Reglamento General de Protección de Datos (GDPR)

Reglamento General de

Protección de Datos (GDPR)

Ponente: Álvaro Gómez Vieites

• Doctor en Economía y Admón. de Empresas

• Licenciado en Economía

• Licenciado en Admón. y Dirección de Empresas

• Ingeniero de Telecomunicación

• Ingeniero Informático de Gestión

• Executive MBA por la Escuela de Negocios Novacaixagalicia

• Profesor de varias Escuelas de Negocios y Universidades

• Consultor independiente sobre TICs, Innovación Tecnológica y

Sistemas de Información

Protección de Datos Personales

• Cómo garantizar la protección de datos personales y la

privacidad:

➪ Postura de la Unión Europea y otros países, partidarios de una estricta regulación Estatal, con fuertes sanciones para aquellas empresas y

organizaciones que incumplan las normas (“hardlaw”)

✎ También en Latinoamérica se ha reconocido recientemente el derecho fundamental a la protección de los datos personales de los ciudadanos

➪ Países como EEUU que son mucho más permisivos con las

actuaciones de las empresas, y que abogan por una autorregulación de la industria y la elaboración de códigos éticos de conducta, sin la

intervención por parte de los Estados (“softlaw”)

Protección de Datos Personales

• Servicios de venta de datos personales en EEUU

➪ US Search (http://www.ussearch.com/)

¿Tiene el vecino antecedentes penales? ¿Está involucrado mi nuevo compañero de trabajo en una quiebra?

¿Dónde han vivido durante los últimos años los padres del nuevo amigo de mis hijos y qué propiedades tienen?

El nuevo contexto tecnológico

• El marco normativo vigente en Europa se había

definido en 1995

➪ Directiva Europea 46/1995 de 24/11/1995

• Cambios a tener en cuenta desde entonces:

➪ Proliferación del uso de Internet, las nuevas tecnologías, el

comercio electrónico y el marketing digital.

➪ Smartphones, tablets, wearables y geolocalización de

usuarios.

➪ Redes sociales y difusión de datos personales.

El Reglamento Europeo de 2016

• Reglamento (UE) 2016/679 del Parlamento Europeo y

del Consejo de 27 de abril de 2016

➪ Reglamento General de Protección de Datos (GDPR)

✎ Deroga la Directiva 95/46/CE. La UE reconoce que se había aplicado de manera fragmentada en los distintos Estados.

➪ Será aplicable a partir del 25 de mayo de 2018

• Derecho fundamental en la UE: Se confirma que toda

persona tiene derecho a la protección de los datos de

carácter personal que le concierna.

El Reglamento Europeo de 2016

• Ámbito de aplicación

➪ Se aplica al tratamiento (automatizado o no) de datos

personales de personas físicas, independientemente de su

nacionalidad o de su lugar de residencia

✎ Tratamiento de datos personales en el contexto de las actividades de un responsable ubicado en la UE, independientemente de que el tratamiento tenga lugar en la UE o no.

✎ Tratamiento de datos personales de interesados que residan en la UE por parte de un responsable o encargado no establecido en la UE, cuando las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichos interesados en la UE,

El Reglamento Europeo de 2016

• Ámbito de aplicación

➪ No se aplica a personas jurídicas

➪ No se aplica al tratamiento de datos de carácter personal

por una persona física en el curso de una actividad

exclusivamente personal o doméstica.

✎ Actividades personales o domésticas: correspondencia, llevanza de un repertorio de direcciones, actividad en las redes sociales

➪ No se aplica al tratamiento de datos personales por parte de

las autoridades competentes con fines de prevención,

El Reglamento Europeo de 2016

• Definiciones:

➪ Datos personales: toda información sobre una persona

física identificada o identificable («el interesado»)

✎ Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en

particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física,

El Reglamento Europeo de 2016

• Definiciones:

➪ Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos

personales, ya sea por procedimientos automatizados o no, como:

✎ Recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización,

comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción

➪ Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea

El Reglamento Europeo de 2016

• Definiciones:

➪ Consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción

afirmativa, el tratamiento de datos personales que le conciernen. ➪ Responsable del tratamiento: persona física o jurídica, autoridad

pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

El Reglamento Europeo de 2016

• Definiciones:

➪ Elaboración de perfiles: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física.

✎ En particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.

➪ Violación de la seguridad de los datos personales: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no

El Reglamento Europeo de 2016

• Definiciones:

➪ Seudonimización: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar

información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y

Principios fundamentales

• Tratamiento de datos personales:

➪ De manera lícita, leal y transparente.

➪ Recogidos con fines determinados, explícitos y legítimos. ➪ Datos adecuados, pertinentes y limitados en relación con la

finalidad del tratamiento.

