Impacto del Reglamento General de Protección de Datos en las Administraciones Públicas

(1)

1

Agencia Española de Protección de Datos

Impacto del Reglamento General de Protección

de Datos en las Administraciones Públicas

Madrid, 20 de marzo de 2018

Agustín Puente Escobar Abogado del Estado – Jefe del Gabinete Jurídico Agencia Española de Protección de Datos

(2)

2

Carácter armonizador

Sustituye al régimen de la Directiva 95/46/CE

• Publicado el 4 de mayo de 2016

• En vigor desde 25 de mayo de 2016

• Plena aplicación desde el 25 de mayo de 2018

Principales características

• Mayor control para los interesados

• Nuevo modelo de cumplimiento basado en la

responsabilidad activa

• Nuevo modelo de supervisión

• Mecanismos de cooperación para su aplicación

(3)

3

Carácter armonizador

Implica una armonización completa

• Aplicación directa

• Desplazamiento de las normas nacionales generales

– Posible vigencia o adecuación de las normas sectoriales

• Posible desarrollo normativo por los Estados Miembros pero de

forma muy limitada

Mecanismos de armonización

• Cooperación y coherencia. El Comité Europeo de protección de

datos

• Control por la Comisión

• Decisiones del Tribunal de Justicia (especial referencia al

(4)

4

Principales novedades del RGPD

1. Clarificación y ampliación del concepto de dato personal

• Los conceptos de anonimización y seudonimización

2. Modificación del ámbito territorial de aplicación

• Aplicación del concepto de «servicios dirigidos» en lugar del de

los «medios»

3. Régimen detallado del consentimiento

• Desaparición de la posibilidad de consentimiento «tácito» o «por

omisión»

• Especialidades y régimen del consentimiento de los menores

4. Aclaración de los criterios para la aplicación de la regla del «equilibrio de intereses» o del «interés legítimo»

5. Ampliación de las categorías especiales de datos

• Inclusión de los datos biométricos y genéticos

(5)

5

Principales novedades del RGPD

6. Desarrollo del principio de transparencia o derecho a la información

• Más información y capacidad de disposición del afectado

7. Régimen detallado de los derechos de los afectados

• Desarrollo de derechos como el de rectificación o supresión,

incluyendo el de oposición

• Nuevos derechos: limitación del tratamiento y portabilidad

8. Principio de responsabilidad activa

• Nuevo modelo de cumplimiento

9. Regulación más detallada de la relación responsable-encargado

• Mayor control del encargado por el responsable

10. Nuevo modelo de supervisión

• Nuevas funciones de las autoridades

• Procedimiento coordinado y mecanismo de coherencia

(6)

6

Impacto del RGPD en el sector público

Impone dos tipos de actuaciones

• Medidas de carácter normativo

• Medidas para lograr el cumplimiento de las

obligaciones impuestas por el RGPD por parte de las

autoridades u organismos públicos en su condición de

encargados o responsables del tratamiento

(7)

7

Medidas de carácter normativo

• Derogación de las disposiciones de derecho interno que sean

contrarias al RGPD o adaptación de dichas normas al RGPD

– Procedimientos para el ejercicio de los derechos

– Base legal del tratamiento. En particular, el consentimiento • Adopción de disposiciones normativas

– En supuestos en que el RGPD requiere un desarrollo interno

que deben establecer necesariamente los Estados Miembros

• Autoridad de supervisión

• Adaptación al procedimiento establecido en el RGPD

– En supuestos en que el RGPD permite o habilita a los Estados

Miembros introducir especificaciones o clarificaciones

• Edad del menor para prestar su consentimiento • Tratamiento de datos sensibles en la investigación

científica

(8)

8

Medidas de carácter normativo

• Proyecto de Ley Orgánica de protección de datos (remitido a las

Cortes en noviembre de 2017)

– Adapta el derecho español al RGPD

– Deroga expresamente y reemplaza a la actual LOPD

• Con ciertas especialidades en tratamientos sometidos a la

Directiva 2016/680

– Incluye adaptaciones para la aplicación de los principios del

RGPD

– Incluye algunas normas que regulan las condiciones de

tratamiento en ciertos sectores (archivo, estadística, videovigilancia, solvencia, etc.)

