www.syntagma.org
Syntagma.org
PROTECCIÓN DE DATOS
Luis Felipe López Álvarez
Madrid, 20 de marzo de 2018
www.syntagma.org
Datos de personas
físicas
Tratamientos lícitos: fin legítimo, datos
adecuados (proporciona-
les) a la finalidad
Lealtad Derechos (ARCO) y medidas de
seguridad
TRANSPAREN- CIA
SIEMPRE: deber de información
¿De qué hablamos?
www.syntagma.org
Finalidades lícitas sin consentimiento
l
Concretas:
l Cumplimiento de
obligaciones legales
l Protección de intereses vitales de los interesados
l Misiones realizadas en interés público o en el ejercicio de poderes públicos
l
Genéricas:
l Intereses legítimos del responsable: punto de fricción
l Contratación o medidas precontractuales
(consentimiento implícito)
l Finalidades compatibles.
www.syntagma.org
Adecuación o proporcionalidad
Datos mínimos
estricta- mente necesa-rios
para la finalidad
En caso de que exista, ¿cómo
afecta el consentimiento?
www.syntagma.org
LEALTAD
Respetar los derechos de los titulares de los datos.
Adoptar medidas de seguridad.
Conservación y exactitud
www.syntagma.org
EL DEBER DE INFORMAR
¿Qué información hay que facilitar y cuándo? (arts.
12-14 RGPD)
www.syntagma.org
Deberes de información de los responsables
Deben informar a (RGPD arts. 11.2, 12 y 13) :
Interesados: anonimización, tratamientos, cesiones.
Otros responsables: olvido, modificaciones
A la autoridad de control: violaciones de seg., consultas, NCV
(BCR), TID
www.syntagma.org
Deberes de información de los encargados del tratamiento
Deben informar al responsable:
- de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios (RGPD art.28.2).
- del deber de tratar los datos siguiendo instrucciones distintas a las del responsable (RGPD art.28.3.a).
- si, en su opinión, una instrucción infringe el RGPD u otras
disposiciones en materia de protección de datos de la Unión o de
los Estados miembros. Esta información resultará esencial si
quiere evitar que se le deriven responsabilidades (RGPD
art.28.3.h).
www.syntagma.org
l
Deben informar a la
autoridad de control de las medidas adoptadas y de las razones de las mismas, en caso de infracción del código de conducta por un
responsable o encargado del tratamiento (RGPD art.41.4).
Deberes de información de los organismos
de supervisión
www.syntagma.org
Deberes de información de las autoridades de control
l
Múltiples
l Informes
l Tratamientos transfonterizos
l Interesados
l etc.
www.syntagma.org
REQUISITOS FORMALES
Guía para el cumplimiento del deber de informar
Concisa, transparente, inteligible
y de fácil acceso
www.syntagma.org
CONTENIDO DE LA INFORMACIÓN
Desbordamiento de la LOPD
Depende de como se
hayan obtenido los datos
11 aspectos comunes
www.syntagma.org
CONTENIDO DE LA INFORMACIÓN
derecho a retirar el consentimiento en cualquier
momento, sin que ello afecte a la
licitud del
tratamiento basado en el
consentimiento
previo a su retirada
Datos
obtenidos de los
interesa-
dos
www.syntagma.org
CONTENIDO DE LA INFORMACIÓN
– las categorías de datos personales de que se trate;
– la fuente de la que proceden los datos personales y, en su caso, si
proceden de
fuentes accesibles al público
Datos NO obtenidos de los
interesa-
dos
www.syntagma.org
Complicado ¿verdad?
l El truco del Allium
cepa: la información por capas
(recomendado)
www.syntagma.org
Información multinivel
l
presenta una información básica en un primer nivel, de forma resumida, en el mismo
momento y en el mismo medio en que se recojan los datos
l
remite a la información adicional en un segundo nivel, donde se presentarán
detalladamente el resto de las informaciones, en un medio más adecuado para su
presentación, comprensión y, si se desea, archivo.
l
(pág. 5 Guía deber informar. AEPD)
www.syntagma.org
1ª Capa
Source: OECD STI Outlook 2016
Información básica sobre Protección de
Datos
Responsable ABCDE infraestructuras, S.A.
