Presentación de PowerPoint - 3sbizkaia.org · que desarrolla la LOPD (en particular, desarrolla las Medidas de Seguridad previstas en su art. 9)

Román Intxaurtieta Asesoría jurídica e Inspección

[email protected]

REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS

Protección de Datos: Derecho Fundamental Europeo

• Carta de los Derechos Fundamentales de la Unión Europea (2000) – Artículo 1: Dignidad humana – Artículo 2: Derecho a la vida – Artículo 3: Derecho a la integridad de la persona – Artículo 4: Prohibición de la tortura y de las penas o los tratos

inhumanos o degradantes – Artículo 5: Prohibición de la esclavitud y del trabajo forzado – Artículo 6: Derecho a la libertad y a la seguridad – Artículo 7: Respeto de la vida privada y familiar

– Artículo 8: Protección de datos de carácter personal

http://www.avpd.eus #RGPD 2

http://www.avpd.es Protección de Datos - Principios y Derechos 3

Carta de los Derechos Fundamentales de la Unión Europea

• Artículo 8 - Protección de datos de carácter personal 1. Toda persona tiene derecho a la protección de los

datos de carácter personal que la conciernan. 2. Estos datos se tratarán de modo leal, para fines

concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación.

3. El respeto de estas normas quedará sujeto al control de una autoridad independiente.

La Protección de Datos: un Derecho Fundamental

• Art. 18.4 de la Constitución (1978): – “La Ley limitará el uso de la informática para

garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio en su derecho”

• Art. 1 de la Ley Orgánica 15/1999: – “La presente Ley Orgánica tiene por objeto

garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”


Marco Legal de la P.D.


• Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de Octubre, sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos

• Ley Orgánica 15/1999, de 13 de Diciembre, de protección de datos de carácter personal (LOPD)

• Traspone la Directiva 95/46/CE

• Sutituye a la antigua LORTAD de 1992

• Real Decreto 1720/2007, que desarrolla la LOPD (en particular, desarrolla las Medidas de Seguridad previstas en su art. 9)

• Ley 2/2004 de Ficheros de datos de Carácter Personal de Titularidad pública y de

Creación de la Agencia Vasca de Protección de datos (LAVPD):

• Objeto y ámbito de aplicación y sistemática de la ley

• Creación de la AVPD y regulación de la misma

• Establecimiento del régimen sancionador

X X Reglamento (UE) 2016/679 (RGPD) General de Protección de Datos de la Unión Europea

Ley Orgánica …/2018 de Protección de Datos • Adaptación AL RGPD • (no DEL RGPD) Régimen sancionador

X Ley …/2018 (AVPD) • regulación de la

Autoridad Vasca de Protección de Datos

https://www.google.es/trends/explore



El #RGPD: Principios subyacentes

• Reglamento vs Directiva • “Protección de las personas”

– Binomio derecho / deber • “Libre circulación de datos”

– Intra-UE (“Tratamientos transfronterizos”) – Extra-UE (“Transferencias internacionales”)

• “Responsabilidad proactiva” – “Accountability”



Adaptación al #RGPD (y sus consecuencias)


#RGPD: Objetivos

• Artículo 1: 1. (…) 2. El presente Reglamento protege los derechos

y libertades fundamentales de las personas físicas y, en particular su derecho a la protección de los datos personales.

3. La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.


9

ÁMBITO DE APLICACIÓN

• Ámbito de aplicación territorial (art.2) • El presente Reglamento se aplica al

tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

10

Reglamento General de Protección de Datos

• Ámbito de aplicación material (art.2) • El presente Reglamento no se aplica: • Personas jurídicas • Tratamientos domésticos • