resumida.
2) Más detallada.

3
¿Cómo cumplimos con la obligación de informar?
Información
DEBER DE INFORMACION

¿De qué informar?

✓ Datos de Responsable y de Delegado de Protección de Datos
✓ Existencia de tratamiento y su finalidad
✓ Legitimación para el tratamiento
✓ Plazo de conservación de los datos, o los criterios para determinarlo
✓ Existencia de decisiones automatizadas o elaboración de perfiles
✓ Cesiones y transferencias internacionales: Destinatarios y fin
✓ Cómo ejercer derechos.

4
¿Cómo cumplimos con la obligación de informar?
Información
DEBER DE INFORMACION
¿Cuándo hay que informar?
Cuando se solicitan los datos.
Si no se obtienen del titular:
• Antes de un mes
• La primera vez que contactamos

¿Quién debe informar?

El responsable El encargado

4
¿Cómo cumplimos con la obligación de informar?
Información

[Link]

4
Entonces, ¿qué hay que hacer?

OBLIGACIONES
▪ Información
▪ Legitimación para tratar los datos: Consentimiento
▪ Garantizar el ejercicio de los derechos del interesado
▪ Deber de confidencialidad
▪ Contrato entre responsable y encargado
▪ Nuevas medidas de responsabilidad proactiva

4
¿Y qué pasa con el consentimiento?
Consentimiento
Además de informar, ¿tengo que pedir el consentimiento para gestionar datos?

¿Y si la persona se niega?

Una vez que tengo los datos, ¿puedo utilizarlos para lo que quiera?

¿Puedo pasárselos a otras entidades con las que colaboramos?

¿Y si son los datos de un menor de edad? ¿Le pregunto a sus padres?

¿Puedo hacer fotos de mis actividades y colgarlas en la página web?

4
Consentimiento y otras legitimaciones
Consentimiento

Además de informar …

¿Puedo tratar los datos?

Identificar claramente:

❑ En base a qué podemos utilizar los datos (legitimación)

❑ Para qué los necesitamos (finalidad)

4
Consentimiento y otras legitimaciones
Consentimiento

LEGITIMACIÓN PARA EL TRATAMIENTO por el Responsable

➢ Consentimiento informado

➢ Relación contractual

➢ Intereses vitales del interesado o de otras personas

➢ Obligación legal para el responsable

➢ Interés público o ejercicio de poderes públicos

➢ Intereses legítimos prevalentes del responsable o de cesionarios

4
Consentimiento y otras legitimaciones
Consentimiento
INEQUIVOCO
▪ NO se permite tácito, ni casillas premarcadas
▪ Una declaración o una clara acción afirmativa

Para finalidades diferentes, consentimientos diferentes:

✓ Imágenes
✓ Cesiones (publicaciones, redes sociales, …)

[Link]
[Link]

4
Consentimiento de menores de edad
Consentimiento

¿A qué EDAD pueden decidir sobre sus datos?

➢ Regla general: 16 años

➢ Posible que Estados otra, no menos de 13.

o (Proyecto LOPD: 14)

Entretanto:
AEPD: Se sigue aplicando norma previa (LOPD): 14 años
AVPD: Se aplica RGPD: 16 años
Consentimiento de menores de edad
Consentimiento

¿Quién decide sobre sus datos?

➢ Si menores de la edad establecida: sus progenitores o tutores

➢ Si mayores de la edad establecida: capacidad para consentir directamente,

Salvo que ley exija asistencia de progenitores o tutores.

4
5
Entonces, ¿qué hay que hacer?

OBLIGACIONES
▪ Información
▪ Legitimación para tratar los datos: Consentimiento
▪ Garantizar el ejercicio de los derechos del interesado
▪ Deber de confidencialidad
▪ Contrato entre responsable y encargado
▪ Nuevas medidas de responsabilidad proactiva

5
Derechos del interesado

Garantizar derechos del interesado

✓ De información
✓ Acceso
LOPD:
Acceso ✓ Rectificación
Rectificación ✓ Supresión (Al Olvido)
Cancelación
✓ Oposición
Oposición
✓ Limitación al tratamiento (nuevo)
✓ Portabilidad de los datos (nuevo)
52
Derechos del interesado

53
Entonces, ¿qué hay que hacer?

OBLIGACIONES
▪ Información
▪ Legitimación para tratar los datos: Consentimiento
▪ Garantizar el ejercicio de los derechos del interesado
▪ Deber de confidencialidad
▪ Contrato entre responsable y encargado
▪ Nuevas medidas de responsabilidad proactiva