➪ Exactos y, si fuera necesario, actualizados.

✎ Se deberán adoptar medidas razonables para suprimir o rectificar los datos personales que sean inexactos con respecto a los fines para los que se

tratan.

➪ Conservación durante no más tiempo del necesario para los fines del tratamiento.

Principios fundamentales

• Licitud del tratamiento de datos personales:

➪ Se cuenta con el consentimiento del interesado para el tratamiento de sus datos personales para uno o varios fines específicos.

➪ El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte.

➪ El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.

➪ El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.

Principios fundamentales

• Consentimiento del interesado:

➪ Ha de ser libre, específico, informado e inequívoco

➪ El responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales

➪ Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.

➪ El interesado tendrá derecho a retirar su consentimiento en cualquier momento.

Principios fundamentales

• Tratamiento de datos de menores:

➪ El tratamiento de los datos personales de un niño se

considerará lícito cuando tenga como mínimo 16 años. Si el

niño es menor de 16 años, tal tratamiento únicamente se

considerará lícito si el consentimiento lo dio o autorizó el

titular de la patria potestad o tutela sobre el niño.

✎ El Reglamento establece que los Estados miembros podrán

establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13. En España actualmente es de 14 años.

➪ El responsable del tratamiento hará esfuerzos razonables

Principios fundamentales

• Categorías especiales de datos personales

➪ Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de

manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

➪ Excepciones a la prohibición del tratamiento de estos datos:

✎ El interesado dio consentimiento explícito para los fines especificados ✎ El tratamiento es necesario para proteger intereses vitales del interesado o

de otra persona física

Principios fundamentales

• Categorías especiales de datos personales

➪ Excepciones a la prohibición del tratamiento de estos datos:

✎ El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos.

✎ El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social.

✎ El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador,

diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los estos servicios.

Derechos del interesado

• Derecho de información

➪ El responsable del tratamiento deberá facilitar la siguiente

información en el momento en que se obtengan los datos:

– La identidad y los datos de contacto del responsable.

– Los datos de contacto del delegado de protección de datos, en su caso. – Los fines del tratamiento a que se destinan los datos personales y la base

jurídica del tratamiento.

– Los destinatarios o las categorías de destinatarios de los datos personales, en su caso.

– Si fuera el caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional.

– El plazo durante el cual se conservarán los datos personales.

Derechos del interesado

• Derecho de acceso

✎ El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos

personales que le conciernen, y en su caso la siguiente información:

– Los fines del tratamiento.

– Las categorías de datos personales de que se trate.

– Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales.

– De ser posible, el plazo previsto de conservación de los datos personales. – Cuando los datos personales no se hayan obtenido del interesado, cualquier

información disponible sobre su origen.

Derechos del interesado

• Derecho de rectificación y de supresión (“derecho al

olvido

”).

✎ El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan.

✎ El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan.

– Cuando haya hecho públicos los datos personales y esté obligado a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la

Derechos del interesado

• Derecho de rectificación y de supresión (“derecho al

olvido

”).

✎ No será de aplicación el derecho de supresión:

– Para ejercer el derecho a la libertad de expresión e información. – Para el cumplimiento de una obligación legal que requiera el

tratamiento de datos que se aplique al responsable del tratamiento. – Por razones de interés público en el ámbito de la salud pública de

conformidad.

– Con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

✎ El responsable del tratamiento comunicará cualquier rectificación o supresión de datos personales a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea

Derechos del interesado

• Derecho a la portabilidad de los datos.

➪ El interesado tendrá derecho a recibir los datos personales

que le incumban, que haya facilitado a un responsable del

tratamiento, en un formato estructurado, de uso común y

lectura mecánica, y a transmitirlos a otro responsable del

tratamiento sin que lo impida el responsable al que se los

hubiera facilitado.

➪ El interesado tendrá derecho a que los datos personales se

transmitan directamente de responsable a responsable

Derechos del interesado

• Derecho a la limitación del tratamiento.

✎ Se aplica cuando lo solicite el interesado y éste haya impugnado la exactitud de los datos personales, o el tratamiento sea ilícito y el interesado se oponga a la supresión y solicite la limitación del uso.

• Derecho de oposición al tratamiento.

✎ El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento.

✎ El responsable del tratamiento dejará de tratar los datos

Responsable del tratamiento

• Responsabilidad del responsable del tratamiento

➪ El responsable del tratamiento aplicará medidas técnicas y

organizativas apropiadas a fin de garantizar y poder

demostrar que el tratamiento cumple con el Reglamento

➪ Protección de datos desde el diseño y por defecto

✎ El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean

necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales

recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.