• Junto a ella será necesaria la adaptación de las normas

sectoriales que afectan a protección de datos

– Revisión por cada Departamento de su normativa

– Actualización al RGPD de las condiciones de tratamiento en

(9)

9

Objetivos del PLOPD

• Adaptar el derecho español al RGPD

• Desarrollar las materias previstas en el RGPD

• Reforzar los derechos cuando sea posible

• Clarificar algunos conceptos del RGPD

(10)

10

Los principios en el Reglamento

Se mantienen principios similares a los de la Directiva con alguna adición y estableciendo denominaciones:

• Principio de licitud, lealtad y transparencia

– La transparencia o información como nuevo principio • Principio de limitación de finalidad

– Especialidades en el tratamiento para fines distintos (artículo 6.4) • Principio de minimización

– Reemplaza “no excesivos” con “limitados a lo necesario”; aspectos cuantitativo y cualitativo del principio

– “Los datos personales solo deben tratarse si la finalidad del

tratamiento no pudiera lograrse razonablemente por otros medios” Aclaración (considerando 39)

• Principio de exactitud

• Principio de limitación del plazo de conservación

– Nuevas normas para el tratamiento con fines de archivo o fines estadísticos o de investigación científica histórica

• Principio de integridad y confidencialidad

– Seguridad y confidencialidad como principios y no como obligaciones • Principio de responsabilidad activa

(11)

11

Especialidades en el Proyecto de LOPD en

relación con los principios

• Principio de exactitud en el tratamiento (art. 4)

– No imputabilidad al responsable por la inexactitud de los

datos

• Facilitados por el propio afectado

• Facilitados por intermediarios legalmente previstos

• Recibidos como consecuencia del ejercicio del derecho

a la portabilidad

• Principio de confidencialidad (art.5)

– Regla relativa al deber de secreto similar a la prevista en el

artículo 10 LOPD

– Reconocimiento expreso del carácter complementario y

añadido a los deberes de secreto profesional expresamente impuestos al responsable en atención a su profesión o

(12)

12

Base legal del tratamiento

Las posibles bases legales del tratamiento en el RGPD (artículo 6,1) a) Consentimiento del interesado para uno o varios fines específicos b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales

c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento

d) Tratamiento necesario para proteger intereses vitales del interesado o de otra persona física

e) Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento

f) Tratamiento necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero,

siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales

– En particular cuando el interesado sea un niño.

– No aplicable al tratamiento realizado por las autoridades

(13)

13

Base legal del tratamiento

Aplicabilidad de estas bases legales al sector público

• Tres bases legales fundamentales

– Interés público y ejercicio de poderes públicos, amparados por Ley,

que podrá establecer las condiciones del tratamiento

– Cumplimiento de una obligación legal – Consentimiento del interesado

• Definido como Manifestación de voluntad libre, específica,

informada e inequívoca

• Ya sea mediante una declaración o una clara acción afirmativa • Desaparición del llamado consentimiento «por inacción» o

«tácito» (considerando 171)

– Necesidad de nuevo consentimiento o determinación de una nueva

base legal en estos casos

• Aplicabilidad limitada y complementaria del criterio de la prevalencia del interés legítimo

– Enfoque basado en el interés público como causa legitimadora – No obstante, puede apreciarse el interés legítimo del tercero

destinatario de los datos

(14)

14

Medidas de adaptación

1. Determinar la base legal del tratamiento

Aplicabilidad práctica. La determinación de la base legal del tratamiento resulta necesaria

• Como fundamento de la responsabilidad activa, garantizando la

protección del derecho

• Como garantía del principio de legalidad en la actuación

administrativa

• Por cuanto la finalidad y la base legal del tratamiento deberán

incluirse en la información a facilitar a los interesados

• Permitirá una adecuada formación del Registro de actividades del

tratamiento, que impone el RGPD

Especialidades en el tratamiento de las «categorías especiales de datos» (anteriormente «datos especialmente protegidos»)