5
Derechos de secreto
Deber de confidencialidad

DEBER DE CONFIDENCIALIDAD

¿QUIÉN? Responsables
Encargados
Todas las personas que tratan datos

¿CUÁNDO? Indefinidamente

55
Entonces, ¿qué hay que hacer?

OBLIGACIONES
▪ Información
▪ Legitimación para tratar los datos: Consentimiento
▪ Garantizar el ejercicio de los derechos del interesado
▪ Deber de confidencialidad
▪ Contrato entre responsable y encargado
▪ Nuevas medidas de responsabilidad proactiva

5
Entonces, ¿qué hay que hacer?

OBLIGACIONES

HERRAMIENTA FACILITA RGPD ([Link]):

- Registro Actividades de Tratamiento
- Cláusulas informativas
- Modelo de contrato
- Medidas de Seguridad

57
Novedades Reglamento Europeo
MEDIDAS DE RESPONSABILIDAD ACTIVA

❑ Delegado/a de protección de datos

❑ Registro de actividades de tratamientos
❑ Análisis de riesgos
❑ Protección de datos desde el diseño y por defecto
❑ Evaluaciones de impacto de protección de datos
❑ Notificación de violaciones de seguridad
❑ Códigos de conducta y certificaciones

53
Novedades Reglamento Europeo
DELEGADO/A DE PROTECCIÓN DE DATOS (DPD = DPO)
¿QUÉ ES? Nueva figura para garantizar el cumplimiento de la protección de datos.
No es Responsable de Seguridad (LOPD)

¿OBLIGATORIO? En muchos casos, sí.

¿SE PUEDE NOMBRAR AUNQUE NO HAYA OBLIGACIÓN? SI.

Si se nombra, respetar sus funciones y sus requisitos de cualificación y posición.

Si hay dudas – Se recomienda analizar y documentar la decisión.

59
Novedades Reglamento Europeo
DELEGADO/A DE PROTECCIÓN DE DATOS (DPD = DPO)
¿CUÁNDO?
✓ Autoridades u Organismos Públicos. - ¿Y si Encargados de la Administración?
✓ Tratamientos “a gran escala”: nº interesados, volumen datos, territorio, duración…
✓ “Seguimiento regular y sistemático del interesado” (ej: fidelización de clientes,
historia social…)

✓ Categorías especiales de datos y datos de condenas y delitos.

60
Novedades Reglamento Europeo
DELEGADO/A DE PROTECCIÓN DE DATOS (DPD = DPO)
¿CUÁNDO? PROYECTO LEY ORGÁNICA DE PROTECCIÓN DE DATOS (NO VIGENTE):

A título enunciativo, no limitativo:

✓ Centros educativos y Universidades
✓ Prestadores de servicios de comunicaciones
✓ Establecimientos de crédito
✓ Aseguradoras
✓ Empresas de energía y gas natural
✓ Actividades publicidad y de investigación
✓ Centros sanitarios, etc.

61
Novedades Reglamento Europeo
DELEGADO/A DE PROTECCIÓN DE DATOS (DPD = DPO)
FUNCIONES: “Controlar cumplimiento interno de protección de datos”
➢ Informar y asesorar de las obligaciones.
➢ Supervisar el cumplimiento legal. En concreto:
• la asignación de responsabilidades internas
• la concienciación y formación del personal
• las auditorías correspondientes
➢ En evaluaciones de impacto: asesorar y supervisar su aplicación.
➢ Con las Agencias de Protección de Datos: cooperar y actuar como contacto.

62
Novedades Reglamento Europeo
DELEGADO/A DE PROTECCIÓN DE DATOS (DPD = DPO)
REQUISITOS: CUALIFICACIÓN Y POSICIÓN
✓ Conocimientos especializados del derecho y de la práctica de la protección de datos.
✓ Independiente funcional y jerárquicamente en el organigrama de la empresa.
No puede recibir instrucciones sobre sus funciones, ni ser destituido ni sancionado por el
desempeño de su trabajo.

✓ Reporta al más alto nivel jerárquico.

✓ Sus datos de contacto serán publicados y notificados a la Agencia.
✓ Interno o un servicio externo.
✓ No debe existir conflicto de intereses.

