TEMA 1 La Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales “LOPDGDD” entra en vigor un día tan señalado como el 6 de diciembre de 2018, conmemoración de los 40 años del referéndum de la Constitución de 1978. ¿Por qué esta Ley? El objeto de la Ley es adaptar nuestra legislación al Reglamento europeo 2016/679 de Protección de Datos “RGPD” y regular el derecho fundamental a la protección de datos. ¿Qué es el RGPD? Los Reglamentos europeos tienen alcance general, son obligatorios en todos sus elementos y directamente aplicables en cada Estado miembro. Sin embargo, los estados miembros si pueden legislar un Reglamento y aprobar leyes que ayuden a entender, gestionar e implantar dicho Reglamento, en éste caso el RGPD, por ese motivo, en España se aprobó la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Por tanto la nueva Ley Orgánica no es una ley que regule en su totalidad el RGPD, sino que adapta en lo necesario el derecho español al Reglamento. Por tanto, y que sirva de aclaración, los estados miembros no van a adoptar medidas que sean contrarias al RGPD, sería absurdo que un estado miembro apruebe una nueva normativa de protección de datos. 1. Antecedentes El derecho a la protección de datos personales deriva directamente del derecho fundamental a la intimidad, la Constitución Española ya advertía sobre el uso de los datos personales de las personas en elación a su intimidad y honor recogido en el artículo 18 de la Constitución Española y reconocido por el Tribunal Constitucional: Artículo 18.1: Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. Artículo 18.4: La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. El marco legislativo europeo también reconoce el derecho a la protección de datos, obligando a todos los Estados miembros de la UE a garantizarlo, concretamente dice (artículo 8 de la Carta de los Derechos Fundamentales de la UE): Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. Por tanto se trata de un derecho que tiene toda persona, sin importar la nacionalidad o residencia, a la protección de los datos de carácter personal que la conciernan. Objetivo de la LOPDGDD: a) Adaptar los preceptos generales del RGPD a nuestro ámbito nacional. b) Regular actividades y sectores que pueden requerir un marco específico, ya sea por la actividad del tratamiento o por los riesgos asociados al tratamiento. c) Integrar en nuestra legislación un marco de integración en relación a los derechos digitales, con fundamento en el mandato de desarrollo legal de garantías respecto del uso de la informática del artículo 18.4 de la Constitución Española. Por tanto, la LOPDGDD debe ser interpretada por parte delos Responsables de protección de datos dentro del marco del RGPD. 2. Aplicación de las normas y textos oficiales El RGPD, entró en vigor el 25 de mayo de 2016, a pesar de que su aplicación plena comenzó el 25 de mayo de 2018. Por su parte, el 7 de diciembre de 2018 entró en vigor la normativa que transpone al derecho español dicho reglamento y que amplía algunas de las lagunas o preceptos indeterminados, en concreto la denominada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, también denominada LOPDGDD. Veamos cuales han sido las normativas precedentes hasta llegar a las mencionadas: Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal (LORTAD), desarrolla lo recogido en el artículo 18 de la Constitución Española de 1978 y establece, por primera vez, la limitación del uso de la informática para garantizar a intimidad personal. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Directiva 95/46/CE del Parlamento Europeo y Consejo de 24 de octubre de 1995 relativa a las Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la libre circulación de estos datos. Ley Orgánica 15/1999, de 5 de diciembre, de Protección de Datos de Carácter Personal, a fin de trasponer a nuestro Derecho a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Esta ley orgánica supuso un segundo hito en la evolución de la regulación del derecho fundamental a la protección de datos en España y se complementó con una cada vez más abundante jurisprudencia procedente de los órganos de la jurisdicción contencioso-administrativa Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos Personales. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y garantía de los derechos digitales, a fin de adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679. 3. Fundamentos de la LOPDGDD Ya sabemos la razón de la LOPDGDD, así que vamos a recordar que es un dato de carácter personal. Un dato personal es “toda información (numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo) sobre una persona física identificada o identificable”. Por tanto, un dato personal, permite identificar a una persona, así como revelar información sobre la misma. La persona/titular de los datos, es lo que conoceremos partir de ahora como “el interesado”. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ¿Cuándo una persona es identificable?, cuando podamos determinar la identidad directa o indirectamente a través de elementos que ayuden a identificarla de manera única e inequívoca, por tanto tenemos que distinguir entre: Persona identificada: toda persona cuya identidad está determinada (nombre, apellidos, DNI, número de pasaporte). Persona identificable: toda persona cuya identidad pueda determinarse, ya sea directamente o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados. Ejemplo, si obtenemos imágenes a través de una cámara de videovigilancia, las imágenes recogidas, pertenecen a personas, que podemos identificar o no. Si las imágenes se captan con una resolución y calidad que nos permitan identificar a una persona, ésta sería una persona identificable, y estaría dentro del ámbito de la ley. Si las imágenes que se captan no tiene la calidad suficiente para permitir identificar a una personas, estaremos en el caso contrario, ésta persona no sería identificable. Un dato personal puede ser un identificador, un dato de localización o un nombre, siempre y cuando sean capaces de identificar a la persona (por ejemplo una dirección IP, una matrícula). ¿Los datos genéticos y biométricos se consideran dato personal? Si, ambos permiten identificar a una persona. Un Dato Genético, es aquel relativo a características genéticas heredadas o adquiridas de una persona, que proporcionan información única e inequívoca sobre la fisiología o la salud de la persona. Un Dato Biométrico, es aquel obtenido a partir de un tratamiento técnico y específico, relativo a las características físicas, fisiológicas o conductuales de una persona, de manera que permitan identificarla de manera única, como imágenes faciales o datos dactiloscópicos (huella). Actualmente para cualquier actividad, nos solicitan información personal Cuando damos nuestros datos para la factura de una compra, Cuando compramos un teléfono móvil, Cuando nos alojamos en un hotel, Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Cuando reservamos un viaje, Cuando inscribimos a nuestros hijos en el colegio, Cuando solicitamos atención sanitaria, Cuando abrimos una cuenta en el banco, Cuando nos damos de alta en servicios de Internet, Cuando rellenamos la papeleta para un concurso, Cuando nos dan de alta en el gimnasio, Cuando rellenamos una ficha para recibir una tarjeta que nos vincula al comercio y acumulamos puntos … Debemos ser conscientes de que toda esta información revela aspectos de nuestra personalidad, se trata de información importante que dice mucho sobre nosotros, sobre nuestra personalidad y puede ser utilizada para elaborar perfiles, por tanto: 1. Nosotros decidimos quién puede tratar nuestros datos personales. 2. Nosotros decidimos para con qué finalidad pueden utilizar nuestros datos. 3. Nosotros decidimos qué datos personales pueden tratar. 4. Nosotros decidimos si se pueden ceder a terceros nuestros datos personales. Nosotros somos los que decidimos si queremos recibir información comercial, quien recoge los datos debe proporcionarnos, siempre, un medio accesible y fácil para negarnos Y como Responsable del tratamiento, ¿cuándo sé que estoy recogiendo datos personales? El tratamiento de datos de carácter personal es cualquier operación y procedimiento automatizado o no automatizado (papel), que en algún momento realice un tratamiento de datos basado en: recogida, tratamiento, almacenamiento, acceso, modificación, bloqueo, cancelación, eliminación, así como las cesiones y comunicaciones de datos que resulten a otras entidades, necesarias para el cumplimiento de nuestros servicios y/o actividad. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales La recogida más habitual de datos son a través de: Soportes NO automatizados Internet, web, redes sociales, blogs, app Soportes automatizados ¿Qué pasa con el tratamiento de datos en el ámbito personal? Las personas individuales en el ámbito personal y/o doméstico se encuentran fuera del ámbito de cumplimiento del Reglamento, sin embargo debemos garantizar el derecho a la intimidad y confidencialidad de los datos personales de otras personas individuales, sobre todo desde la aparición de las redes sociales. Ejemplo, ¿quién no ha estado en una celebración, en una comida/cena, con amigos donde había amigos de otros amigos a los que no conoces?, y ese desconocido ha sacado un smartphone con el que ha hecho una foto en grupo, que en unos segundos a subido a varias redes sociales y nuestra imagen sin entrar a valorar si es buena o mala o en qué actitud y aptitud nos encontrábamos, está disponible para cualquiera que “navegue” por Internet. Habitualmente cuando estamos con gente conocida y/o familia, aceptamos que se hagan fotos y seguramente sabemos que se subirán a las redes sociales, pero ojo, que sea algo aceptado no quiere decir que se pueda hacer. Ya existe sentencia del Tribunal donde se obliga al progenitor a quitar las fotos de la red social de su hijo, por petición del mismo, incluso con multa económica si no lo hace. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales 4. DE LA LOPD 15/99 A LA LOPDGDD 3/2018 La LOPDGDD, consta de noventa y siete (97) artículos, estructurados en diez (10) títulos, de los cuales destacamos los siguientes: Título I, disposiciones generales Destacamos la regulación de los datos referidos a las personas fallecidas, se permite que personas vinculadas al fallecido, ya sean herederos o familiares, puedan solicitar el acceso, rectificación o supresión de los datos, con la excepción de que no hubiese instrucciones contrarias del fallecido. Título II, principios Destacamos la regulación sobre el consentimiento del interesado para el tratamiento de los datos, desaparece la forma de recogida de los datos de forma tácita y debe ser una declaración afirmativa del afectado, además, si hay varias finalidades, deben presentarse de manera separada y solicitar individualmente el consentimiento para cada una de ellas. Se mantienen los catorce (14) años la edad a partir de la cual el menor puede prestar su consentimiento. Si es menor necesita el consentimiento del titular de la patria potestad o tutela. Respecto a los menores, a lo largo de la normativa y no solo en el capítulo presente, se presta especial atención, amén de la seguridad digital, recogiendo el derecho a la educación digital, lo que implicará una revolución en la formación del profesorado y planes de estudio. Asimismo se contempla la regulación por primera vez la responsabilidad de padres, madres y centros escolares en el tratamiento de información de menores en internet, estableciendo el deber de la Administración de diseñar políticas públicas de concienciación digital. Título III, derechos Se reafirma la obligación de información por capas y los nuevos derechos del interesado. Título IV, tratamientos concretos Destacamos la regulación en el tratamiento de datos de empresarios, amparando su tratamiento siempre que sea necesario para mantener la relación y para su localización profesional. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Por primera vez se hace referencia al canal de denuncias internas “compliance”, otras referencias destacables son, el tratamiento de datos para crear sistemas de exclusión publicitaria y el Tratamiento con fines de archivo en interés público por parte de las Administraciones Públicas. Título V, Responsable y Encargado del tratamiento Se refuerza el marco de obligaciones del responsable y del encargado del tratamiento. Destacamos la información extensa sobre las actividades/entidades que necesitan contar con un Delegado de Protección de Datos, cuya contratación puede aliviar las sanciones en el caso de que no sea obligatorio. Título VI, Transferencias internacionales de datos Regula los procedimientos por los cuales las autoridades de protección de datos, en España la Agencia Española de Protección de Datos, pueden aprobar modelos contractuales o normas corporativas vinculantes, supuestos de autorización de una determinada transferencia, o información previa. Título VII, Autoridades de protección de datos Regula el régimen de la Agencia Española de Protección de Datos y la relación con las autoridades autonómicas de protección de datos y la necesaria cooperación entre las autoridades de control. Título VIII, Procedimientos en caso de posible vulneración de la normativa de protección de datos Destacamos el novedoso sistema de “ventanilla única”, es decir existe una Autoridad de Control principal y otras Autoridades interesadas, regulando el régimen jurídico, la iniciación de los procedimientos y las relaciones de colaboración entre ellas. Título IX, Régimen sancionador Regula la distinción entre infracciones muy graves, graves y leves. Se fijan cuantías económicas, que no lo hace el RGPD, pero solo a efectos de determinar los plazos de prescripción de las mismas. Las descripciones de las conductas que pueden llevar a sanciones, se enumeran de manera ejemplificativa. Título X, Garantía de los Derechos Digitales Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Aquí encontramos una de las novedades más significativas, se regulan por primera vez los derechos digitales de los españoles y, su reconocimiento y la garantía de establecer derechos digitales a los interesados conforme a lo establecido en la Constitución. Se apuesta por una internet segura e inclusiva, con garantía de acceso universal y se fomentan las políticas públicas. Se confiere particular importancia a los derechos de los menores y a su educación digital, a los trabajadores como el de la desconexión digital en el ámbito laboral, aborda el derecho de la vida digital como el impacto de los buscadores regulando el derecho al olvido y a la portabilidad y ordena los efectos del fallecimiento en el mundo digital mediante el testamento digital. Una vez analizados los títulos, veamos un cuadro resumen con las diferencias significativas entre la derogada LOPD 15/99 y la nueva LOPDGDD 3/2018 LOPD 15/99 basada en la Directiva (UE) LOPDGDD 3/2018 basada en el Reglamento 95/46 (UE) 2016/679 ÁMBITO DE APLICACIÓN Con la directiva se decía que hubiese algún Si una empresa ofrece bienes y servicios establecimiento en la UE cuya actividad en algún idioma de la UE o que se pueden tuviese que ver con el tratamiento de pagar con una moneda europea, se datos. entenderá que están ofreciendo productos y servicios a los europeos, por tanto se aplica el RGPD. INFORMACIÓN Y CONSENTIMIENTO AL TITULAR DE LOS DATOS Informando y pidiendo consentimiento en Informar y pedir consentimiento en la la recogida de datos pero ahora de manera recogida de datos. más exhaustiva y detallada y la obligación de poder demostrar que se hizo. Desaparece el consentimiento tácito. Ahora debe ser expreso. Consentimiento táctico en la recogida de Sólo es válido el consentimiento basado en datos. la acción afirmativa. Se admite la no acción o la omisión. Debe quedar constancia que lo hemos dado “SI, acepto el tratamiento para……” LEGITIMACIÓN PARA EL TRATAMIENTO DE LOS DATOS No se informa sobre las bases jurídicas en Obligación de informar sobre la las que basar el tratamiento de los datos. legitimación para tratar datos personales y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales si es posible la Ley que lo legitima. CONTROLES DE SEGURIDAD Aparece el Accountability Privacy by Design Auditorias cada 2 años para datos de nivel Privacy by Default medio y/o alto Análisis de Riesgos Evaluación de Impacto ACCESO A FICHEROS POR CUENTA DE TERCEROS La novedad es que primero debemos evaluar al proveedor en cuanto a su cumplimiento del RGPD. Contratar un proveedor que no cumple el RGPD, es Contratos de Prestación de Servicios con incumplimiento por nuestra parte. proveedores que acceden a datos. Seguimos formalizando la relación mediante el Contrato de Prestación de servicios pero se añaden más requerimientos, es más detallado y exhaustivo. DERECHOS DE LOS TITULARES DE LOS DATOS Además se unen los derechos de Portabilidad, Indemnización y Derechos ARCO. Olvido/Supresión. Atención en 10 días. Atención en 1 mes, pudiendo llegar a 2 meses más. GESTIÓN DE INCIDENCIAS Además, debemos notificar en 72h la incidencia a la Autoridad de Control (en Registro de incidencias. España la Agencia Española de Protección de Datos) y a los interesados. SANCIONES Desaparecen los niveles, las sanciones se 3 niveles de sanciones: leve, grave, muy elevan pudiendo llegar a un máximo de grave. 10m o 20m de € o un 2% o 4% de la facturación global de la empresa. VENTANILLA ÚNICA Ventanilla Única, misma normativa para Normativas diferentes en cada país. todos. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales RESPONSABLE DE IMPLANTAR, GESTIONAR Y MANTENER LA NORMATIVA Aparece el perfil Delegado en Protección de Datos “DPO”. Se trata de un responsable de Seguridad con mucho más Responsable de Seguridad para ficheros impacto en la empresas, más requisitos de nivel medio y/o alto para su perfil, al que se debe dotar de recursos para poder llevar a cabo sus funciones. REGISTRO DE FICHEROS Desaparece la obligación de registrar ficheros. Registro de ficheros de datos ante la Aparece la obligación de registrar las AEPD. operaciones de tratamientos internamente, sin notificar a la AEPD. MENORES DE EDAD Menor de edad a partir de 14 puede Menor de edad con capacidad para decidir decidir sobre sus datos personales. entre 13 y 16 años. PROFESIONALES CERTIFICADOS No hay profesionales certificados en Los profesionales podrán certificarse en Protección de Datos. Protección de Datos. MEDIDAS DE SEGURIDAD Medidas de Seguridad que el Responsable Medidas de Seguridad basadas en el Real del Tratamiento estime oportunas para Decreto 1720/2007, bajo, medio, alto. garantizar el honor, intimidad y seguridad de los datos personales. 5. Principales novedades de la LOPDGDD & Reglamento Privacidad desde el diseño La privacidad desde el diseño debe de tenerse en cuenta tanto con anterioridad al inicio del tratamiento como también cuando ya se esté desarrollando y está relacionado con uno de los principios fundamentales del RGPD: el principio de responsabilidad proactiva. Por ello, antes de diseñar un nuevo producto o servicio, y también en el proceso de desarrollo, deberemos considerar las medidas que garanticen el cumplimiento de los principios y obligaciones del RGPD. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Nombramiento o externalización del Delegado en Protección de Datos El RGDP introduce como obligatoria la figura del DPO que será obligatorio en: Autoridades y organismos públicos Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala. Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles. Elaborar un registro de tratamientos El Responsable del tratamiento debe mantener un Registro de Actividades de Tratamiento por escrito, incluso en formato electrónico, que estará a disposición de la Autoridad de Control “Agencia Española de Protección de Datos”. El registro debe incluir una descripción de los tratamientos de datos que realicen. El registro de actividades de tratamiento no consiste sólo en redactarlos sino que hay que mantenerlo actualizado. Realizar un análisis de riesgos de los tratamientos de datos personales Todos los tratamientos deben de someterse a un Análisis de Riesgos que analice sus amenazas y establezca los controles oportunos para tratarlas, mitigándolas y/o eliminándolas. Evaluación de impacto (EIPD) En determinados supuestos en los que los tratamientos entrañen un elevado riesgo deberá realizarse una evaluación de impacto. Revisar el análisis de riesgos y evaluación de impacto, cuando se produzcan cambios relevantes en los tratamientos o en los riesgos Como indica la AEPD: “Los riesgos son variables y pueden cambiar ante variaciones en las actividades de tratamiento". Garantizar una adecuada gestión de riesgos requiere la monitorización continua de los riesgos y la evaluación periódica de la efectividad de las medidas de control definidas para reducir el nivel de exposición al riesgo. Asegurar que los tratamientos que se llevan a cabo disponen de una causa de legitimación e identificar con precisión las finalidades Todos los tratamientos que lleva a cabo un Responsable del tratamiento (proveedor) deben de disponer de la correspondiente Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales legitimación. En la mayoría de los casos se establecerá que la base jurídica es la relación precontractual o contractual y el cumplimiento de una obligación legal. Recabar el consentimiento cuando este se requiera Cuando la legitimación tenga su base en el consentimiento, éste deberá ser informado, libre, específico y otorgado por interesados a través de una manifestación de su voluntad de consentimiento, y la verificación con posterioridad de la recogida del consentimiento, corresponderá al Responsable del tratamiento como responsable del tratamiento. En todo caso, los consentimientos tácitos dejarán de ser válidos. Tampoco se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. Incorporar las cláusulas que hemos elaborado en cumplimiento del deber de información Deberemos incorporar las cláusulas de información, que debe ser: concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Los procedimientos de recogida de información pueden ser muy variados y, por tanto, los modos de informar a los afectados deben adaptarse a las circunstancias de cada uno de los medios empleados para la recopilación o registro de los datos: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Actualizar los contratos con los encargados que ya tenía el Responsable del tratamiento Es muy habitual que el Responsable del tratamiento tenga proveedores que traten datos de los que son responsables el Responsable del tratamiento. Hasta ahora se deben haber firmado contratos de encargados del tratamiento con ellos a tenor de lo que exige el artículo 12 de la LOPD del 99. Dichos contratos deben de ser actualizados para recoger las nuevas previsiones que dispone el artículo 28 del RGPD, no siendo válidas simples remisiones genéricas al artículo del RGPD que los regula. Valorar y garantizar que los encargados del tratamiento de datos cumplen las exigencias de cumplimiento del RGPD El Responsable del tratamiento debe de realizar un chequeo sobre la salud en protección de datos de sus proveedores que traten datos de carácter personal del Responsable del tratamiento para evaluar el cumplimiento del mismo respecto al RGPD. Derechos de los interesados, atender y gestionar las solicitudes A los conocidos derechos ARCO, se añaden nuevos derechos como la portabilidad, limitación, olvido e indemnización. Se deben establecer mecanismos visibles, accesibles y sencillos, incluidos medios electrónicos, para el ejercicio de derechos. De igual modo, se han producido cambios relacionados con el procedimiento para atenderlos: plazo, vías, gratuidad/canon. Gestionar las violaciones de seguridad Se implementarán mecanismos para la detección de brechas de seguridad que permitan, al mismo tiempo, reaccionar antes las mismas, evaluar el riesgo asociado y notificarla a las autoridades correspondientes, así como a los interesados. Cuando se produzca una violación o quiebra de seguridad, es decir, la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos, deberá notificarse. Realizar formación continua a quienes tengan responsabilidades en materia de protección de datos Debemos formar, en general, a toda la plantilla, deben conocer y/o ampliar los conocimientos en materia de protección de datos. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales De nada sirve disponer de una seguridad técnica infranqueable si lo más básico, formar al trabajador no se lleva a cabo. Realizar revisiones para verificar que los controles (técnicos, jurídicos y organizativos) planificados han sido incorporados No basta con implantar una vez el RGPD, debemos verificar que se sigue cumpliendo mediante medidas habituales de gestión y control. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales TEMA 2 La LOPD, aboga por el principio de proactividad que debe estar presente en toda la vida del dato personal, desde que lo recogemos, tratamos, almacenamos, consultamos y eliminamos. Ser proactivos, y no reactivos, significa que no esperemos a que pase algo para tomar medidas, tomemos medidas para que no pase ese “algo”. Además, debemos ser diligentes en la recogida y tratamiento de los datos, ¿necesitamos los datos que pedimos?, ¿realmente son necesarios?, ¿estoy informando bien sobre qué voy a hacer con ellos?, ¿voy a hacer algo más, estoy informando y pidiendo consentimiento? En este módulo vamos a conocer y saber que es Accountability, Privacy by Design y Privacy by Default, que debe ser nuestra guía desde el momento en el que pensamos en un proyecto que tendrá un tratamiento de datos personales. 1. Responsabilidad proactiva - Accountability Este principio alude a la necesidad de que el Responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de los datos es conforme con la norma. Debemos cambiar la forma de hacer frene a la protección de datos y pasar de ser Reactivos a ser Proactivos. El enfoque proactivo, exige que el responsable adopte medidas preventivas dirigidas a reducir los riesgos de incumplimiento y, además, que esté en condiciones de demostrar que ha implantado esas medidas y que las mismas son las adecuadas para lograr la finalidad perseguida. Ejemplo, Imagináis que una marca de automóviles saque al mercado un coche sin cinturón de seguridad, sin frenos ABS, sin dirección asistida, sin potentes luces… no verdad. Esto es la privacidad desde el diseño, aplicarla desde el comienzo del proyecto y no al finalizar. Éste mismo criterio es el que deben implantar las empresas que se involucren en un proyecto por el cual van a tratar datos personales. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales La exigencia de tener una actitud consciente, diligente y proactiva se relaciona con: Privacy by Design – Privacidad desde el diseño. Privacy by Default – Privacidad por defecto. Privacidad desde el diseño En materia de protección este principio alude a la responsabilidad de las entidades en la implantación de medidas, de garantía y cumplimiento de los principios y obligaciones desde el principio no del desarrollo de un proyecto sino desde la primera idea o diseño del proyecto. Por ello, antes de diseñar un nuevo producto o servicio, y también en el proceso de desarrollo, deberemos considerar las medidas que garanticen el cumplimiento de los principios y obligaciones del RGPD. “se trata de buscar la privacidad desde el primer momento de concepción de un bien o servicio y no a posteriori como ahora hacen muchas empresas” Todo aquel que vaya a llevar a cabo un sistema, un servicio, una aplicación que implique tratamiento de datos, va a tener que diseñar ese programa conforme a la privacidad. Ejemplo, Hay empresas que diseñan aplicaciones que se olvidan de la privacidad, como las consolas que permiten jugar en línea con otros y no te informan antes, que si juegas en línea los otros jugadores tendrán acceso a tus datos, o la muñeca a la que le hablas y graba la conversación, que posteriormente la enviará por wifi, cuando te conectes, a la marca y con ellos harán un estudio de lo que los niños les dicen a sus muñecos, incluso de lo que puedan grabar a la familia. Privacidad por defecto Este principio alude a que la privacidad del interesado esté configurada por defecto y no que sea el interesado quien deba preocuparse de dotar de seguridad a sus datos para garantizar su confidencialidad e intimidad. Ejemplo, En materia de redes sociales, los perfiles de privacidad de los usuarios estarán por defecto ocultos a otros usuarios, debiendo ser el usuario quien los abra a otros. Es decir, la privacidad por defecto, los perfiles son privados desde el primer momento, no públicos. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Responsabilidad proactiva en la recogida y tratamiento de los datos Aplicar la responsabilidad proactiva significa que los responsables del tratamiento deben adoptar medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos. Ejemplo, Cuando el consentimiento se pide en un contrato donde la protección de datos es una cláusula más, por ejemplo, abrir una cuenta bancaria donde hay 200 cláusulas y la de PD es a 125, donde me dice y si usted no dice que no me da su consentimiento para que yo ceda sus datos a sectores de……… esto ya no va a ser legal. La cláusula debe ser clara, legible, bien identificada. 2. Principios relativos al tratamiento de datos personales Los datos personales que vayan a ser tratados, deben solicitarse al interesado de manera lícita, leal y transparente, deben ser adecuados, pertinentes, limitados, exactos y actualizados, adoptando las medidas de seguridad necesarias para que se atiendan sin dilación los derechos de los interesados, mantenidos durante el tiempo necesario y garantizando la seguridad, confidencialidad y honor de los mismos. La LOPDGDD regula los principios en el artículo 4, mencionando la exactitud de los datos que se basan en el artículo 5 RGPD, del que se puede deducir que el interesado debe ser informado de manera clara y concisa sobre el tratamiento de sus datos con la finalidad de dar su consentimiento “libre” al tratamiento de los datos personales. Por tanto debemos cumplir lo siguiente: Evitar las fórmulas especialmente farragosas y que incorporan remisiones a los textos legales. La información y explicación del contenido del texto legal relativo al tratamiento de los datos, debe ser fácil de entender, expresada de forma clara y accesible para todos los interesados, con independencia de sus conocimientos en la materia, mediante un lenguaje sencillo y claro. Ejemplo, Cuando el consentimiento se pide en un contrato donde la protección de datos es una cláusula más, por ejemplo, abrir una cuenta bancaria donde hay 200 cláusulas y la de PD es a 125, donde me dice y si usted no dice que no me da su consentimiento para que Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales yo ceda sus datos a sectores de……… esto ya no va a ser legal. La cláusula debe ser clara, legible, bien identificada. Artículo 5 RGPD. Principios relativos al tratamiento. Los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»). Debemos garantizar al interesado los siguientes aspectos relativos a sus datos personales: Licitud: lealtad y transparencia con el interesado. Limitación de los fines: recogidos con fines determinados, detallarlos de manera clara y no tratados posteriormente de manera incompatible con dichos fines. Minimización de los datos: adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Exactitud: actualizados sin demora con respecto a los fines para los que se tratan. Limitación del plazo de conservación: mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines por los que se tratan. Excepto si el tratamiento se realiza exclusivamente para fines de archivo en interés público o para investigación histórica, estadística o científica. Integridad y confidencialidad: implementando medidas técnicas y organizativas adecuadas para proteger los datos contra tratamientos no autorizados o ilícitos y su pérdida, destrucción o daño accidentales. Responsabilidad proactiva: siendo responsable y capaz de demostrar el cumplimiento de todos los principios del tratamiento. Cuando solicitemos datos personales, ya sea en soportes papel como formularios o soportes automatizados como web y redes sociales, debemos hacerlo de manera que cualquier persona pueda entender la información sobre el tratamiento de sus datos, es decir, de manera coloquial evitando la terminología jurídica y técnica. Debemos pensar que los interesados pueden ser expertos y acostumbrados así como absolutos inexpertos. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales 3. Licitud del tratamiento de datos El tratamiento de los datos personales debe basarse siempre en una base legítima, que regula el RGPD. Aquí entra de lleno uno de los principios de la protección de datos, la responsabilidad proactiva. El Responsable del tratamiento debe identificar la base legal por la cual recoge, solicita y trata los datos, es decir, la legitimación para poder tratarlos datos personales, con la finalidad de: Informar al interesado. Asegurarse que hace un tratamiento de datos personales acorde al RGPD. ¿Qué quiere decir base legítima?, que podemos usar los datos personales que solicitamos, siempre que tengamos derecho a recogerlos y tratarlos o el deber de hacerlo. Las bases legítimas que regulan el tratamiento son: La ejecución de un contrato, es decir, el cumplimiento de las relaciones negociales o contractuales con clientes, donde el tratamiento de los datos es necesario y obligatorio para dar cumplimiento al contrato. El cumplimiento de una obligación legal, por ejemplo para el cumplimiento de Leyes como el Blanqueo de Capitales y financiación del Terrorismo, Ley Tributaria, Estatuto de los Trabajadores … La protección de intereses vitales del interesado, por ejemplo ante situaciones de riesgo o emergencia para las personas como el control de enfermedades, epidemias, catástrofes naturales. El cumplimiento intereses públicos, por ejemplo la recogida de certificados exigidos por una normativa con rango de Ley, como centros escolares y el certificado a trabajadores expedido por el Registro Central de delincuentes sexuales. La satisfacción de un interés legítimo, por ejemplo la transferencias de datos de clientes en grupos empresariales, intra-grupo. No obstante, siempre hay que analizar que dicho interés no prevalezca sobre los intereses o los derechos y libertades del interesado. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Artículo 6. Licitud del tratamiento. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones. 4. Información y consentimiento del interesado 4.1 Información. Al principio de la lección hemos visto que los datos personales deben solicitarse de manera lícita, leal y transparente, por tanto veamos cómo. ¿Cuándo debo informar?, la información se debe facilitar en el mismo momento en que se soliciten los datos, previamente a la recogida o registro, si es que los datos se obtienen directamente del interesado. La información que se debe facilitar al interesado es mayor, detallada y concreta y amplia respecto a los que estábamos acostumbrados con la LOPD 15/99. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Algunas de las formas más habituales de recogida de datos son: Formularios en papel Formularios web Entrevista telefónica Registro de aplicaciones móviles …….. Debemos implantar el principio de transparencia: Evitar las fórmulas especialmente farragosas y que incorporan remisiones a los textos legales. La información y explicación del contenido del texto legal relativo al tratamiento de los datos, debe ser fácil de entender, expresada de forma clara y accesible para todos los interesados, con independencia de sus conocimientos en la materia, mediante un lenguaje sencillo y claro. Por este motivo, y para hacer compatible la mayor exigencia de información que introduce el Reglamento y la forma de presentarla, desde las Autoridades de Protección de Datos se recomienda adoptar un modelo de información por capas o niveles. ¿En qué consiste la información por capas? 