reglamento general
de protección de datos
rgpd
ue 2016/679
la nueva normativa para
En la actualidad, y debido, en gran medida, a la velocidad a la que avanzan las nuevas tecnologías y el mercado interior, han aumentado sustancialmente los flujos transfronterizos, lo que ha provocado un incremento en toda la UE de intercambio de datos entre las personas físicas y jurídicas, ya que el Derecho de la Unión exige a los Estados miembros que cooperen e intercambien datos personales para poder desempeñar sus funciones o llevar a cabo tareas en nombre de una autoridad de otro estado miembro.
¿
por qué un reglamento europeo
?
armonizar
estados
miembros
incremento
intercambio
de datos en
la ue
Para poder garantizar un nivel uniforme y elevado de protección de datos personales y eliminar los obstáculos a la circulación de estos dentro de la UE, debe existir un nivel de protección del tratamiento de dichos datos equivalente para todos los Estados miembros.
Los usuarios deben tener el control de sus propios datos personales y se debe reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las Autoridades Públicas.
El marco legislativo de protección de datos necesitaba una renovación, puesto que actualmente existen nuevos dispositivos y desarrollos tecnológicos que afectan o pueden afectar a la esfera privada de las personas.
El exponencial avance tecnológico requiere un marco sólido para la protección de datos dentro de la Unión Europea, para generar la confianza que permita a la economía digital desarrollarse en todo el mercado interior.
marco único común
mayor control
protección de la
esfera privada
acorde con la
era digital
ventajas de disponer de un reglamento único
Hasta que no sea de aplicación el Reglamento General de Protección de Datos, dos años después de la fecha de entrada en vigor, coexistirán ambas normas (LOPD y RGPD). Está previsto que el Reglamento General de Protección de Datos se vaya desarrollando en cuanto a cuestiones específicas, mediante los denominados Actos Delegados de la Comisión, a través de los cuales se establecerá, con mayor precisión, el marco jurídico aplicable según cada caso.
Los Estados miembros deben observar el nuevo Reglamento como norma preeminente. Además, mientras se prolongue este proceso, deberán aplicar las Leyes nacionales mientras estas no sean modificadas, sustituidas o derogadas.
¿
qué sucede con la lopd
?
Ofrece a las personas físicas de todos los Estados miembros el mismo nivel de derechos, obligaciones y responsabilidades.
Armoniza los tratamientos de datos personales de to-dos los ciudadanos de los Estato-dos miembros median-te la aplicación de una norma única.
Impone sanciones equivalentes para todos los Esta-dos miembros.
Favorece la cooperación efectiva de las correspon-dientes Autoridades de Control de los diversos Esta-dos miembros.
homologa todas las actuaciones
unifica el nivel de protección
equipara las sanciones
las
10
novedades más relevantes
del nuevo reglamento
La publicación definitiva del nuevo Reglamento ha dado paso a un escenario de novedades y cambios. En consecuencia, las empresas y entidades deben revisar obligatoriamente sus actuaciones en materia de protección de datos, para adaptarlas y adecuarlas a los nuevos requerimientos.
Estas son algunas de las novedades más relevantes:
1. Nuevos derechos de los ciudadanos: derecho al olvido y derecho a la portabilidad de los datos de un usuario de un sistema de tratamiento electrónico a otro.
2. Creación de la figura del Delegado de Protección de Datos (DPO · Data Protection Officer).
3. Obligación de realizar Análisis de Riesgos y Evaluaciones de Impacto para determinar el cumplimiento normativo.
4. Obligación de registrar documentalmente las operaciones de tratamiento, tanto por parte de los Responsables del Tratamiento como por los Encargados del Tratamiento.
5. Nuevas notificaciones a la Autoridad de Control: brechas de seguridad y autorización previa para determinados tipos de tratamiento.
6. Nueva recomendación de información al Interesado, mediante un sistema de iconos armonizado para todos los países de la UE.
7. Incremento muy significativo de la cuantía de las sanciones.
8. Aplicación del concepto “Ventanilla Única”, para que los ciudadanos Interesados puedan efectuar trámites, aunque estos afecten a autoridades en la materia de otros Estados miembros.
9. Establecimiento de obligaciones para nuevas categorías especiales de datos.
principios
reglamento general de protección de datos
En la recogida de datos, el Responsable debe facilitar al Interesado toda la información que establece la normativa referente a la identidad del Responsable, finalidad, DPO y ejercicio de derechos.
El Responsable debe aplicar las medidas apropiadas para garantizar que, por defecto, solo sean objeto de tratamiento los datos personales necesarios para cada uno de los fines específicos de este.
El Responsable del Tratamiento solo recabará los datos necesarios y limitados al mínimo para llevar a cabo la finalidad establecida.
02 privacidad por defecto
03 minimización y limitación
01 transparencia
Los tratamientos de datos solo serán lícitos cuando el Interesado haya dado su consentimiento inequívoco para dicho tratamiento. El Responsable de dicho tratamiento debe poder demostrar este consentimiento inequívoco del Interesado. Asimismo, el Interesado tiene derecho a retirar el consentimiento en cualquier momento.