58
Novedades Reglamento Europeo
REGISTRO DE ACTIVIDADES DE TRATAMIENTO
¿QUÉ ES? Documentar los diferentes tratamientos de datos.

CONTENIDO: Por cada tratamiento:

• Identificación y datos de contacto del Responsable y del DPD
• Fines
• Categorías de interesados
• Tipos de datos
• Destinatarios existentes o previsto (incluidas transferencias internacionales)
• Base de legitimación del tratamiento
• Si es posible, las medidas de seguridad y los plazos de conservación 59
Novedades Reglamento Europeo
REGISTRO DE ACTIVIDADES DE TRATAMIENTO

¿QUIÉN? Responsable Encargado

¿CUÁNDO? En organizaciones en alguno de los siguientes supuestos:

✓ Más de 250 personas trabajadoras.
✓ Tratamientos de datos con riesgos para los interesados y no sea ocasional.
✓ Datos de categorías especiales o relativos a condenas e infracciones penales.

¿DÓNDE? A disposición de las Agencias de Protección de Datos, si lo solicitan.

60
Novedades Reglamento Europeo
ANÁLISIS DE RIESGOS
VALORACIÓN DE RIESGOS MEDIDAS DE SEGURIDAD
DE TODOS LOS TRATAMIENTOS
TENIENDO EN CUENTA:
✓ el estado de la técnica
✓ el coste de la aplicación de las medidas
✓ la naturaleza, ámbito, contexto y fines del tratamiento
✓ los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los
derechos y libertades de las personas físicas.

61
 Novedades Reglamento Europeo
ANÁLISIS DE RIESGOS

[Link]
[Link]

67
Novedades Reglamento Europeo
MEDIDAS DE SEGURIDAD
✓ Contraseñas no compartidas y seguras
✓ Perfiles de acceso diferenciados
✓ Copias de seguridad
✓ Recoger lo imprimido y eliminar lo escaneado
✓ Protector de pantalla
✓ ¿Almacenamiento en pendrives? ¿Fotos en móviles o cámaras?
✓ Utilizar CCO, al enviar emails, cuando sea necesario
✓ Datos en papel: destructoras, archivo, no sobre la mesa, impresora…

68
Novedades Reglamento Europeo
PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO

¿QUÉ ES? Pensar en la protección de datos desde el diseño de un tratamiento.

¿QUÉ SUPONE?
➢ Medidas técnicas y organizativas adecuadas para aplicar los principios de
protección de datos en los tratamientos.

➢ Medidas que garanticen que sólo se tratan los datos necesarios:

cantidad, periodo de conservación, personas con acceso

69
Novedades Reglamento Europeo
PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO

¿QUIÉN? Responsable
Trasladable al Encargado

¿CUÁNDO? Antes de iniciar el tratamiento. En el propio tratamiento.

70
Novedades Reglamento Europeo
EVALUACIONES DE IMPACTO DE PROTECCIÓN DE DATOS

¿CUÁNDO? Antes de puesta en marcha del tratamiento.

¿QUIÉN? Responsables. Trasladable a Encargados.

¿EN QUÉ CASOS? Cuando tratamiento entrañe un “alto riesgo para los derechos
y libertades de las personas físicas, en particular si utiliza nuevas tecnologías, por
su naturaleza, alcance, contexto o fines.”

Supuestos concretos:
- Perfiles como base para tomar decisiones.
- Datos especialmente protegidos o de condenas /infracciones, a gran escala.
- Otros que puedan establecer las Agencias.

66
Novedades Reglamento Europeo
EVALUACIONES DE IMPACTO

¿CONTENIDO?
➢ Operaciones de tratamiento previstas y de los fines del tratamiento.
➢ Evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con
respecto a su finalidad.
➢ Evaluación de los riesgos para los derechos y libertades de los interesados.
➢ Medidas previstas
➢ Asesoramiento del Delegado de Protección de Datos.
➢ Cuando proceda, opinión de los interesados o sus representantes.

72
Novedades Reglamento Europeo
EVALUACIONES DE IMPACTO
Si concluye que el tratamiento entraña alto riesgo,
que no se puede minimizar con las medidas adecuadas (tecnología + coste):

↓
CONSULTAR a AGENCIA de PROTECCIÓN DE DATOS antes de iniciarlo.