1. Presentar una información básica en un primer nivel “primera capa”, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos. 2. Remitir a la información adicional en un segundo nivel “segunda capa”, donde se presentarán detalladamente el resto de las informaciones, en un medio más adecuado para su presentación, comprensión y, si se desea, archivo. La forma de presentación de la información debe quedar dentro del área o campo de visión del interesado, a continuación del formulario donde se soliciten los datos y estará claramente identificada como “Información básica sobre Protección de Datos”. La segunda capa se identificará como “Información adicional sobre Protección de Datos”. ¿Qué debe contener la información? La identidad del responsable del tratamiento. Datos de contacto del responsable de protección de datos o del delegado de protección de datos si procede. La finalidad del tratamiento. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales La base jurídica del tratamiento. La identidad de los destinatarios o las categorías de destinatarios de los datos personales. El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo. La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos. La posibilidad de ejercitar el derecho a presentar una reclamación ante una autoridad de control. La existencia de decisiones automatizas, incluida la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. La intención del responsable de transferir sus datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión. Ejemplo, Información básica sobre Protección de Datos Responsable Empresa xxxxxxx S.L. Finalidad Gestionar la relación comercial y contractual Legitimación Consentimiento del titular de los datos o interesado Destinatarios Organismos y Administración en cumplimiento de la normativa Derechos Acceso, Rectificación, Supresión y otros que se explican en la información adicional Información Puede consultar la información adicional y detallada sobre Protección Adicional de Datos en nuestra página web: wwwww.xxxxxxx.es Ejemplo, Información adicional sobre Protección de datos Responsable Datos de contacto del Responsable Identidad y datos de contacto del Representante Datos de contacto del DPO Finalidad Descripción ampliada de los fines del Tratamiento Plazos o criterios de conservación de los Datos Decisiones automatizadas, perfiles y lógica Aplicada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Legimitación Destinatarios Derechos Procedencia Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo Obligación o no de facilitar datos y consecuencias de no hacerlo Destinatarios o categorías de destinatarios Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento Derecho a retirar el consentimiento prestado Derecho a reclamar ante la Autoridad de Control Información detallada del origen de los datos, incluso si proceden de fuentes de acceso Público Categoría de datos que se tratan 4.2 Consentimiento. Uno de los cambios más significativos en la normativa de protección de datos es el tema del consentimiento, ahora es una manifestación de voluntad libre específica informada e inequívoca por la que el interesado acepta ya sea mediante una declaración (no una omisión) o una clara acción afirmativa, el tratamiento de datos personales. No se admite el consentimiento tácito, por omisión, es decir ya no admite la no acción Cuántas veces hemos leído cláusulas de Protección de Datos donde nos dicen “si usted no dice que no, entendemos que nos da su consentimiento para tratar sus datos con la finalidad de enviarle información comercial sobre nuestra actividad y cederlos a las empresas del sector ………… para que le manden publicidad a través de vías electrónicas”. Esto ya no es válido, ahora el mensaje es otro “si no me dices que sí, no puedo mandarte información comercial sobre mi actividad y servicios”, “si no me dices que sí, no puedo ceder tu s datos a terceras empresas del sector …… para que te envíen información comercia de sus productos y servicios” También se detalla la obligación de verificar con posterioridad y en cualquier momento, el consentimiento del titular de los datos al tratamiento y finalidades de los datos recogidos. Si bien no es un cambio o un nuevo procedimiento, es cierto que inciden mucho en ello, por tanto debemos guardar, ya sea un soporte automatizado o Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales papel, el soporte en el que informamos y solicitamos el consentimiento, de manera que podamos verificar en cualquier momento que se realizó conforme a la normativa. Uno más de los cambios que introduce el Reglamento es el consentimiento explícito, que en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles o marketing con base tecnológica, debe ser más estricto, así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión. Ejemplo de consentimiento explícito, Si recogemos datos personales que necesiten un consentimiento explícito, a través de un formulario web, además de aceptar el tratamiento de los datos (consentimiento expreso), recibiremos un sms al móvil para verificar de nuevo el consentimiento. De esta manera, hemos reincidido en solicitar el consentimiento al interesado. Las condiciones para cumplir con el consentimiento de los interesados, son las siguientes: El Responsable del tratamiento debe poder probar el consentimiento. o Si se realiza por escrito, deberá distinguirse claramente de otros asuntos. El consentimiento no será lícito si se condiciona a una prestación de servicios sin ser necesario para su realización. El Responsable del tratamiento informará al interesado, antes de dar su consentimiento, que tiene derecho a retirarlo en cualquier momento sin que afecte al tratamiento efectuado hasta entonces. Será tan fácil retirar como dar el consentimiento. Los consentimientos que infrinjan parcialmente el Reglamento serán considerados nulos. CONSENTIMIENTO PARA TRATAMIENTOS CON FINES DISTINTOS DE LA FINALIDAD PRINCIPAL. Distinguir las finalidades, el consentimiento se debe distinguir bien de otros asuntos/finalidades, en la recogida de datos, de la información sobre el tratamiento de los datos, en definitiva deberá implicar que quien consiente es consciente de que está prestando el consentimiento. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. Ejemplo A través de un formulario recogemos datos para responder las consultas recibidas. Dado que tenemos los datos de contacto del interesado, decidimos seguir usando sus datos con posterioridad, es decir, una vez contestada la consulta, por ejemplo para acciones de marketing online al cabo de xxx meses. Debemos informar de esta otra finalidad y recoger el consentimiento expreso “Si, autorizo que traten mis datos para enviarme información comercial sobre sus productos y servicios” 4.3 Tratamiento de menores de edad. La normativa española, establece la edad de 14 años. Por tanto, se considera lícito el tratamiento de datos de un niño cuando tenga como mínimo 14 años. Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento. ¿Qué pasa con los menores de 14 años? El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela. El RGPD especifica que los Estados Miembros (UE) podrán adaptar la normativa nacional a la europea, delimitando la edad mínima entre los 13 y 16 años, es decir, nunca por debajo de los 13 años. En España se decide limitar la edad mínima en 14 años. Por tanto, SI, podemos recoger datos a menores pero debemos evaluar varios criterios: Madurez del menor. Capacidad para entender la información sobre el tratamiento de sus datos. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales NO podemos recoger datos a menores que permitan conseguir información sobre su unidad familiar, así como datos vinculados como los económicos o sociológicos. “Los menores, sólo por el mero hecho de serlo, son considerados como personas vulnerables” ¿Cómo se debe informar a los menores? La información a los interesados siempre debe seguir los principios descritos en el punto 1, pero en el caso de los menores debemos prestar especial atención a la singularidad y así lo describe el RGPD en el considerando 38 y 58: "...pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales..." “debe facilitarse en un lenguaje claro y sencillo que sea fácil de entender” El responsable de tratamiento está obligado a demostrar que cumple con las obligaciones y requisitos exigidos en el Reglamento, para ello impone al Responsable y encargado de tratamiento adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales TEMA 3 Vamos a hablar de los derechos, ¿qué son?, los derechos son aquellos que toda persona tiene sobre sus datos personales, es decir, el control sobre sus datos personales. La LOPDGDD, además de destinarse a adaptar el ordenamiento español al RGPD, en relación a los ya conocidos derechos ARCO y los nuevos, limitación, supresión y olvido y portabilidad, añade una importante novedad, los derechos digitales. Así que presenta y regula el ejercicio de derechos como el de neutralidad de la Red y el acceso universal o los derechos a la seguridad y educación digital, la libertad de expresión en internet, al testamento digital, a la intimidad en el uso de dispositivos digitales en el ámbito laboral como videovigilancia y geolocalización y a la desconexión digital. 1. Derechos de los interesados ¿Qué derechos puedo ejercer?, los derechos que todas las personas podemos solicitar y ejercer ante un Responsable de tratamiento o Encargado de tratamiento son: Acceso. Rectificación. Oposición. Supresión (“derecho al olvido”). Limitación del tratamiento. Portabilidad. No ser objeto de decisiones individualizadas. ¿Cuáles son las características comunes? Su ejercicio es gratuito. Se pueden ejercer directamente o por medio de tu representante legal o voluntario. Si las solicitudes son manifiestamente infundadas o excesivas el responsable podrá: o Cobrar un canon proporcional a los costes administrativos soportados o Negarse a actuar Las solicitudes deben responderse en el plazo de un mes, aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más, es decir, puede llegar a 3 meses. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales El responsable del tratamiento está obligado a informar sobre los medios para ejercitar estos derechos. Estos medios deben ser accesibles y no se puede denegar este derecho por el solo motivo de que se opte por otro medio Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo. Si el responsable no da curso a la solicitud, informará y a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control. Como ya sabéis, existe otro derecho que es el de información, ¿recodáis la información por capas?, uno de los puntos era informar sobre los derechos y como ejercerlos. Por tanto, el interesado tendrá derecho a obtener en todo momento una información clara y transparente del tratamiento de sus datos que incluya los derechos que le otorga el Reglamento. Para ello, deberá comunicar al interesado los derechos que le asisten. Éstos son: DERECHOS DE LOS CIUDADANOS TRATAMIENTO TRATAMIENTO INDEPENDIENTEMENTE DEL AUTOMATIZADO O NO AUTOMATIZADO TRATAMIENTO AUTOMATIZADO Acceso Portabilidad Reclamación a la Autoridad de Control Rectificación Oponerse a la elaboración Indemnización de perfiles Supresión / Olvido Limitación Oposición 1.1 Derecho de acceso. Es el derecho del interesado a tener confirmación acerca de si sus datos personales están siendo tratados, y en su caso, a acceder a los mismos. Si el interesado ejerce el derecho, debemos facilitarle la siguiente información: Los fines del tratamiento. b) Las categorías de datos personales de que se trate. a) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales. d) Plazo de conservación o plazo previsto para ello. e) La existencia del derecho a solicitar el ejercicio del resto de derechos. f) El derecho a presentar una reclamación ante una autoridad de control. g) Si son datos no obtenidos del interesado, información sobre su origen. h) La existencia de decisiones automatizadas, incluida la elaboración de perfiles, información sobre el algoritmo aplicado y sus consecuencias para el interesado a nivel de privacidad. i) Si hay transferencias, las medidas aplicadas para su salvaguarda. c) El Responsable debe facilitar al interesado una copia gratuita de los datos personales sometidos al tratamiento. Para más copias, podrá cobrar una tasa razonable basada en los costes administrativos. Cuando el interesado haga la solicitud en formato electrónico, le facilitará la información estructurada y si es posible en el mismo formato, a no ser que solicite que se realice en otro formato. 1.2 Derecho de rectificación. Es el derecho a la corrección de los datos personales del interesado por parte del responsable. En el caso que exista una comunicación previa de datos a terceros (destinatarios de los datos), el Responsable del tratamiento debe informarles para que procedan a la rectificación de los mismos, salvo que sea imposible o exija un esfuerzo desproporcionado. Ejemplo Algo tan sencillo como decirle a la entidad que tiene nuestros datos, Responsable del tratamiento, que ya no vivimos en la calle Gran Vía sino en la calle Colón o que los datos que tiene sobre nosotros no son exactos y debe adecuarlos a la situación real. Es decir, se produce un cabo en nuestros datos personales y se lo comunicamos al Responsable del tratamiento o solicitamos que los datos inexactos sean puestos al día. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales 1.3 Derecho de Supresión y olvido. Se trata de 2 derechos que van de la mano pero tiene diferencias:. El derecho de supresión, es la nueva versión del anterior derecho de cancelación de la LOPD 15/99. La supresión lleva consigo la eliminación (con las excepciones que veremos a continuación), mientras que el derecho al olvido se basa en los datos personales que se hayan hecho públicos, principalmente en buscadores, de manera que si el interesado lo solicita, serán desindexados en las búsquedas, suprimiendo los enlaces que nos lleven a la información que deseamos “olvidar”. El derecho de Supresión y derecho al olvido, viene a regular lo que la jurisprudencia del Tribunal de Justicia de la Unión Europea reconoció en la Sentencia del Tribunal de Justicia de 13 de mayo de 2014, consistente en la supresión de los datos personales del interesado sin dilación, en el caso de que se den alguna de la siguientes circunstancias: Los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo. El interesado retire el consentimiento en que se basa el tratamiento y este no se base en otro fundamento jurídico. El interesado se oponga al tratamiento con arreglo al derecho de oposición, por motivos particulares o por mercadotecnia, y no prevalezcan otros motivos legítimos para el tratamiento. Los datos personales hayan sido tratados ilícitamente. Los datos personales deban suprimirse para el cumplimiento de una obligación legal Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información. En el caso de que dichos datos estén copiados o siendo usados también por terceros, se deberá solicitar a dichos terceros que procedan su cancelación por parte del responsable. No obstante todo ello no aplicara cuando los tratamientos sean necesarios para: Ejercer el derecho a la libertad de expresión e información. Cumplir una obligación legal. Razones de interés público o fines de archivo publico estadístico, etc… Para la formulación, el ejercicio o la defensa de reclamaciones. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Ejemplo Un periódico online, deberá tomar las medidas oportunas para que una noticia no aparezca, para que sea invisible al buscador, para que no se pueda indexar, si bien la noticia no será eliminada de su base de datos. El derecho al olvido supone impedir la difusión de la información cuando ésta es obsoleta o no tiene relevancia ni interés público Los principales buscadores, Si se estima la pretensión han habilitado formularios del interesado, la para facilitar su ejercicio. información no aparecerá en los resultados de búsquedas, pero existiendo en la fuente original Si los buscadores deniegan el ejercicio, el interesado puede interponer una reclamación ante la Autoridad de Control El derecho al olvido se lo debemos a Mario Costeja, por el que el Tribunal de Justicia, obligó a Google a retirar los datos relacionados con Mario sobre su pasado moroso, estableciendo que no sólo Google sino el buscador (todos) son responsables del tratamiento y en consecuencia se puede pedir el derecho de cancelación, el derecho al olvido, no sólo antes el editor sino ante el buscador. 1.4 Derecho a la limitación de acceso. El derecho a la limitación del tratamiento es otra de las novedades y lo podemos definir como el derecho del interesado a que no se realice tratamiento con respecto a una parte de sus datos personales si se dan las circunstancias para ello. Así el interesado podrá ejercitar la limitación del tratamiento cuando se cumpla alguna de las siguientes circunstancias: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales El interesado indique son inexactos, mientras el responsable confirma dicha inexactitud. Cuando el tratamiento sea ilícito, pero en vez de cancelar, solicite limitar el tratamiento (por ejemplo, porque le interese el servicio). El responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado si que los necesita en el ámbito de una reclamación. En caso de interés legítimo, mientras se acredita que interés prevalece. Es decir, nos encontramos con, por definirlo de un modo más simple, un derecho de cancelación temporal o parcial en función de los requisitos que se den. 1.5 Derecho a la portabilidad de datos. El interesado tiene derecho a recibir los datos personales que le incumben, que haya facilitado de forma automatizada a un Responsable del tratamiento, que éste se los devuelva en un formato estructurado, automatizado y de uso común para que a su vez sean transmitidos a un nuevo Responsable de tratamiento (de forma directa o no) y todo ello sin que se lo impida el primer Responsable del tratamiento. Por tanto, nos encontramos ante un derecho doble, de portabilidad al interesado y de transmisión de Responsable a Responsable, es decir, el interesado puede exigir a las empresas que estén tratando sus datos que se los devuelva o que se los pase a otra empresa. Para que el interesado o el nuevo Responsable del tratamiento pueda hacer uso de los datos que se solicitan mediante el ejercicio de portabilidad, la empresa que recibe el derecho, debe disponer de un sistema informático y /o base de datos que cumpla la premisa de datos estructurados y de uso común y que el nuevo Responsable del tratamiento también disponga de un sistema informático y /o base de datos adecuada a “un formato electrónico comúnmente utilizado” Ejemplo Estoy en Hotmail y me voy a Gmail, podré decirle “oiga hotmail haga usted la portabilidad”, es decir, no voy a perder los datos si cierro mi cuenta porque le diré a hotmail que efectúe la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales portabilidad a gmail. 1.6 Derecho de oposición. El interesado tendrá derecho a oponerse en cualquier momento a que sus datos sean tratados. El responsable del tratamiento debe dejar de tratar los datos personales, salvo que acredite motivos legítimos para no acceder a la solicitud, que prevalezcan sobre los intereses del interesado, o que sean necesarios para la defensa de reclamaciones. Oposición en relación a datos con fines de marketing Cuando el tratamiento de los datos tenga como finalidad la mercadotecnia y/o elaboración de perfiles, el interesado podrá oponerse en el mismo momento en el que sus datos son solicitados, sin necesidad de justificación ni causa. En éste caso (mercadotecnia y/o elaboración de perfiles), el Responsable del tratamiento debe disponer y facilitar la información de manera clara y al margen de cualquier otra finalidad, además de proveer de medios fáciles e intuitivos para ejercer el derecho de oposición. Ejemplo Seguro que en más de una ocasión, su entidad bancaria aprovecha el envío de los temidos recibos domiciliados para enviarle información comercial sobre créditos concedidos ara la compra de ese fabuloso vehículo, tarjetas que no le costarán nada y tan solo debe usarlas… ¿No está hart@ de recibir esta publicidad?, pero claro, es su banco ¿verdad?, pues use el derecho de oposición a recibir información comercial, ¡ojo!, esto no quiere decir que no le envíen información sobre su cuenta, recibos, cobros y pagos; solo se opone a recibir la información no imprescindible, la comercial. 1.7 Derecho a la no existencia de decisiones basadas en tratamientos automatizados. Se trata de un derecho que en pleno siglo XXI tiene mucha trascendencia debido a “cosas” como el Big Data. El interesado tendrá derecho a no ser objeto de una elaboración de perfiles cuya finalidad sea adoptar decisiones individuales basadas en un tratamiento automatizado de datos y destinadas a evaluar, analizar o predecir aspectos personales del mismo. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ¿Qué es elaboración de perfiles? Cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Ejemplo Algunas webs de productos, como las de vehículos, recogen la actividad el usuario cuando navega por la web (las famosas cookies) y guarda información sobre lo que visita, lo que más visita, donde hace click, donde se para y dedica más tiempo, qué opciones del coche chequea, qué colores suele visitar más, qué tipo de carrocería visita más y un largo etc que mediante una herramienta de marketing, permite a la empresa tener un perfil concreto del usuario de la web. Con todos estos datos, la empresa puede realizar publicidad adecuada al perfil, basada en decisiones automatizadas. No obstante, este derecho no será aplicable cuando: Sea necesario para la celebración o ejecución de un contrato entre el interesado y el responsable del tratamiento. El tratamiento de los datos del interesado datos se fundamente en su consentimiento prestado previamente. Esté autorizado por el Derecho de la Unión o de los Estados miembros y se establezcan medidas adecuadas para salvaguardar los derechos y libertades e intereses legítimos del interesado. En los 2 primeros supuestos, el responsable deber garantizar el derecho al interesado a obtener la intervención humana, expresar su punto de vista e impugnar la decisión. ¿Qué quiere decir "derecho a obtener la intervención humana"? Imagina que a través de un formulario web solicitas un crédito bancario y una aplicación automatizada, que elabora un perfil con los datos que has facilitado, decide que no te conceden el crédito. En este caso, puedes solicitar la intervención humana para que tu perfil de solicitud de crédito sea evaluado por una persona y no se base únicamente en una decisión automatizada. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales 2. Los nuevos derechos del Título X de la LOPDGDD 2.1 Derechos en la era digital España es el primer país de la UE que reconoce los derechos digitales de los ciudadanos. El objetivo es reconocer y garantizar una serie de derechos digitales conforme a la Constitución 2.2 Derecho a la neutralidad en Internet y acceso universal Regula el acceso no discriminatorio a Internet. Los proveedores deberán ofrecer una oferta transparente de servicios a Internet: Sin discriminación por motivos técnicos, personales, sociales, geográficos, económicos o de género. Que sea de calidad y asequible. Sin barreras por brechas generacionales o geográficos en entono rurales o por personas con necesidades especiales. 2.4 Derecho a la seguridad digital Es el derecho de los ciudadanos a las comunicaciones seguras en Internet. 2.5 Protección de los menores e Internet Regula las medidas que se deben tomar para evitar la difusión de información de los menores. Especifica que los padres/madres, tutores legales o educadores deben formar a los menores para que hagan un uso adecuado de la tecnología, tanto de los dispositivos como de la red Internet. 2.6 Derecho a la rectificación en internet Regula el derecho de los interesados ante el Responsable del tratamiento para que atiendan el derecho de rectificación ante contenidos que atenten contra el honor y la intimidad. 2.7 Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral Los trabajadores tienen derecho a la intimidad respecto al uso de los dispositivos digitales de la empresa. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales No obstante, la empresa podrá acceder a los mismos para controlar el cumplimiento de las obligaciones laborales. Para ello debe redactar los criterios de acceso y deberán participar los representantes de los trabajadores. 