+ info...
Finalidad Gestión de reclamaciones
+ info...
Legitimación Satisfacción de intereses legítimos de 3º
+ info...
Destinatarios Otras empresas del grupo ABCDE
+ info...
Derechos Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional + info...
Información adicional Puede consultar la información adicional y detallada sobre Protección
de Datos en nuestra página web: http://www.abcde.com/protc.datos
www.syntagma.org
2ª Capa: RESPONSABLE EJEMPLO
¿Quién es el Responsable del tratamiento de sus datos?
Identidad: ABCDE Infraestructuras S.A. - CIF: A01234566
Dir. postal: Calle del Túnel Ecológico, nro. 5 - 28000 – Madrid Teléfono: 912345678
Correo elect: info@abcde.com
Contacto con el Delegado de Protección de Datos:
https://www.abcde.com/protecciondatos/dpd/
www.syntagma.org
2ª Capa: RESPONSABLE
Identidad y datos de contacto del Responsable y, en su caso, de su representante
Datos de contacto del Delegado de Protección de Datos, en su caso
Resulta preferible proporcionar siempre una dirección postal localizada, sin perjuicio de que se facilite, además, un apartado postal.
La dirección electrónica puede ser, por ejemplo, una dirección de
correo electrónico, o bien una URL que acceda a una aplicación o
formulario electrónico para contactar.
www.syntagma.org
2ª Capa: RESPONSABLE EJEMPLO
¿Quién es el Responsable del tratamiento de sus datos?
Identidad: ABCDE Infraestructuras S.A. - CIF: A01234566
Dir. postal: Calle del Túnel Ecológico, nro. 5 - 28000 – Madrid Teléfono: 912345678
Correo elect: info@abcde.com
Contacto con el Delegado de Protección de Datos:
https://www.abcde.com/protecciondatos/dpd/
www.syntagma.org
2ª CAPA: FINALIDAD fines
determinados, explícitos y
legítimos
cambio del fin
No incluir finalidades demasiado genéricas o inespecíficas
decisiones automatizadas
elaborar perfiles
Consecu-
encias
www.syntagma.org
2ª Capa: FINALIDAD EJEMPLO
¿Con qué finalidad tratamos sus datos personales?
Tratamos la información que nos facilitan las personas interesadas con el fin de gestionar las quejas y reclamaciones que nos presentan.
Elaboraremos un “perfil del reclamante recalcitrante”, con la información facilitada. No se tomarán decisiones automatizadas con base en dicho perfil.
¿Por cuánto tiempo conservaremos sus datos?
Los datos personales proporcionados se conservarán durante el tiempo
imprescindible para atender la queja o reclamación.
www.syntagma.org
2ª CAPA: LEGITIMACIÓN
⇨ ejecución de un contrato
⇨ cumplimiento de una obligación legal
⇨ misión en Interés público o ejercicio de Poderes Públicos
⇨ interés legítimo del Responsable, o de un tercero
⇨ consentimiento del interesado
www.syntagma.org
2ª Capa: LEGITIMACIÓN EJEMPLO
¿Cuál es la legitimación para el tratamiento de sus datos?
“La base legal para el tratamiento de sus
datos es atender su interés legítimo en la
presentación y resolución de la queja o
reclamación que ha presentado”.
www.syntagma.org
2ª CAPA: DESTINATARIOS
Determinados o no (categorías)
Categorías Encargados Amparo de las TI
Garantías
de las TI
www.syntagma.org
2ª Capa: DESTINATARIOS EJEMPLO
¿A qué destinatarios se comunicarán sus datos?
Los datos se comunicarán a otras empresas del grupo empresarial Dragados para fines administrativos internos.