• Existencia de habilitaciones legales y otros supuestos

(15)

15

Información al afectado

Configuración de la información como derecho del interesado y no como obligación del responsable

Se incrementa la información que habrá de facilitarse cuando los datos se recaban del afectado

• Identidad y los datos de contacto del responsable y, en su caso, de su representante

• Datos de contacto del delegado de protección de datos

• Fines y base jurídica del tratamiento

• Intereses legítimos del responsable o de un tercero

• Destinatarios o las categorías de destinatarios de los datos personales

• Transferencias previstas

• Plazo de conservación

• Derechos de acceso, rectificación o supresión, limitación del tratamiento, oposición y portabilidad

• Posibilidad de revocación del consentimiento

• Derecho a presentar una reclamación ante una autoridad de control;

• Si la comunicación de datos personales es obligatoria y las posibles consecuencias de que no facilitar los datos

• Existencia de decisiones automatizadas, incluida la elaboración de perfiles la lógica aplicada y las consecuencias previstas

(16)

16

Información al afectado

Si los datos no se recaban del interesado deberá además informársele de: • Categorías de datos que se van a tratar

• Fuente de la que proceden los datos personales y, en su caso, si proceden de “fuentes de acceso público”

La información deberá ser “concisa, transparente, inteligible y de fácil acceso” Clarificación del plazo

• Un mes, con carácter general

• Primera comunicación con el interesado si los datos se usan para ese fin • Primera cesión en caso de que se pretenda la misma

Excepciones al deber de información

• En general, cuando el interesado ya disponga de la información • Si los datos no proceden del interesado

– Aclaración del esfuerzo desproporcionado en caso de tratamiento con fines de archivo, estadísticos o de investigación científica o histórica – Previsión legal expresa de tratamiento o revelación, con medidas

oportunas de protección

(17)

17

El deber de informar/principio de transparencia

en el Proyecto de LOPD (art. 21)

Información por capas

• Antecedentes

– Instrucción 1/2006, Guía sobre uso de las cookies – Guía sobre el cumplimiento del deber de informar

• Supuestos

– Recogida de datos en redes de comunicaciones electrónicas

– Recogida en el marco de la prestación de un servicio de la sociedad de la

información

– Supuestos en que se determine por Ley o por Circular de la AEPD • Información en la primera capa

– En todo caso

• Identidad del responsable del tratamiento o su representante • Finalidad del tratamiento

• Modo de ejercicio de los derechos

• Uso de los datos para la elaboración de perfiles, en su caso • Derecho de oposición a decisiones automáticas, en su caso

– Si los datos no se han obtenido del afectado, además deberá informarse de: • Categorías de datos objeto de tratamiento

(18)

18

Medidas de adaptación

2. Revisión de las cláusulas informativas

Necesidad de adaptación a las exigencias del RGPD a la información que debe facilitarse a los interesados al recoger sus datos

• El RGPD impone la obligación de proporcionar más información

de la actualmente requerida por la LOPD

• La información debe facilitarse de forma concisa, transparente,

inteligible y de fácil acceso

– No es posible la inclusión en formularios de cláusulas

farragosas y difícilmente comprensibles

• Será necesario revisar los formularios e impresos para solicitar

datos de los ciudadanos en situaciones como solicitudes de prestaciones sociales, convocatorias de subvenciones,

inscripción para procesos selectivos, etc.

