View
218
Download
0
Category
Preview:
Citation preview
Primer borrador
del RGPD
Opinión del
Supervisor
Europeo de
Protección de
Datos
Opinión 01/2012
del Grupo de
Trabajo del
Artículo 29
Resolución del
Comisario Europeo
de Protección de
Datos sobre la
reforma (en la “Spring
Conference de 2012”)
Informe de Jan
Philipp Albrecht Resolución
legislativa del
Parlamento Europeo:
Adopción de sus
posiciones en una
primera lectura de
texto del RGPD
Orientación
general del
Consejo sobre
el RGPD
Acuerdo del
Consejo, el
Parlamento y la
Comisión
2013 2014 2015 2012
25 de
enero
7 de
marzo
23 de
marzo
3 de
mayo
16 de
enero
12 de
marzo
15 de
junio
17 de
sept.
15 de
dic.
2016
14 de
abril
Declaración del Grupo
de Trabajo del
Artículo 29 sobre las
reuniones del Consejo
en su formación de
Justicia y Asuntos de
Interior (JAI)
Aprobación del
RGPD por el
Parlamento
Europeo
4 de
mayo
Publicación del
RGPD en el
Diario Oficial de
la Unión Europea
2018
Aplicación a partir de 25
de mayo 2
El proceso de aprobación de la norma
PRIVACY BY
DESIGN / BY
DEFAULT
DATA
PROTECTION
OFFICER
BRECHAS DE
SEGURIDAD
EVALUACIONES
DE IMPACTO
(PIA / PRIVACY
IMPACT
ASSESSMENT)
REGISTRO DE
TRATAMIENTOS
SEGURIDAD BASADA
EN LOS RIESGOS,
ENCRIPTACIÓN,
PSEUDONIMIZACIÓN.
5
¿Qué supondrá la aplicación del RGPD?
NUEVO
RÉGIMEN
SANCIONADOR
DERECHO A LA
PORTABILIDAD
INFORMACIÓN
Y
TRANSPARENCIA
CONSENTIMIENTO
A TRAVÉS DE
ACTOS POSITIVOS
173 considerandos 99 artículos 11 capítulos
CAPÍTULO I Disposiciones generales
CAPÍTULO II Principios
CAPÍTULO III Derechos del interesado
CAPÍTULO IV Responsable del tratamiento y encargado del tratamiento
CAPÍTULO V Transferencia de datos personales a terceros países u organizaciones
internacionales
CAPÍTULO VI Autoridades de control independientes
CAPÍTULO VII Cooperación y coherencia
CAPÍTULO VIII Recursos, responsabilidad y sanciones
CAPÍTULO IX Disposiciones relativas a situaciones específicas de tratamiento
CAPÍTULO X Actos delegados y actos de ejecución
CAPÍTULO XI Disposiciones finales
Estructura Reglamento
Dos meses para…
COMUNICACIÓN A
USUARIOS Y A
AUTORIDADES DE
CONTROL DE
BRECHAS DE
SEGURIDAD
CREACIÓN DE UNA
ESTRUCTURA DE
CUMPLIMIENTO
INTERNO Y
ASIGNACIÓN DE
RESPONSABILIDADES
(DPO)
DOCUMENTACIÓN
Y REGISTRRO
OBLIGATORIO DE
TRATAMIENTOS
¿Conozco los tratamientos que lleva a cabo mi
empresa?
ANÁLISIS PREVIO
DE
TRATAMIENTOS
QUE
REPRESENTEN
RIESGOS PARA LA
PRIVACIDAD
(PIAS)
ATENCIÓN DE
NUEVOS
DERECHOS DE LOS
INTERESADOS
(TRANSPARENCIA
E INFORMACIÓN
ADICIONALES;
DERECHO A LA
PORTABILIDAD)
¿Estoy preparado
para evaluar los
riesgos de un nuevo
tratamiento?
¿Cómo afectará el RGPD a la relación con los
clientes?
7
La importancia de la norma
Dato de carácter personal
8
Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo
concerniente a personas físicas identificadas o identificables.
RLOPD
Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier
información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se
considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.
Datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura,
física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su
porcentaje de discapacidad y a su información genética.
Dato disociado: aquél que no permite la identificación de un afectado o interesado.
Datos personales: toda información sobre una persona física identificada o identificable (el «interesado»); se considerará
identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número
de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica,
económica, cultural o social.
Directiva 95/46/CE
LOPD
Datos de carácter personal: Cualquier información referida a una persona física identificadas o identificables.
Datos personales obtenidos a partir de un
tratamiento técnico específico, relativos a las
características físicas, fisiológicas o conductuales de
una persona física que permitan o confirmen la
identificación única de dicha persona, como
imágenes faciales o datos dactiloscópicos
9
Dato biométrico
Datos genético
Datos relativos
a la salud
Datos personales relativos a las características
genéticas heredadas o adquiridas de una persona
física que proporcionen una información única sobre
la fisiología o la salud de esa persona, obtenidos en
particular del análisis de una muestra biológica de tal
persona
Datos personales relativos a la salud física o mental
de una persona física, incluida la prestación de
servicios de atención sanitaria, que revelen
información sobre su estado de salud
Cualquier información relativa a una persona física
identificada o identificable (“el interesado”). Dato personal
Se considerará persona física identificable
toda persona cuya identidad pueda
determinarse, directa o indirectamente,
en particular mediante un identificador,
como por ejemplo un nombre, un número
de identificación, datos de localización, un
identificador en línea o uno o varios
elementos propios de la identidad física,
fisiológica, genética, psíquica, económica,
cultural o social de dicha persona;
RGPD
Dato de carácter personal
10
Categoría ¿Dato personal? Informe/Sentencia
Nombre y apellidos Sí N/A
DNI Sí Informe AEPD 0334/2008
Imagen Sí Comparecencia del Dir. de la AEPD en el
Congreso (2006)
Matrícula del coche Sí, como norma general [Informe AEPD 425/2006 ]
SAN 26-12-2013
Correo electrónico Sí Informe AEPD 15-11-2005
Número de teléfono móvil Depende SAN 17-09-2008
Domicilio Sí Informe AEPD 182/2008
Dirección IP Sí Informe AEPD 327/2003
Firma Sí Informe AEPD 502/2014
Dato de carácter personal
11
Artículo 6. Consentimiento del afectado
1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley
disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones
propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un
contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o
cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los
términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su
tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del
tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del
interesado.
3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le
atribuyan efectos retroactivos.
4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter
personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos
fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable de fichero excluirá del
tratamiento los datos relativos al afectado.
Licitud del tratamiento
LOPD
12
Artículo 7
Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:
a) el interesado ha dado su consentimiento de forma inequívoca, o
b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas
precontractuales adoptadas a petición del interesado, o
c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o
d) es necesario para proteger el interés vital del interesado, o
e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al
responsable del tratamiento o a un tercero a quien se comuniquen los datos, o
f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o
terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades
fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.
Licitud del tratamiento
Directiva 95/46/CE
Para que el tratamiento sea lícito de acuerdo
con el RGPD, debe cumplir con
alguna de las siguientes
previsiones:
Que el tratamiento sea necesario para la ejecución de un contrato.
Que el interesado haya prestado su consentimiento específico para que se traten sus datos personales para uno o varios fines.
Que sea necesario para cumplir con una obligación legal aplicable al responsable del
tratamiento.
Que sea necesario para proteger los intereses vitales del interesado o de una persona
física.
Que sea necesario para el cumplimiento de un interés público o en el ejercicio de
poderes públicos del responsable del tratamiento.
Que sea necesario para satisfacer los intereses legítimos del responsable del
tratamiento o de un tercero, siempre que no contravengan con los intereses, derechos y
libertades del interesado (sobre todo si se trata de un menor).
Licitud del tratamiento (Artículo 6)
RGPD
No aplicable a las Administraciones
Públicas en el ejercicio de sus
funciones
MUCHAS GRACIAS
María Luisa González Tapia
(+34) 91 576 19 00
mlgonzalez@ramoncajal.com
www.ramoncajalabogados.com
Recommended