2.8 Derecho a la desconexión digital en el ámbito laboral Regula el derecho del trabajador fuera del horario laboral de manera que se limite el uso de las tecnologías de la comunicación garantizando el tiempo de descanso, perimsos y vacaciones de los trabajadores. El objetivo es potenciar el derecho a la conciliación de la actividad laboral y la vida personal y familiar. ¿Cómo se articula?, a través de lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes de los trabajadores. La empresa debe elaborar una política interna, donde se definirán las causas de desconexión y cuando se podrá comunicar con el trabajador. 2.9 Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo Regula el uso de videocámaras en el lugar de trabajo, permitiendo que sea con la finalidad de control laboral según lo previsto en el Estatuto de los Trabajadores. No obstante, la empresa debe informar con carácter previo a la instalación a los trabajadores o representante de los mismos. 2.10 Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral Se permite el uso de geolocalización para control empresarial según lo previsto en el Estatuto de los Trabajadores. No obstante, la empresa debe informar con carácter previo a la instalación a los trabajadores o representante de los mismos. 2.11 Derechos digitales en la negociación colectiva Regula que se puedan establecer garantías adicionales a los derechos digitales en el ámbito laboral. ¿Cómo? Mediante los convenios colectivos. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales 2.12 Protección de datos de los menores en Internet El Responsable del tratamiento que realicen actividades con menores, deben garantizar la protección de los datos personales. 2.13 Derecho al testamento digital Las personas vinculadas al fallecido podrán solicitar el acceso a los datos del mismo e impartir instrucciones sobre sus usos. Se exceptúa cuando el fallecido lo haya prohibido. 2.14 Políticas de impulso de los derechos digitales Las instituciones públicas deben elaborar planes para mejorar el acceso a Internet y las competencias de los ciudadanos. Los objetivos son: 1. Superar brechas digitales como, colectivos vulnerables, con necesidades especiales, socialmente y económicamente desfavorecidos. 2. Impulsar la creación de puntos de acceso público. 3. Impulsar acciones formativas para personas y colectivos con riesgo de exclusión digital. Además, existe otro derecho recogido en el RGPD, el de indemnización: Artículo 82. Derecho a indemnización y responsabilidad. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. Es decir, podemos ejercer el derecho de indemnización si el Responsable o Encargado de tratamiento no cumple el RGPD (debemos demostrarlo) y por causa de dicho incumplimiento, hemos sufrido daños materiales como pueden ser perdidas económicas o inmateriales como puede ser la perdida de reputación que nos afectando profesionalmente como personalmente, por ejemplo con estados de ansiedad. ¿Dónde reclamo? La reclamación se puede presentar ante los tribunales del Estado miembro de la UE donde el responsable o encargado del tratamiento se encuentre establecido o donde el interesado tenga su residencia habitual. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Ejemplo, Hacemos una compra online en un sitio web y al cabo de unos días, observamos que en nuestra cuenta bancaria han cargado compras que nosotros no hemos hecho. Investigamos y descubrimos que el sitio web donde hicimos la compra online, ha sufrido un ciberataque y nuestros datos (número de tarjeta, cvv, fecha de caducidad, dni, nombre, apellidos…) han sido utilizados para hacer compras en nuestro nombre. En este caso podemos reclamar una indemnización al sitio web por incumplimiento en la seguridad de nuestros datos. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales TEMA 4 La responsabilidad proactiva, de la que ya hemos hablado, está presente en toda la normativa de protección de datos y en el caso de la relación entre Responsable y Encargado del tratamiento no podía ser menos. El Responsable y Encargado del tratamiento tienen una estrecha relación que se debe formalizar, ¿por qué?, porque el responsable facilita o da acceso a datos personales. Antes, con la LOPD 15/99 valía con formalizar la relación a través el llamado contrato de prestación de servicios, pero ahora con la LOPD 3/2018, previamente a dicho contrato que debe ser más específico, debemos evaluar al Encargado con la finalidad de conocer si cumple la normativa de protección de datos. Simultáneamente a la responsabilidad de quienes tratan los datos, las autoridades de control, en España “Agencia Española de Protección de Datos”, tienen el deber de la supervisión activa, de modo que ven ampliadas sus facultades, pudiendo y debiendo analizar, además de sancionar, procesos que ponen en riesgo el derecho a la protección de datos personales. 1. El Responsable y Encargado del tratamiento ¿Cuál es la diferencia entre Responsable de tratamiento y Encargado de tratamiento? El Responsable del tratamiento es aquel que decide sobre la finalidad y los usos de la información, mientras que el encargado del tratamiento debe cumplir con las instrucciones que el Responsable del tratamiento le encarga en relación a un determinado servicio. Ejemplo La empresa “Más Privacidad S.L.” del sector Protección de Datos, tiene consultores/trabajadores, de acuerdo a las obligaciones correspondientes, debemos realizar un tratamiento de datos para la elaboración de nóminas, altas, bajas, etc, comunicaciones a la Administración Pública en cumplimiento de las obligaciones de la Seguridad Social, Tributarias, etc. Dado que su actividad y conocimientos no son la gestión laboral, decide contratar los servicios de “Asesores Laborales S.L.”, para que se ocupen de la realización de las mismas y tramitar todas las obligaciones ante la Administración Pública. Por tanto: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales El Responsable del tratamiento es Más Privacidad S.L. El Encargado del tratamiento es Asesores Laborales S.L. Ejemplo de proveedores que son Encargados de tratamiento: Proveedores de marketing digital Consultoras y Certificadoras (por ejemplo ISO) Auditoras Gestorías laborales, fiscales, contables Gestoría de matriculación Asesorías Servicios Jurídicos Call Center Prevención de Riesgos Laborales Mantenimiento informático aplicaciones Mantenimiento informático de ordenadores Instalación y mantenimiento de Sistemas de Videovigilancia Mantenimiento equipos no informáticos como impresoras (acceso a instalaciones) Mantenimiento instalaciones (sin acceso a datos- acceso a instalaciones) Gestión eventos/campañas con o sin recogida de datos …….. 1.1 Responsable del tratamiento El Responsable de tratamiento es el máximo responsable en garantizar la confidencialidad de los datos que trata y de dotar de seguridad a todos los intervinientes y mecanismos tanto humanos como técnicos que intervengan en la vida del dato, desde la recogida, tratamiento, almacenamiento y destrucción. El responsable de tratamiento está obligado a demostrar que cumple con las obligaciones y requisitos exigidos en el Reglamento, entre las nuevas obligaciones están: Registro de actividades de tratamiento Medidas de Protección de Datos desde el Diseño Medidas de Protección de Datos por Defecto Medidas de seguridad adecuadas Análisis de Riesgos Evaluaciones de Impacto Autorización previa o consultas previas al tratamiento con la Autoridad de Control Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Delegado Protección de Datos Notificación de Quiebras de Seguridad Códigos de conducta y esquemas de certificación Transparencia e información al interesado Consentimiento inequívoco y explícito Bases de legitimación para el tratamiento de los datos Nuevos derechos del titular de los datos Responsabilidad en la elección de Encargados de Tratamiento En términos prácticos, se requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que la normativa de protección de datos prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión. En síntesis, debemos tener una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo. 1.2 Encargado del tratamiento El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable del tratamiento y conlleva el tratamiento de datos personales por cuenta de éste. El encargado del tratamiento tiene el deber de proteger los datos personales en cualquier fase del tratamiento de los datos, desde el diseño del tratamiento y por defecto durante todo el ciclo de vida del mismo: recogida, tratamiento, conservación, supresión o destrucción, debiendo ser tratados de manera que se garantice una seguridad, así como su honor e intimidad, evitando el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. ¿Qué tipos de tratamientos puede hacer el Encargado de tratamiento? El encargado del tratamiento podrá realizar los tratamientos, automatizados o no que se le hayan encomendado, tales como: Recogida de datos personales Registro Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Organización Estructuración Conservación Adaptación Modificación Extracción Consulta Utilización Comunicación por transmisión Difusión Limitación Supresión o destrucción, entre otros. El tratamiento de que se trate, debe quedar claramente delimitado en el contrato de prestación de servicios que se formalice entre Responsable y Encargado del tratamiento, es decir, será necesario definir con precisión el alcance de sus servicios y el acceso y tratamiento de datos personales que puedan llevar a cabo. El encargado del tratamiento suele ser una entidad externa pero en el caso de grupos empresariales, alguna de las empresas que forman parte del grupo, puede actuar como Encargado del tratamiento para otra o para todas las entidades del grupo. 1.3 Relación entre Responsable y Encargado del tratamiento El Responsable del tratamiento debe elegir un encargado del tratamiento que ofrezca garantías suficientes respecto al tratamiento de los datos y de la seguridad de las medidas técnicas y organizativas, de acuerdo con lo establecido en la normativa, y que garantice la protección de los derechos de las personas afectadas. ¿Cómo se regula la relación? 1. Evaluación de cumplimiento al encargado del tratamiento. 2. Superada la evaluación: Contrato que defina la posición del encargado del tratamiento. La Evaluación al Encargado del tratamiento puede consistir en enviar una ficha Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales que consiste en una serie de preguntas cuya contestación permitiría verificar la idoneidad o no para prestar los servicios de conformidad con las exigencias establecidas en la nueva normativa de protección de datos. La relación entre el responsable y el encargado del tratamiento debe regularse y establecerse a través de un contrato o un acto jurídico similar. El contrato o acto jurídico debe ser por escrito o en formato electrónico. El contenido del contrato debe incluir los siguientes puntos: 1. 2. 3. 4. 5. 6. 7. 8. Las instrucciones del responsable del tratamiento El deber de confidencialidad Las medidas de seguridad Subcontratación Los derechos de los interesados La colaboración en el cumplimiento de las obligaciones del responsable El destino de los datos al finalizar la prestación La colaboración con el responsable para demostrar el cumplimiento Si queremos que un proveedor nos demuestre que cumple con el Reglamento y por tanto nos ofrece las garantías suficientes para elegirlo como encargado del tratamiento, podemos solicitarle información sobre la adhesión a códigos de conducta o la posesión por parte de su Delegado en Protección de Datos “DPO”, del certificado correspondiente emitido por una certificadora autorizada por la Autoridad de Control. 2. Corresponsables del tratamiento Los Corresponsables del tratamiento, son más de un Responsable de tratamiento que conjuntamente determinan el tratamiento de los datos personales. ¿Deben formalizar la relación de alguna manera?, si, deben hacerlo mediante un acuerdo en el cual determinarán: Las funciones de cada Corresponsable respecto al tratamiento de los datos personales. Las responsabilidades de cada Corresponsable respecto a la normativa de protección de datos. Los procedimientos para el ejercicio de los derechos de los interesados, que podrá ser frente a cada uno de ellos. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales El acuerdo debe estar a disposición de los interesados. Los aspectos esenciales del acuerdo deberán estar a disposición de los interesados. Ejemplo, Organizaciones empresariales donde una matriz ejerce el control sobre el resto, determina y participa conjuntamente en el tratamiento de los datos personales de sus filiales. Empresas públicas dependientes de un Organismo público. 3. Representantes de responsables o encargados del tratamiento Es la persona física o jurídica establecida en la Unión que, representa a Responsables o Encargados del tratamiento no establecidos en la UE. ¿Cuándo es necesario designar un representante?, cuando el Responsable o Encargado de tratamiento, no establecido en la UE, realizan un tratamiento de datos personales de personas que residan en la UE y cuyos tratamientos se relacionen con ofertas de bienes y servicios para dichas personas. 4. Las autoridades de control Antes de empezar debemos aclarar el término Comité o Comité Europeo de Protección y Comisión, dado que puede llevar a confusión: El comité o Comité Europeo de Protección de Datos “CEPD”, es un organismo europeo independiente que contribuye a la aplicación coherente de las normas de protección de datos en toda la Unión Europea y promueve la cooperación entre las autoridades de protección de datos “APD” de la UE. El CEPD está compuesto por: Representantes de las autoridades nacionales de protección de datos y por el Supervisor Europeo de Protección de Datos “SEPD”. Miembros las autoridades de control de los Estados AELC de la AEMA (La AELC agrupa a los países que prefirieron no ingresar en la Unión Europea), sin derecho a voto ni a ser elegidos Presidente o Vicepresidentes. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales La Comisión Europea, es el órgano ejecutivo de la Unión Europea que vela por su interés general, en diferentes temas o prioridades, tales como: Empleo, crecimiento e inversión. Mercado único digital. Unión de la Energía y clima. Mercado interior. Justicia y derechos fundamentales – aquí entra el RGPDMigración. …. La Comisión Europea, en lo que respecta a los asuntos relacionados con el RGPD tiene derecho a participar en las actividades y las sesiones del CEPD. Las Autoridades de Control de Protección de Datos “APD” son autoridades públicas independientes que supervisan, mediante los poderes de investigación y correctivos, la aplicación de la legislación sobre protección de datos. Estas ofrecen asesoramiento experto en cuestiones relacionadas con la protección de datos y tramitan reclamaciones presentadas por la violación del RGPD. Debe existir una en cada Estado miembro de la UE. En España, es la Agencia Española de Protección de datos, www.aepd.es, la encargada de velar por el cumplimiento de la normativa de protección de datos y controlar su aplicación. ¿Cuál es el objetivo?, proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales. Cada autoridad de control contribuirá a la aplicación de la normativa de protección de datos. Para ello, las APD cooperarán entre sí y con la Comisión Europea. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ANEXO SABER + CÓDIGOS DE CONDUCTA Y CÓDIGOS DE CERTIFICACIÓN Desde la entrada en vigor del Reglamento (UE) de Protección de Datos, todas las empresas que traten datos de carácter personal, deben aplicar el principio de Responsabilidad Proactiva o Accountability, para ello deberán aplicar “las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme al presente Reglamento”. ¿Cómo podemos hacerlo?, a través de la adhesión a códigos de conducta y certificaciones. Los códigos de conducta son un mecanismo para que el Responsable del tratamiento se regule a sí mismo, es decir, es la capacidad para que las entidades cumplan la normativa basándose en códigos aprobados que pueden servir para demostrar el cumplimiento. Los certificados sirven para demostrar el cumplimento, de manera que permitan evaluar el nivel de protección de datos del Responsable o del Encargado del tratamiento. Estos códigos de conducta y certificaciones están relacionados con las transferencias Internacionales de Datos, ya que aportarán garantías necesarias para cumplir con las mismas. Los códigos de conducta Objetivo, facilitar la correcta aplicación de la normativa, teniendo en cuenta las características específicas de los distintos sectores y las necesidades específicas de las empresas Responsables y Encargados del tratamiento. Características: Tienen carácter voluntario. Sólo obligan a quienes se comprometan a aplicar sus disposiciones. Aportan garantías adecuadas para las transferencias internacionales de datos. Los Estados Miembros de la UE, Autoridades de Protección de Datos, Comité Europeo de Protección de Datos “CEPD” y la Comisión están obligados a impulsar su elaboración. Su incumplimiento puede ser sancionado con un multa de hasta 10 millones de €. No se aplica a los tratamientos públicos. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Los códigos de certificación Objetivo, demostrar el adecuado cumplimiento de la normativa por parte de los responsables y de los encargados del tratamiento. Características: Tienen carácter voluntario. No limitará la responsabilidad de los responsables o encargados en cuanto al cumplimiento de la normativa, con arreglo a las competencias de la AEPD. Permiten evaluar con mayor rapidez el nivel de protección de datos. Tienen una validez de 3 años para el Responsable o Encargado de tratamiento adherido al mismo y podrá ser renovado siempre y cuando se sigan cumpliendo los requisitos necesarios para su expedición. Aportan garantías adecuadas para las transferencias internacionales de datos. Su incumplimiento puede ser sancionado con un multa de hasta 10 millones de €. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales TEMA 5 La LOPDGDD sigue el principio de cumplimiento de rendición de cuentas que exige el RGPD, que, entre otras, involucra al Responsable y al Encargado del tratamiento a la adopción de medidas organizativas y de seguridad. Hablamos de seguridad y de nuevo aparece una de las novedades de la normativa, el análisis de riesgos, la evaluación de impacto y el delegado en protección de datos “DPD o DPD”. El DPD es una de las piezas fundamentales para el cumplimiento de la normativa, pero no siempre es obligatorio contar con este perfil, aunque como dice la Agencia Española de Protección de Datos, recomiendan recurrir a este perfil especializado en protección de datos. El Análisis de Riesgos tiene la finalidad de evaluar los posibles riesgos y se realiza sobre todos los tratamientos que se realicen con los datos personales. La evaluación de impacto se realiza sobre el riesgo concreto que en el análisis de riesgos habremos identificado. El DPD es un actor clave en el nuevo sistema de gestión de los datos. Vamos a ver qué es un DPD, quién puede serlo, cuales son su tareas y como se posiciona frente a la empresa. 1. Análisis de Riesgo ¿Recordáis “Accountability”, la responsabilidad proactiva?, unos de los requerimientos al diseñar y desarrollar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales, debemos adelantarnos al producto final, para ello debemos realizar un análisis de riesgos que permita establecer medidas de seguridad y control cuya finalidad es cumplir los principios de protección de datos desde el diseño y por defecto que garanticen la seguridad, confidencialidad, honor y derechos y libertades de las personas, es decir, el responsable del tratamiento que vaya a realizar actividades que conlleven el tratamiento de datos personales, debe establecer procedimientos que garanticen cumplir los principios de “Protección desde el Diseño y por Defecto”. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Un Análisis de riesgos no se centra en el riesgo de la empresa sino en los interesados “personas”, evaluando las amenazas sobre los derechos y libertades de los interesados. Para ello se basa en los principios que ya conocemos: Licitud, lealtad, transparencia, limitación de la finalidad, minimización de los datos, exactitud, conservación y confidencialidad. Podemos decir que un Análisis de Riesgos se trata de realizar preguntas y cuanto mayor sea el número de respuestas afirmativas, mayor será el riesgo en el tratamiento. Si la respuesta a estas preguntas es negativa, podemos deducir que el tratamiento de los datos no genera un elevado nivel de riesgo, por ejemplo: 1. ¿Se van a recabar datos de carácter personal? 2. ¿Se van a utilizar datos sensibles?, ¿qué datos? 3. ¿El tratamiento incluye la elaboración de perfiles? 4. ¿Se comunicarán datos personales a terceros o a quien no ha tenido acceso a la información? 5. ¿Va a utilizarse tecnología que puede ser considerada como invasiva para la privacidad como geolocalización, videovigilancia? 6. ¿Se tratan grandes cantidades de datos y técnicas de análisis tipo Big Data? 7. ¿Son los datos adecuados para las finalidades para las cuales van a ser utilizados? ¿Se utilizan los datos para distintas finalidades? 8. ¿Se van a recabar datos que no van a ser utilizados? 9. ¿Se producirán transferencias internacionales de datos? 10. ………. El análisis de riesgos tiene 3 etapas: ¿Qué es una amenaza? Una amenaza es cualquier posibilidad de que pase “algo” que pueda provocar un daño a los interesados sobre los que se realiza un tratamiento. ¿Qué es un riesgo? Un riesgo es la combinación de la posibilidad de que se materialice una amenaza y sus consecuencias. ¿Qué es tratar los riesgos? Tratar el riesgo es disminuir la probabilidad de que estos se produzcan. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Fuente: guía de la AEPD El Análisis de Riesgos se realiza sobre toda la vida útil del dato que es: Recogida de datos: obtención de datos por diferentes medios como, formularios papel, web, grabaciones de audio y video, redes sociales, datos biométricos (huella, iris), etc. Tratamiento: todas las operaciones que se realizan sobre los datos personales. Cesión de datos: transferencia a un tercero para que realice un tratamiento con los datos. Destrucción: eliminación (no supresión) de los datos, de manera que no puedan ser recuperados. En definitiva, la evaluación de riesgos consiste en evaluar el posible impacto de la amenaza, junto a la posibilidad de que esta se materialice. Una vez evaluado el riesgo será necesario determinar las medidas de seguridad encaminadas para reducir o eliminar los riesgos para el tratamiento de los datos. Del resultado del análisis de riesgos, podremos decidir sobre la necesidad de realizar una Evaluación de Impacto “EIPD” (veremos qué es en el siguiente punto): No, no es necesario realizar una EIPD: se entiende que no hay riesgo en las actividades de tratamiento. En este caso debemos documentar los motivos que no llevan a esta conclusión = responsabilidad proactiva. Sí, es necesario realizar una EIPD: se realizará y documentará una EIPD. Si desea ampliar información, no deje de visitar la Guía de Análisis de Riesgos de la AEPD Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales 2. Evaluación de impacto Una evaluación de impacto “EIPD”, es un análisis más exhaustivo y concreto del potencial riesgo que hemos analizado en el Análisis de Riesgos y permite determinar el nivel de riesgo que entraña un determinado tratamiento. El objetivo es adecuar medidas de control para reducir el riesgo hasta un nivel considerado aceptable. Una EIPD no es siempre obligatoria, sólo para los tratamientos que comportan un riesgo elevado o relevante, es decir, un alto riesgo. La EIPD se debe hacer antes del comienzo del proyecto pero también se puede dar el caso de que sea necesario realizarla una vez comenzado el proyecto por modificaciones en el tratamiento de los datos personales como puede ser la utilización de tecnología cuto uso pueda producir un riesgo para los derechos y libertades de los interesados. El ciclo de vida de una EIPD debe ser el siguiente: Fuente: guía de la AEPD Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ¿Cuándo es necesario realizar una EIPD? La Agencia Española de Protección de Datos “AEPD” ha publicado un listado de tratamientos de datos personales en los que es obligatoria la realización de una evaluación de impacto. La AEPD ha definido que será necesario realizar una EIPD en la mayoría de los casos en los que en los que el tratamiento cumpla con dos o más criterios de la lista, entre los que se encuentran: La realización de perfilado. Observación, geolocalización o control de forma sistemática y exhaustiva. El uso de datos biométricos para identificar de forma unívoca a una persona. Datos que permitan determinar la solvencia patrimonial o procesamiento de identificadores únicos que permitan identificar usuarios de servicios de la sociedad de la información como pueden ser los servicios web, televisión interactiva o aplicaciones móviles, entre otros tratamientos. Cuantos más criterios reúna el tratamiento en cuestión, mayor será el riesgo que entrañe y mayor la certeza de la necesidad de realizar una Evaluación de impacto. Antes de ver la lista publicada por la AEPD, veamos que dice el artículo 35 del RGPD sobre cuando es necesario realizar una EIPD: ……. se requerirá en particular en el caso de: evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar; tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o la observación sistemática a gran escala de una zona de acceso público. Según la AEPD, los sectores que deben realizar una EIPD son los siguientes: 1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos. 2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales 3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc. 4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos. 5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física. 