Posible procedimiento de información por capas (Proyecto de LOPD)

• Centrado en recogida de datos on line. Posible ampliación – Facilitar la información básica en el momento de la recogida

(19)

19

Derechos de los afectados

Modificaciones en la enumeración de los derechos

• Se reconocen específicamente los derechos de rectificación y supresión como derechos independientes y se regula detalladamente éste último

• Se hace una referencia al “derecho al olvido” no del todo ajustada a la doctrina del TJUE y se vinculan los derechos de supresión y oposición “strictu sensu”

• Se recogen nuevos derechos: limitación del tratamiento y portabilidad Condiciones generales

• Obligación de atender los derechos a menos que se acredite la imposibilidad de identificar al interesado

• Plazo: un mes prorrogable por dos más según la complejidad y número de solicitudes

• Respuesta por medios electrónicos si el derecho se ejercitó por dichos medios salvo que el interesado manifieste lo contrario

– SI no se da curso a la solicitud: obligación de informar en un mes

acerca de las razones y la posibilidad de acudir a la autoridad de control o los órganos judiciales

(20)

20

Ejercicio de los derechos

Alcance del derecho de acceso

• Ampliación respecto del régimen anterior. No sólo conocimiento de los datos, sino copia de los mismos

• Se difumina la diferencia entre el derecho de acceso y el acceso a información pública referida al propio solicitante

Condiciones generales de ejercicio de los derechos en el RGPD

• Gratuidad salvo en caso de solicitudes “manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo”, en que será posible

– Cobrar un canon razonable en función de los costes administrativos

afrontados para facilitar la información o la comunicación o realizar la actuación solicitada

– Negarse a actuar respecto de la solicitud.

• Posibilidad de solicitar información adicional para garantizar la identificación del solicitante

(21)

21

Cuestiones generales sobre los restantes

derechos en el Proyecto LOPD (art. 22)

• Ejercicio directo o por medio de representante legal o voluntario • Obligación de acreditación de quien ejercita el derecho

– Convencional o electrónica

• Obligación de informar al interesado sobre los medios para el ejercicio – Mantenimiento del principio de elección del medio por el afectado • Posibilidad de externalización a un encargado del tratamiento como

parte del encargo

• Carga de la prueba del responsable

• Aplicabilidad de las normas específicas para tratamientos concretos – Procedimiento administrativo

– Registros con regímenes especiales

• Posibilidad de establecer medios de acceso remoto y permanente

(22)

22

Medidas de adaptación

3. Ejercicio de los derechos

Necesidad de establecer mecanismos que faciliten a los afectados el ejercicio de los derechos establecidos en el RGPD

• Establecimiento de medios electrónicos para atender el derecho ejercitado a través de este canal

• Establecimiento de procedimientos específicos para atender los nuevos derechos

recogidos en le RGPD

– Portabilidad: alcance más limitado en el sector público, aunque podría ser

posible en ciertos supuestos excepcionales

– Limitación del tratamiento: herramientas que faciliten la suspensión en el

tratamiento

• Distinto de la obligación de bloqueo recogida en el Proyecto de LOPD

– Establecimiento de sistemas que garanticen la verificación de la identidad del

afectado que ejerce el derecho

– Adaptación de la organización y establecimiento de procedimientos internos

para atender el ejercicio de los derechos dentro de los plazos previstos en el RGPD

– Posibilidad de hacer uso de procedimientos que garanticen el «acceso

(23)

23

Medidas de adaptación

3. Ejercicio de los derechos

Necesidad de establecer mecanismos que faciliten a los afectados el ejercicio de los derechos establecidos en el RGPD

• Adaptación de la organización y establecimiento de

procedimientos internos para atender el ejercicio de los derechos dentro de los plazos previstos en el RGPD

• Posibilidad de hacer uso de procedimientos que garanticen el

«acceso permanente» a los datos por los afectados, conforme al artículo 13.2 del Proyecto de LOPD

– Existencia de sistemas de esta naturaleza en las

Administraciones Públicas (por ejemplo, Portal «Funciona»)

• Diferenciación entre ejercicio del derecho de acceso y la

(24)

24

Medidas de adaptación

4. Transferencias internacionales

El Reglamento parte del criterio clásico de que los datos de los europeos sólo pueden enviarse a países que ofrezcan un nivel adecuado de protección