Drace dispone de Normas Corporativas Vinculantes, aprobadas por el Comité Europeo de Protección de Datos y disponibles en:
https://www.brace.com/protecciondatos/bcr/
Brace contrata su infraestructura virtual según un modelo de
“computación en la nube” a través de AWS y al amparo del acuerdo EU- US Privacy Shield. - Información disponible en:
https://www.privacyshield.gov/participant?id=a2zt0000000TOWQAA4
www.syntagma.org
2ª CAPA: DERECHOS
⇨ PARCOL
⇨ modo de ejercitarlos
⇨ derecho a retirar el consentimiento
⇨ presentar reclamaciones ante la
aepd
www.syntagma.org
2ª Capa: DERECHOS EJEMPLO
¿Cuáles son sus derechos cuando nos facilita sus datos?
Cualquier persona tiene derecho a obtener confirmación sobre si en Drace estamos tratando datos personales que les conciernan, o no.
Las personas interesadas tienen derecho a acceder a sus datos personales, y a solicitar la rectificación de los datos inexactos o, en su caso, su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines que fueron recogidos.
En determinadas circunstancias, los interesados podrán solicitar la limitación del tratamiento de sus datos, en cuyo caso únicamente los conservaremos para el ejercicio o la defensa de reclamaciones.
En determinadas circunstancias y por motivos relacionados con su situación particular,
los interesados podrán oponerse oponerse al tratamiento de sus datos. Drace dejará de
tratar los datos, salvo por motivos legítimos imperiosos, o el ejercicio o la defensa de
posibles reclamaciones.
www.syntagma.org
2ª CAPA: PROCEDENCIA
⇨ cuando no se recaben de los interesados
⇨ medios: correo postal y electrónico, mensajería intantánea
⇨carga de la prueba
⇨no usar locuciones telefónicas
www.syntagma.org
2ª Capa: PROCEDENCIA EJEMPLO
¿Cómo hemos obtenido sus datos ?
Los datos personales que tratamos en ABCDE proceden de otras empresas del grupo ABCDE.
Las categorías de datos que se tratan son:
o Datos de identificación
o Códigos o claves de identificación o Direcciones postales o electrónicas o Información comercial
o Datos económicos
No se tratan datos especialmente protegidos.
www.syntagma.org
l NUEVOS DERECHOS Y NUEVAS FORMAS
DE EJERCICIO
www.syntagma.org
PLAZOS
l
PLAZO GENERAL DE UN MES AMPLIABLE OTROS DOS. SUPUESTOS NO
AMPLIABLES
l
POSIBILIDAD DE INTRODUCIR
LIMITACIONES A ESTOS
DERECHOS
www.syntagma.org
MEDIOS PARA SU EJERCICIO
l
Se deben proporcionar
medios electrónicos pero no resultan obligatorios
l
Colisiones entre la LPAC y el RGPD
l
Deber de identificar al interesado
l
Gratuita
www.syntagma.org
REFERENCIA ESPECÍFICA A NUEVOS DERECHOS
l Olvido l Limitación
l Portabilidad
www.syntagma.org
Responsabilidad pro activa
l
El responsable sigue siendo
RESPONSABLE
l
Evaluación del riesgo previa al tratamiento
l
Códigos de conducta y mecanismos de
certificación
www.syntagma.org
La seguridad de los tratamientos
l
El DPD
lRegistro de
actividades de tratamiento
l
Evaluaciones de impacto
www.syntagma.org
La seguridad de los tratamientos Consejos de la AEPD:
1.
Comience por los ficheros inscritos (servicio de copia de la inscripción).
2.
Evaluación de riesgos: herramienta FACILITA
3.
Necesidad de registro de actividades
4.
Necesidad de EIPD y posible consulta a la AEPD
5.
Confidencialidad (acceso), Integridad
(modificaciones), disponibilidad (eliminación, secuestro)
6.