El tratamiento de datos personales que revelen el origen étnico racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, el tratamiento de datos genéticos o relativos a la salud o a la vida sexual, solo será lícito con el consentimiento explícito del Interesado, puesto que se trata de categorías especiales de datos.
Los tratamientos de datos deben ser justos, legales y transparentes. Los datos personales deben ser obtenidos para finalidades específicas, explícitas y legítimas, y no usados para finalidades incompatibles. Igualmente, deben ser adecuados, relevantes y limitados a las finalidades previstas, debiendo ser actualizados o eliminados cuando sean inexactos.
obligaciones
responsable del tratamiento
01
definición y aplicación de medidas03
registro de tratamiento04
adecuar el nivel de seguridad05
gestión de brechas de seguridad02
responsabilidad compartida00
evaluación de impactoEl Responsable del Tratamiento decide la creación del fichero, la fi-nalidad del tratamiento, así como el contenido y el uso de los datos almacenados en ese fichero.
Su condición de Responsable hace que esté sujeto a los reque-rimientos establecidos en la normativa y que, en consecuencia, tenga que observar cuantas obligaciones disponga el Reglamento.
El Responsable del Tratamiento es la persona física y/o jurídica, privada o pública, que decide sobre el tratamiento de los datos. Esta responsabilidad debe desarrollarla durante toda la “vida” del dato, es decir, desde que este entra a formar parte del sistema de información hasta la eliminación del mismo.
derechos de los interesados
ejercicio de derechos
Los derechos de los Interesados ofrecen a los ciudadanos un mayor control sobre sus datos, gracias a la exigencia de contar con el consentimiento inequívoco respecto al tratamiento de sus datos personales, un fácil acceso a estos, los derechos de rectificación, supresión y “al olvido”, el derecho de oponerse, incluso, al uso de datos personales a efectos de la elaboración de perfiles y el derecho a la portabilidad de los datos de un prestador de servicios a otro.
nuevos derechos
El Interesado puede solicitar la restricción del tratamiento de sus datos. En tal caso, los da-tos solo podrán ser objeto de tratamiento si se cuenta con su consentimiento.
El Interesado tiene derecho a recibir los da-tos personales que desee, por parte de un Responsable del Tratamiento con el objetivo de transmitirlos a otro Responsable del Tra-tamiento.
El titular de un dato personal puede solicitar que la información personal que se conside-re obsoleta o no conside-relevante sea borrada, blo-queada o suprimida por parte del Responsa-ble del Tratamiento.
derecho a la portabilidad
derecho a la limitación
derecho a la supresión y olvido
Permite al Interesado obtener información sobre si sus datos personales están siendo objeto de tratamiento, conocer la finalidad del mismo, así como la información dispo-nible sobre el origen de dichos datos y las comunicaciones realizadas o previstas.
Permite que el Interesado pueda solicitar que sus datos personales se modifiquen cuando resulten inexactos o incompletos.
Posibilita al Interesado decidir que no se lle-ve a cabo el tratamiento de sus datos o se ejecute el cese del mismo en caso que este se haya iniciado.
derecho de acceso
derecho de rectificación
derecho de oposición
El RGPD confirma la obligación existente para los Esta-dos miembros de crear una Autoridad de Control inde-pendiente a nivel nacional, que establezca mecanismos para lograr una aplicación coherente de la legislación sobre protección de datos en toda la UE.
Cada Autoridad de Control actúa con total independencia en el cumplimiento de las funciones que le hayan sido encomendadas y en el ejercicio de los poderes que se le hayan conferido, de conformidad con el RGPD, dentro del territorio del Estado miembro al que represente.
En el caso de tratamientos transnacionales, en que estén implicadas varias autoridades nacionales de control, se debe adoptar una única decisión de supervisión. Este principio conocido como “ventanilla única” significa que una empresa con filiales en varios Estados miembros solo tendrá que tratar con la autoridad de protección de datos del Estado miembro en el que se encuentre su establecimiento principal.
02 actuación independiente
01 autoridad propia en cada estado miembro
03 ventanilla única
organismos de control
En el entorno europeo, la protección de datos tiene la consideración de derecho fundamental, de ahí la relevancia que adquieren los diversos organismos, estructuras y grupos de cooperación existentes en este ámbito. El objetivo de estas entidades es disponer del marco jurídico e institucional adecuado que permita garantizar la protección de los datos de las personas, cuyo conocimiento o empleo por parte de terceros pueda afectar a sus derechos.