Se amplían y flexibilizan instrumentos de garantía

• Responsables y encargados pueden ser exportadores

• Instrumentos jurídicamente vinculantes y ejecutables entre

autoridades u organismos públicos (por ejemplo MoU)

• BCR (de responsables y de encargados)

• Cláusulas contractuales estándar aprobadas por la Comisión

• Cláusulas contractuales estándar aprobadas por una APD nacional y

aceptadas por la Comisión

• Códigos de Conducta y Esquemas de Certificación, junto con

compromisos vinculantes y ejecutables del responsable o encargado en el tercer país para aplicar las salvaguardas apropiadas, incluidos los derechos del interesado

Ampliación de excepciones para casos basados en interés legítimo del responsable

(25)

25

Medidas de adaptación

4. Transferencias internacionales

Necesidad de adaptar los instrumentos de transferencia

internacional de datos personales a las previsiones del RGPD

• Con carácter general se mantiene el modelo ya existente, si bien

no será necesaria la autorización en los supuestos en los que exista un instrumento previamente adoptado (por ejemplo, cláusulas contractuales tipo)

• Nuevos instrumentos de garantías que no precisarán autorización – Instrumentos jurídicamente vinculantes y exigibles entre

autoridades y organismos públicos

• Deberán incluir las garantías exigibles

• Instrumentos que sí exigirán autorización de la autoridad de

protección de datos

– Acuerdos internacionales no normativos celebrados entre

autoridades y organismos públicos, incluidos los memorandos de entendimiento

(26)

26

Responsabilidad activa (accountability)

– El Reglamento prevé que los responsables, aplicarán las medidas técnicas

y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el presente Reglamento. Tales medidas se revisarán y actualizarán cuando sea necesario

– La no aplicación de estas medidas es sancionable – Tipos de medidas

• Mantener “registro de actividades de tratamiento”

• Aplicar medidas de seguridad adecuadas

• Medidas de Protección de Datos desde el Diseño • Medidas de Protección de Datos por Defecto

• Llevar a cabo Evaluaciones de Impacto

• Autorización previa o consultas previas con APD • Designación Delegado Protección de Datos (DPD)

• Notificación de Quiebras de Seguridad

(27)

27

Relaciones responables-encargados

• Obligación general de diligencia en selección de encargado

• Regulación más detallada que en Directiva y asimilada a la española – En el contenido del instrumento que exterioriza la relación jurídica – En las obligaciones del encargado

– En el régimen de posible subcontratación • Algunas peculiaridades:

– Previsión de que el responsable “realice auditorías y contribuya a

ellas, incluidas las inspecciones dirigidas por el responsable o por otro auditor autorizado por dicho responsable”

– Fin de la prestación implica borrado o devolución de datos, sin

incluir transferencia a otro encargado

• Posible vinculación al derecho a la portabilidad

– Obligación de informar al responsable “si, en su opinión, una

instrucción infringe el presente Reglamento o las disposiciones nacionales o de la Unión en materia de protección de datos”

(28)

28

Medidas de adaptación

5. Relaciones responables-encargados

Necesidad de adaptación de los contratos con encargados del tratamiento a las previsiones del RGPD en:

• Régimen de diligencia debida del responsable en la elección del

encargado del tratamiento

• Establecimiento del contrato o acto jurídico de vinculación entre

responsable y encargado con todo el contenido exigido por el RGPD

• Posibilidad de atribución de esta condición en el ámbito del

sector público a un determinado órgano u organismo

– Norma reguladora que deberá incorporar todo el contenido

exigido por el RGPD (artículo 33.5 Proyecto LOPD)

• Plazo de adaptación (disposición transitoria quinta del Proyecto) – Máximo cuatro años desde la entrada en vigor del RGPD

– Posible modificación por causa objetiva que la hace necesaria

(29)

29

Análisis de riesgos

Obligación de todos los responsables de determinar las medidas técnicas y organizativas a adoptar atendiendo a los riesgos que el tratamiento puede producir en los derechos y libertades de los afectados.

Posibles elementos de riesgo (artículo 28.2 del Proyecto)

• Posibles situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de

confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados

• Posible privación de derechos y libertades o del control sobre los datos

• Tratamiento de categorías especiales de datos

• Evaluación de aspectos personales de los afectados para creación de perfiles

• Afectados en situación de especial vulnerabilidad

• Tratamiento masivo de datos

(30)

30

Medidas de adaptación

6. Análisis de riesgos

Necesidad de llevar a cabo un análisis de riegos para los derechos y libertades de los ciudadanos de todos los tratamientos de datos desarrollados por el responsable

• Este análisis deberá efectuarse

– Para tratamientos actuales, a fin de determinar las medidas que reemplacen a

las existentes

– Para tratamientos futuros con anterioridad a su iniciación

Necesario para

• Determinar las medidas técnicas y organizativas que habrán de imponerse sobre

el tratamiento

– Medidas de seguridad

– Medidas de otra índole establecidas en el RGPD

• Actualmente en el ámbito público existen metodologías y herramientas de análisis de riesgos (MAGERIT, PILAR) para determinar las medidas de seguridad de la

información

– Inclusión de módulos de cumplimiento de la legislación de protección de

datos

• También existe una guía para la realización del análisis de riesgos elaborada por la AEPD, accesible en

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/

(31)

31

Medidas de adaptación

7. Registro de actividades de tratamiento

El nuevo régimen de protección de datos implica la desaparición de dos exigencias

• Desaparece la obligación de notificar los tratamientos al registro general de protección de datos

• Desaparece igualmente la obligación de adoptar una disposición de creación de los ficheros

En su lugar, el RGPD impone al responsable y al encargado la obligación de mantener un registro de actividades de tratamiento

• El RGPD establece un contenido mínimo en su artículo 30

• El Proyecto de LOPD indica que puede estructurarse en torno a

«conjuntos estructurados de datos», lo que lo vincula parcialmente con lo ya notificado a la AEPD

– Herramienta para la descarga de la información contenida en el

Registro de la Agencia (

https://sedeagpd.gob.es/sede-electronica-web/vistas/formCopiaContenido/copiaContenido.jsf)

• Además, las Administraciones Públicas deberán hacer público su «inventario de actividades de tratamiento» como obligación de transparencia conforme al Proyecto de LOPD

(32)

32

Medidas de seguridad

• Los responsables y encargados deben aplicar medidas

técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta

• Estado de la técnica y costes de aplicación

• Naturaleza, alcance, contexto y fines del tratamiento • Riesgos para los derechos y libertades de las personas

• El Reglamento no establece listado estructurado de medidas ni

prevé desarrollo o especificación

• Aunque establece algunas prevenciones, como la

seudonimización o el cifrado

• La adhesión a un código de conducta o a un mecanismo de

certificación podrá servir de elemento para demostrar cumplimiento

• Igualmente se establece el procedimiento para la notificación

de quiebras de seguridad a las autoridades de control y, en su caso, a los afectados

(33)

33

Medidas de adaptación

8. Medidas de seguridad

Procederán del resultado del análisis de riesgo, sin tener ya el carácter de lista tasada de mínimos exigibles, como en le modelo actual

• Puede no obstante existir una coincidencia con las medidas

actuales, pero deberá proceder del análisis específico llevado a cabo y no del mero cumplimiento de la norma

• Las medidas diferirán en función de los riesgos de los

tratamientos

• Según el Proyecto de LOPD se modificará el ENS, que ahora se

remite al Reglamento de la LOPD, para incluir las medidas exigibles conforme a este nuevo enfoque

(34)

34

Medidas de adaptación

8. Notificación de quiebras de seguridad

El RGPD impone la obligación de notificar las violaciones de seguridad, entendidas en un sentido amplio