6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin. 7. Tratamientos que impliquen el uso de datos a gran escala. Para determinar si un tratamiento se puede considerar a gran escala se considerarán los criterios establecidos en la guía WP243 “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de Trabajo del Artículo 29. 8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos. 9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia. 10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas. 11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b,c,d) del RGPD. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ¿Quién es el encargado de realizar una EIPD? El responsable de realizar una EIPD es el Responsable del tratamiento. El Delegado de Protección de Datos “DPD” (en el siguiente punto se analiza el perfil DPD) proporciona el asesoramiento necesario al responsable del tratamiento para el adecuado desarrollo de la ejecución de una EIPD. Por tanto, la obligación de hacer una EIPD corresponde al Responsable del tratamiento, con el apoyo y la colaboración del DPD. Adicionalmente, hay perfiles dentro de la empresa o departamentos que estarán involucrados en la EIPD, como puede ser departamento IT, rrhh, Jurídico y otros que pueden ser requeridas durante el proceso de evaluación. Si desea ampliar información, no deje de visitar la Guía de Evaluaciones de Impacto de la AEPD 3. Delegado Protección de Datos El DPD o DPD es la piedra angular de la rendición de cuentas, es el perfil más especializado en una entidad cuyo objetivo es facilitar, gestionar, controlar y evaluar el cumplimiento de la normativa de protección de datos. Contar con DPD, además de una obligación en algunos casos como veremos, también es una ventaja competitiva para las entidades frente a terceros, dado que contar con dicho perfil acredita en una cultura de cumplimiento normativo a la entidad que lo tiene. Su nombramiento debe facilitar el cumplimiento de la normativa. Además de facilitar el cumplimiento, el DPD actúa de intermediario entre las partes interesadas correspondientes (p. ej. autoridad de control, autoridades supervisoras, interesados y unidades de negocio dentro de la empresa). Debe quedar claro, que un DPD no es personalmente responsable en caso de incumplimiento del RGPD, el responsable es siempre la entidad Responsable o Encargado de tratamiento. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales El nombramiento de un DPD es un paso más para el cumplimiento de la normativa, pero debe conferírsele suficiente autonomía y recursos para que lleve a cabo su cometido de forma efectiva. Requisitos para ser nombrado DPD. Deberá ser nombrado en base a sus “cualidades profesionales y, en particular, su conocimiento” en la materia de la protección de datos, que le capacite para cumplir las tareas que le atribuye el Reglamento. Esas competencias o capacidades acreditadas se pueden obtener a través de estudios y certificaciones regladas y oficiales o demostrar experiencia profesional. Aunque no debe tener una titulación específica, en la medida en que entre las funciones del DPO se incluya el asesoramiento al responsable o encargado en todo lo relativo a la normativa sobre protección de datos, los conocimientos jurídicos en la materia son sin duda necesarios, pero también es necesario contar con conocimientos ajenos a lo estrictamente jurídico, como por ejemplo en materia de tecnología aplicada al tratamiento de datos o en relación con el ámbito de actividad de la organización en la que el DPO desempeña su tarea. Posición del DPD en la empresa. El DPD desempeña un papel clave a la hora de promover una cultura de protección de datos dentro de la empresa y ayuda a implementar elementos esenciales del RGPD, como son los principios del tratamiento de datos, los derechos de los interesados, la protección de datos por diseño y por defecto, los registros de actividades de tratamiento, la seguridad del tratamiento y la notificación y comunicación de violaciones de datos. Es crucial que el DPD se involucre desde la fase más temprana posible en todas las cuestiones relacionadas con la protección de datos, se debe percibir como un interlocutor dentro de la empresa y que forme parte de los grupos de trabajo pertinentes que se ocupan de las actividades de tratamiento de datos dentro de la empresa. La empresa debe garantizar al DPD: Se invite al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios. Será respaldado por la dirección, por el Responsable del tratamiento. Se recomienda que esté presente cuando se tomen decisiones con implicaciones para la protección de datos. Toda la información relevante deberá transmitirse Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales al DPD de manera oportuna para que pueda prestar un asesoramiento adecuado. La opinión del DPD deberá siempre gozar de la consideración debida. Deberá consultarse con prontitud al DPD una vez que se produzca una violación de datos u otro incidente. Se le deben facilitar medios suficientes para elaborar la gestión y llevar a cabo su trabajo. No podrá recibir órdenes de superiores (que supongan un incumplimiento). No podrá ser cesado ni despedido por el ejercicio de sus funciones. Rendirá cuentas al más alto nivel jerárquico de la empresa. Debe estar a disposición de los interesados (titulares de los datos), que podrán ponerse en contacto con el DPD a través de los medios que se faciliten y por la Autoridad de Control. Independiente – Evitar Conflictos de intereses ¿Qué quiere decir independiente? El DPD debe evitar conflictos de intereses. Estos conflictos pueden surgir cuando el DPD, en su tarea de supervisión de las actividades de tratamiento de datos llevadas a cabo por la organización, debe valorar su propio trabajo dentro de ella, como sucede si se designa DPD al responsable de tecnologías de la información (cuando estas tecnologías se emplean para el tratamiento de datos) o al responsable de un área de negocio que decide sobre determinados tratamientos. Funciones del DPD en la empresa. Como ya podéis imaginar, las funciones del DPD se centran en controlar y ayudar al Responsable o Encargado del tratamiento a controlar el cumplimiento interno del presente Reglamento. Información y asesoramiento normativo. Supervisión del cumplimiento normativo. Auditoría. Cooperación y enlace con la autoridad de control. Atención a los interesados. Estas funciones genéricas del DPD se pueden concretar en tareas de asesoramiento y supervisión, entre otras, en las siguientes áreas: 1. Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos 2. Identificación de las bases jurídicas de los tratamientos Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales 3. Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos 4. Determinación de la existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos 5. Diseño e implantación de medidas de información a los afectados por los tratamientos de datos 6. Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados 7. Valoración de las solicitudes de ejercicio de derechos por parte de los interesados 8. Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado 9. Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia 10. Diseño e implantación de políticas de protección de datos 11. Auditoría de protección de datos 12. Establecimiento y gestión de los registros de actividades de tratamiento 13. Análisis de riesgo de los tratamientos realizados 14. Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos 15. Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos 16. Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados 17. Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos 18. Realización de evaluaciones de impacto sobre la protección de datos 19. Relaciones con las autoridades de supervisión 20. Implantación de programas de formación y sensibilización del personal en materia de protección de datos. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ¿Qué dice la LOPD 3/2018 sobre el DPD? El artículo 34. Designación de un delegado de protección de datos, especifica los supuestos en los que el Responsable o Encargado de tratamiento deben designar un DPD y son: a) Los colegios profesionales y sus consejos generales. b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas. c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala. d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio. e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito. f) Los establecimientos financieros de crédito. g) Las entidades aseguradoras y reaseguradoras. h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores. i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural. j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo. k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos. l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual. m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas. n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales o) Las empresas de seguridad privada. p) Las federaciones deportivas cuando traten datos de menores de edad. ¿Qué dice el RGPD 2016/679 sobre el DPD? El artículo 37 exige que se designe un DPD en tres casos específicos: Cuando el tratamiento lo lleva a cabo una autoridad u organismo públicos. Cuando las actividades principales del responsable o el encargado del tratamiento consisten en operaciones de tratamiento que requieren el seguimiento regular y sistemático de los interesados a gran escala. Cuando las actividades principales del responsable o el encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos personales relacionados con condenas y delitos penales. ¿Qué significa a gran escala? Se tendrán en cuenta los siguientes factores, en especial, a la hora de determinar si el tratamiento se lleva a cabo a gran escala: El número de interesados involucrados —bien como cifra concreta o como proporción de la población correspondiente. El volumen de datos o el abanico de diferentes conceptos de datos que se procesan. La duración, o permanencia, de la actividad de tratamiento de datos. El alcance geográfico de la actividad de tratamiento. ¿Qué significa un seguimiento regular y sistemático? Que se produce de acuerdo con un sistema. Preestablecido, organizado o metódico. Que tiene lugar como parte de un plan general de recogida de datos. Llevado a cabo como parte de una estrategia. Continuado o que se produce a intervalos concretos durante un periodo concreto. Recurrente o repetido en momentos prefijados. Que se produce de forma constante o periódica. El GT29, indica que son todas las formas de seguimiento en Internet, la posterior elaboración de un perfil o incluso el uso con fines de publicidad comportamental. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