Tratamientos encargados a terceros

• Tratamiento de datos encargados a un tercero

➪ Cuando se vaya a realizar un tratamiento por cuenta de un

responsable del tratamiento, este elegirá únicamente un

encargado que ofrezca garantías suficientes para aplicar

medidas técnicas y organizativas apropiados, de manera que

el tratamiento cumpla con los requisitos del Reglamento y

garantice la protección de los derechos del interesado.

✎ El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del

responsable.

Tratamientos encargados a terceros

• Contenido de un contrato de tratamiento de datos:

➪ Objeto del contrato, duración, naturaleza y finalidad del

tratamiento, el tipo de datos personales y categorías de

interesados, y las obligaciones y derechos del responsable.

➪ En particular, en el contrato se estipulará que el encargado:

✎ Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable.

✎ Garantizará que las personas autorizadas para tratar datos

personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

Tratamientos encargados a terceros

• Registro de las actividades de tratamiento

➪ Cada responsable llevará un registro de las actividades de

tratamiento efectuadas

bajo su responsabilidad. Dicho

registro deberá contener la siguiente información:

✎ El nombre y los datos de contacto del responsable. ✎ Los fines del tratamiento.

✎ Una descripción de las categorías de interesados y de las categorías de datos personales.

✎ Las categorías de destinatarios a quienes se comunicaron o

comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.

Tratamientos encargados a terceros

• Registro de las actividades de tratamiento

➪ A su vez, cada encargado llevará un registro de todas las

categorías de actividades de tratamiento efectuadas por

cuenta de un responsable

que contenga:

✎ El nombre y los datos de contacto del encargado y de cada responsable por cuenta del cual actúe el encargado.

✎ Las categorías de tratamientos efectuados por cuenta de cada responsable.

✎ En su caso, las transferencias de datos personales a un tercer país u organización internacional.

Tratamientos encargados a terceros

• Registro de las actividades de tratamiento

➪ Los registros deberán constar por escrito.

➪ El responsable o el encargado del tratamiento pondrán el

registro a disposición de la autoridad de control que lo

solicite.

➪ La obligación de registro no se aplicará a ninguna empresa

ni organización que emplee a menos de 250 personas, a

menos que el tratamiento que realice pueda entrañar un

riesgo para los derechos y libertades de los interesados, no

sea ocasional, o incluya categorías especiales de datos

Medidas de Seguridad

• Medidas de seguridad

➪ El responsable y el encargado del tratamiento aplicarán

medidas técnicas y organizativas apropiadas para garantizar

un nivel de seguridad adecuado al riesgo que incluyan:

✎ La seudonimización y el cifrado de datos personales. ✎ La capacidad de garantizar la confidencialidad, integridad,

disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

✎ La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. ✎ Un proceso de verificación, evaluación y valoración regulares de

Medidas de Seguridad

• Evaluación de riesgos:

➪ Al evaluar la adecuación del nivel de seguridad se tendrán

particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción,

pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

• Violación de la seguridad de los datos personales:

➪ El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos

Medidas de Seguridad

• Notificación de una violación de la seguridad de los

datos personales a la autoridad de control

.

➪ La notificación se producirá sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, indicando:

✎La naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados

afectados, y las categorías y el número aproximado de registros de datos personales afectados

✎Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información

✎Describir las posibles consecuencias de la violación de la seguridad.

✎Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales,

Medidas de Seguridad

• Comunicación de una violación de la seguridad de los

datos personales al interesado

➪ Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y

libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida, utilizando un lenguaje claro y sencillo, indicando:

✎ El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. ✎ Las posibles consecuencias de la violación de la seguridad.

Medidas de Seguridad

• Evaluación de impacto relativa a la protección de datos

➪ Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales (PIA:

Privacy Impact Assessment).

✎ Se requerirá en particular en caso de:

– Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos

Medidas de Seguridad

• Evaluación de impacto relativa a la protección de datos

➪ La evaluación deberá incluir como mínimo:

✎ Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento.

✎ Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.

✎ Una evaluación de los riesgos para los derechos y libertades de los interesados.

✎ Las medidas previstas para afrontar los riesgos, incluidas garantías,

medidas de seguridad y mecanismos que garanticen la protección de datos

Medidas de Seguridad

• Delegado de Protección de Datos:

➪ El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

✎ El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

✎ Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.

✎ Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.

Medidas de Seguridad

• Delegado de Protección de Datos:

➪ El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos.

✎ El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

✎ El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Medidas de Seguridad

• Delegado de Protección de Datos:

➪ El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones.

➪ El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

Medidas de Seguridad

• Delegado de Protección de Datos - Funciones:

➪ Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les

incumben.

➪ Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras

disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

➪ Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.

➪ Cooperar con la autoridad de control.

Códigos de conducta y certificación

• Códigos de conducta

➪ Los Estados miembros, las autoridades de control, el Comité Europeo de Protección de Datos y la Comisión promoverán la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del presente Reglamento.