• A las autoridades de protección de datos en un máximo de 72

horas desde que se tenga constancia de ellas, a menos que sea improbable que constituyan un riesgo para los derechos y

libertades de las personas físicas

– Deberán documentarse la violación, los hechos producidos,

sus efectos y las medidas correctoras

• Registro de incidentes de seguridad

– Deberá facilitarse gradualmente cualquier información

adicional

• Al interesado

– Si es probable que se genere una situación de alto riesgo para

sus derechos y libertades

– Por iniciativa propia o por exigencia de la autoridad de

(35)

35

Medidas de adaptación

9. EIPD

Deberá llevarse a cabo en caso de que el tratamiento por su naturaleza, alcance, contexto o fines entraña un alto riesgo para los derechos y libertades de las personas físicas

• No es análisis de riesgos, sino una evaluación más detallada y pormenorizada derivada del resultado del análisis previo

Supuestos en que procede

• Previstos expresamente en el RGPD

– Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se

base en un tratamiento automatizado e implique la adopción de decisiones

– Tratamiento a gran escala de las categorías especiales de datos

– Observación sistemática a gran escala de una zona de acceso público • Además las autoridades de protección de datos

– Publicarán listas de tratamientos que la requieran

– Podrán publicar listas de tratamientos exentos de la EIPD • En atención a si vienen ya desarrollándose

– Será obligatoria para todo nuevo tratamiento

– Para los actuales sólo procedería en caso de cambio significativo en las condiciones del

tratamiento

• No será necesario realizar la EIPD cuando el tratamiento se base en una Ley que la incorpore como parte de la evaluación general de impacto (MAIN)

Si no es posible la adopción de medidas para mitigar el riesgo deberá recabarse la opinión de la autoridad de protección de datos

(36)

36

Delegado de Protección de Datos (DPD)

¿Qué organizaciones deben designar un DPD?

• El RGPD se refiere a tres supuestos específicos

• El tratamiento se realice por autoridad u organismo público en

todo caso

• Las actividades principales de responsable o encargado

consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala

• Las actividades principales de responsable o encargado

consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales

• Además el Proyecto de LOPD incluye una serie de supuestos en

que deberá procederse a esta designación

– La mayor parte realmente responden a supuestos que ya

(37)

37

Delegado de Protección de Datos (DPD)

¿Es posible designar a DPD externo?

• El DPD puede ser un miembro del personal del responsable del

tratamiento o del encargado del tratamiento (DPD interno) o «cumplir las tareas sobre la base de un contrato de servicios». Puede ejercerse sobre la base de un contrato de servicios celebrado con un individuo u

organización

– Podrá designarse un equipo de personas bajo la responsabilidad del

DPO designado en el contrato

– Cada miembro del equipo deberá cumplir los requisitos exigidos por

el RGPD para ser DPD

• En las Administraciones Públicas es posible designar un DPD para varias entidades, órganos u organismos. Ejemplos

– Las Diputaciones podrían prestar este servicio a Ayuntamientos de

pequeño tamaño

– Los Consejos Generales podrían prestárselo a todos o algunos de los

colegios

– Los colegios podrían poner el servicio a disposición de los

(38)

38

Delegado de Protección de Datos (DPD)

¿Cuáles son las funciones del DPD?

• Informar y asesorar el responsable o encargado,

– Asegurar la existencia y mantenimiento de toda la documentación

obligatoria

• Supervisar la puesta en práctica de las políticas de protección de datos, incluidas

– asignación de responsabilidades

– concienciación y formación del personal – las auditorías correspondientes

• Supervisar la aplicación de la normativa de protección de datos, en

particular en lo referente a la PbD, PbDef y derechos de los interesados

• Supervisar la gestión de las violaciones de seguridad

• Supervisar y ofrecer asesoramiento en la realización de sobre EIPD cuando sea necesaria

• Supervisar las respuestas a los requerimientos que pueda formular la autoridad de protección de datos

• Cooperar con las autoridades de protección de datos en el marco de sus tareas

(39)

39

Delegado de Protección de Datos (DPD)

¿Cuáles son las funciones del DPD?