73
Novedades Reglamento Europeo
EVALUACIONES DE IMPACTO

[Link]
content/uploads/2018/02/Gu%C3%ADa-Evaluaci%C3%B3n-de-
impacto-protecci%C3%[Link]

74
Novedades Reglamento Europeo
NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD
¿QUIÉN? El Responsable. Trasladable al Encargado

¿A QUIÉN? A la Agencia de Protección de Datos

¿CUÁNDO? Si se produce una brecha de seguridad

EXCEPCIÓN: Improbable que la incidencia suponga riesgo para derechos y

libertades de las personas físicas.

¿EN CUÁNTO TIEMPO? Sin demora.

Como máximo, en 72 horas 70
Novedades Reglamento Europeo
NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD

¿QUIÉN? El Responsable. Trasladable al Encargado.

¿A QUIÉN? A los interesados

¿CUÁNDO? Si brecha de seguridad supone un alto riesgo para derechos y

libertades de las personas físicas.

EXCEPCIÓN: medidas que minimicen el riesgo o suponga esfuerzo

desproporcionado

¿EN CUÁNTO TIEMPO? En el menor tiempo posible. 71

Novedades Reglamento Europeo
NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD

¿QUIÉN? El Encargado

¿A QUIÉN? Al Responsable

¿CUÁNDO? Se produce brecha de seguridad. En todo caso, sin excepción.

¿EN CUÁNTO TIEMPO? Sin demora. (posible pactar tiempo y forma)

72
Novedades Reglamento Europeo
CÓDIGOS DE CONDUCTA Y CERTIFICACIONES

¿PARA QUÉ? Demostrar el cumplimiento de protección de datos y medidas de seguridad.

¿QUIÉN? Responsables
Encargados

¿OBLIGATORIO? NO
Salvo para Encargado, si acepta por contrato.

73
¿Qué pasa si no cumplimos?: Con LOPD.
Nivel Descripción de la infracción Sanción

1. No remitir a AEPD las notificaciones previstas en LOPD.

2. No solicitar inscripción de fichero en el RGPD
900 € –
LEVE 3. No informar, si datos proceden del interesado. 40.000 €
4. No tener contrato con encargado de tratamiento.

1. Ficheros públicos, sin publicación en Boletín Oficial.

2. Recoger datos sin consentimiento expreso de los interesados, si es necesario.
3. Tratar datos personales incumpliendo el principio de calidad.
4. Vulnerar el deber de secreto. 40.001 € –
5. Impedir ejercicio de derechos de acceso, rectificación, cancelación y oposición. 300.000 €
GRAVE 6. No informar, cuando datos no se recogen del interesado.
7. Otros deberes de notificación o requerimiento al interesado.
8. No cumplir las debidas medidas de seguridad.
9. No atender requerimientos o apercibimientos o peticiones de AEPD.
10. Obstruir la función inspectora.
11. Cesión de datos sin legitimación (puede llegar a ser muy grave)

1. Recoger datos de forma engañosa o fraudulenta.

2. Tratar datos de nivel alto sin las garantías añadidas sobre el consentimiento.
MUY 3. No cesar en tratamiento ilícito, tras requerimiento previo de AEPD. 300.001€ –
GRAVE 4. Transferencias internacionales de datos incumpliendo la normativa. 600.000 €

79
¿Qué pasa si no cumplimos?
RÉGIMEN SANCIONADOR
Se flexibiliza

Criterios de modulación para las multas:

✓ Intencionalidad
✓ Negligencia
✓ Medidas implementadas para paliar los posibles daños
✓ Cooperación
✓ Tipología de datos afectados

80
¿Qué pasa si no cumplimos?
RÉGIMEN SANCIONADOR

No límite inferior para las sanciones.

Límites máximos: obligatorio la de mayor cuantía:

✓ 10 Millones € o 2% del volumen de negocio.
✓ 20 Millones € o 4% del volumen de negocio.

81
¿Qué pasa con el pequeño comercio?

Ejemplo:
• Dentista.
• Pequeña tienda de la esquina.
• La academia de mi hijo.

[Link]

82
Autoridades de protección de datos

AGENCIAESPAÑOLADE PROTECCIÓN DE DATOS

[Link] / Menores: [Link]

AGENCIAVASCADE PROTECCIÓN DE DATOS

• Desde 2004
[Link] / Menores: [Link]

OTRASAGENCIASAUTONÓMICAS
• Agencia Catalana: año 2002 ([Link])
• Agencia de la Comunidad de Madrid: 2001 - 2012

83