• Certificación

➪ Los Estados miembros, las autoridades de control, el Comité Europeo de Protección de Datos y la Comisión promoverán la creación de

mecanismos de certificación en materia de protección de datos, así como sellos y marcas de protección de datos, a fin de demostrar el cumplimiento del Reglamento en las operaciones de tratamiento de responsables y encargados.

Transferencias internacionales de datos

• Principio general de las transferencias

➪ Sólo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el Reglamento.

• Transferencias basadas en una decisión de adecuación

➪ Podrá realizarse una transferencia de datos personales a un

Transferencias internacionales de datos

• Transferencias mediante garantías adecuadas

➪ Si no estamos en el caso de una transferencia basada en una decisión de adecuación de la Comisión, el responsable o el

encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

✎ Instrumentos jurídicos vinculantes. ✎ Normas corporativas vinculantes.

✎ Cláusulas tipo de protección de datos.

Transferencias internacionales de datos

• Excepciones para situaciones específicas

➪ En ausencia de una decisión de adecuación de conformidad o de garantías adecuadas de conformidad, una transferencia de datos personales a un tercer país u organización internacional

únicamente se realizará si se cumple alguna de las condiciones:

✎ El interesado haya dado explícitamente su consentimiento a la

transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas.

✎ La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento.

✎ La transferencia sea necesaria por razones importantes de interés público. ✎ La transferencia sea necesaria para proteger los intereses vitales del

Autoridades de control independientes

• Autoridad de control

➪ Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante “autoridad de control”) supervisar la aplicación del

Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al

tratamiento y de facilitar la libre circulación de datos personales en la Unión.

➪ Cada autoridad de control actuará con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes:

Comité Europeo de Protección de Datos

• Comité Europeo de Protección de Datos

➪ Se crea este nuevo organismo de la Unión Europea, que gozará de personalidad jurídica propia y que estará representado por su presidente.

➪ El Comité estará compuesto por el director de una autoridad de control de cada Estado miembro y por el Supervisor Europeo de Protección de Datos o sus representantes respectivos.

➪ El Comité actuará con total independencia en el desempeño de sus funciones o el ejercicio de sus competencias:

✎ Supervisar y garantizar la correcta aplicación del Reglamento,

Indemnizaciones y sanciones

• Derecho a la reclamación, la tutela efectiva y la

indemnización

➪ Todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.

➪ Todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos han sido vulnerados como consecuencia de un tratamiento de sus datos personales.

➪ Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del Reglamento

Indemnizaciones y sanciones

• Condiciones generales para la imposición de multas

administrativas

➪ Cada autoridad de control garantizará que la imposición de las

multas administrativas por las infracciones del Reglamento sean efectivas, proporcionadas y disuasorias.

➪ Al decidir la imposición de una multa administrativa y su

cuantía en cada caso individual se tendrá debidamente en cuenta:

✎ La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.

Indemnizaciones y sanciones

• Condiciones generales para la imposición de multas

administrativas

➪ Criterios para definir la cuantía de multa administrativa (cont.):

✎ El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas.

✎ Toda infracción anterior cometida por el responsable o el encargado del tratamiento.

✎ El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos de la infracción. ✎ Las categorías de los datos de carácter personal afectados por la

infracción.

Indemnizaciones y sanciones

• Cuantía de las multas

➪ Multas administrativas de 20.000 000 EUR como máximo o,

tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, por las

siguientes infracciones de:

✎ Los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento.

✎ Los derechos de los interesados.

✎ _{Las transferencias de datos personales a un destinatario en un tercer país o una organización}

internacional.

✎ El incumplimiento de una resolución o de una limitación temporal o definitiva del

tratamiento.

✎ El incumplimiento de las resoluciones de la autoridad de control.

➪ Cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y

Safe Harbour

Safe Harbour

• Anulación del acuerdo Safe Harbour:

➪ El Tribunal de Justicia de la Unión Europea (TJUE), el 6 de

octubre de 2015, declaró nula la Decisión de la Comisión

2000/520/CE que determina el nivel adecuado de

protección de las garantías para las transferencias

internacionales de datos a EE.UU

➪ El sistema Safe Harbour consistía en un sistema

autorregulado para las empresas norteamericanas al que se

podían adherir de forma voluntaria mediante una

declaración pública, y por la que se entendía una

Data centers en la Unión Europea

Privacy Shield

El Privacy Shield, negociado durante más de dos años

entre Bruselas y Washington, "protegerá los datos de

carácter personal de los

Privacy Shield

Otra normativa a considerar

• Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos

• Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección,

investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave

➪ Las compañías aéreas deben facilitar los datos de los pasajeros a las

Comentarios, cuestiones,

sugerencias...