• Actuar como punto de contacto para las autoridades de protección de datos y para los afectados

• Comunicar públicamente su identidad, que deberá incluirse en la información a facilitar a los afectados

• Posible atención de las reclamaciones que les dirijan los afectados

– Especialidades en el Proyecto de LOPD

• Reportar directamente al órgano de administración y dirección las cuestiones que sean necesarias en relación con los tratamiento

– En particular las infracciones que hubieran podido producirse

¿Tiene que intervenir el DPD en caso de solicitudes de acceso a información pública que contengan datos personales?

• En general no existe ninguna norma que exija esta intervención

• En caso de duda podría solicitarse su asesoramiento, dado su conocimiento especializado

(40)

40

Delegado de Protección de Datos (DPD)

¿Cuáles son las cualidades profesionales del DPD?

• El RGPD exige que el DPD «se designe sobre las base de cualidades profesionales y, en particular, conocimientos especializados sobre la legislación y las prácticas en materia de protección de datos y sobre la capacidad para cumplir las tareas a que se refiere el artículo 39»

¿Qué habilidades serían necesarias?

• Experiencia en la legislación y práctica nacional y europea de protección de datos (incluyendo el conocimiento del RGPD)

• Compresión de las actividades de tratamiento de la entidad

• Comprensión de las TIC y de los principios y reglas de seguridad de los datos

• Conocimiento de la organización

• Capacidad de promover la cultura de protección de datos en las organización

¿Se requiere una determinada titulación?

– El RGPD y el Proyecto no la exigen, aunque será posible demostrar las

(41)

41

Delegado de Protección de Datos (DPD)

¿Qué recursos deben facilitarse al DPD por la organización?

• Los recursos deberán facilitarse al DPD teniendo en cuenta la

naturaleza de las operaciones de tratamiento y el tamaño de la organización

• Entre los recursos que deberán facilitarse se encuentran – Apoyo activo de la función del DPD por la alta dirección

– Disponibilidad de tiempo para el adecuado cumplimiento de

sus obligaciones

– Aportación de recursos financieros, personales y de

infraestructura (locales, instalaciones y equipo) adecuados

– Comunicación de su designación • Al personal

• A la autoridad de protección de datos, que mantendrá un

(42)

42

Delegado de Protección de Datos (DPD)

¿Qué recursos deben facilitarse al DPD por la organización?

• Entre los recursos que deberán facilitarse se encuentran

– Acceso a otros servicios dentro de la organización para que los

DPD puedan recibir apoyo esencial, aportaciones o información de esos otros servicios

– Acceso a los tratamientos de datos que se estén llevando a

cabo por la organización, sin que pueda oponerse ningún tipo de obligación de secreto

– Acceso a medios que garanticen su formación y

(43)

43

Delegado de Protección de Datos (DPD)

¿Cuáles son las salvaguardas que permiten al DPD realizar sus tareas de manera independiente?

• No están sometidos a instrucciones de los responsables o

encargados en relación con el ejercicio de sus tareas

• No cabrá despido o sanción por parte del responsable o el

encargado como consecuencia del desempeño de sus tareas

– Salvo que incurran en dolo o negligencia grave

• No puede existir conflicto de intereses con otras tareas u

obligaciones que le pudieran corresponder

– No puede ocupar un puesto dentro de la organización que lo

conduzca a determinar los fines y medios de los tratamientos.

– Cabrían conflictos con otros puestos de alta dirección,

dirección de Recursos Humanos o del departamento de TIC, así como con otros puestos inferiores si pueden implicar la decisión acerca de los fines y medios del tratamiento

(44)

44

Delegado de Protección de Datos (DPD)

¿Cuál es la responsabilidad del DPD?

• Los DPD no son personalmente responsables por el

incumplimiento del RGPD.

• El RGPD deja claro que es el responsable o encargado del

tratamiento quien debe garantizar y demostrar que el tratamiento se realiza de conformidad con el presente Reglamento.

• El artículo 70.2 del Proyecto de LOPD excluye expresamente la

(45)

45

Conclusión

(46)

46

Conclusión

(47)

47