El organismo de control a nivel europeo es el Consejo Europeo de Protección de Datos. En España la Autoridad de Control es la Agencia Española de Protección de Datos (AEPD).
infracciones y sanciones
Con la entrada en vigor del Reglamento General de Protección de Datos, se ha producido un exponencial incremento en la cuantía de las sanciones impuestas por incumplimiento de la normativa. La diferencia respecto al baremo de sanciones establecido en la LOPD es más que sustancial:
hasta 10.000.000€ o
2% volumen de negocio anual global
del ejercicio financiero anterior
*hasta 20.000.000€ o
4% volumen de negocio anual global
del ejercicio financiero anterior
*entre
900€y
40.000€en caso de infracción leve
entre
40.001€y
600.000€en caso de infracción grave o muy grave
lopd
lopd
Dependiendo del artículo del Reglamento General de Protección de Datos que haya sido vulnerado, y sin perjuicio del derecho de indemnización que el Interesado pudiera reclamar judicialmente, las sanciones impuestas sobre infracciones al RGPD pueden ascender de los 10 millones de euros (o el 2% como máximo del volumen de negocio total anual global) hasta los 20 millones de euros (o el 4% como máximo del volumen de negocio total anual global).
*Conforme al texto publicado a fecha 8 de abril, sobre la posición del Consejo en primera lectura con vistas a la adopción de un Reglamento del Parlamento Europeo y del Consejo.
No aplicar medidas técnicas y organizativas por defecto No disponer del registro de actividades de tratamiento No notificar brechas de seguridad
No realizar la Evaluación de Impacto No designar DPO
No cumplir con los principios del RGPD No cumplir con los derechos de los Interesados
No cumplir con los requisitos para transferencia internacional de datos No cumplir con la resolución de la Autoridad de Control
delegado de protección de datos
El nuevo Reglamento General Europeo de Protección de Datos, entre sus novedades, establece la creación de la figura del Delegado de Protección de Datos (DPO), cuya misión es garantizar la correcta aplicación de la legislación en esta materia, así como controlar la adecuada gestión de los tratamientos de datos desarrollados en el seno de la organización en la que desempeñe dicho cargo.
Desde Conversia le ofrecemos un asesoramiento constante y asumimos de forma integral las funciones y tareas propias de la figura del DPO, con el objetivo de garantizar la total adecuación y cumplimiento de la actividad de su empresa o entidad a la normativa.
somos su dpo experto
Le liberamos de la carga de trabajo y le ofre-cemos un servicio de adecuación completo e integral para asegurar de forma perma-nente la efectividad de las actuaciones a desarrollar.
Asumimos la revisión y actualización de toda la documentación, así como la defini-ción de las medidas y procesos necesarios para garantizar el correcto cumplimiento del Reglamento.
Nuestro sistema de trabajo está dotado de actuaciones periódicas de seguimiento, a través de las cuales le aportamos visibilidad sobre las acciones llevadas a cabo y el avance del proceso.
asumimos una gestión
integral y permanente
Proporcionamos asesoramiento experto al Responsable del Tratamiento sobre las obligaciones de cumplimiento.
Supervisamos las Auditorías que se realicen para velar por la correcta adecuación de la actividad de la empresa o entidad a la normativa vigente.
Asumimos la gestión de cooperación con la Autoridad de Control a solicitud de esta o por iniciativa propia.
Formamos y concienciamos al personal que participa en las operaciones de tratamiento para que esté capacitado para desarrollar su labor conforme al Reglamento.
Supervisamos el resultado del Análisis de Riesgo y de la Evaluación de Impacto, necesarios para determinar el estado en el que se halla la entidad, así como las medidas que deban implantarse.
ASESORAMIENTO
AUDITORÍA
Realizamos las comunicaciones obligato-rias a la Autoridad de Control:
- Identificación del DPO
- Notificar las brechas de seguridad
- Consultar e informar sobre la Evaluación de Impacto
COMUNICACIONES
COOPERACIÓN
FORMACIÓN
RIESGO E IMPACTO
esquema de la adaptación
El Servicio de Asesoramiento y Adaptación al Reglamento General de Protección de Datos de Conversia es una solución integral, que incluye un conjunto de actuaciones orientadas a lograr la máxima garantía de una verdadera adecuación a la normativa. Este proceso cuenta con el aval y la experiencia de una dilatada trayectoria en el sector, así como con el apoyo de una sólida estructura organizativa, que hacen que nuestra compañía sea la mejor alternativa de asesoramiento en materia de cumplimiento normativo.
Tel. 902 877 192 info@conversia.es www.conversia.es
líderes en servicios de cumplimiento normativo
para pymes y profesionales
01.
02.
04.
03.
05.
análisis de riesgo
EVALUACIÓN DE IMPACTO
AUDITORÍA
MEDIDAS Y PROCEDIMIENTOS
ACTUALIZACIONES
Diagnosis inicial para la determinación de los riesgos, en materia de privacidad.
Evaluación del grado de cumplimiento de las obligaciones en materia de
protección de datos.
Inspección o verificación de las medidas implantadas en la entidad. Determinación de las medidas y
procedimientos a implantar, en función de la tipología de datos y tratamientos identificados.
Redacción de los cambios y/o modificaciones pertinentes que deban ser aplicados para mantener un adecuado cumplimiento.
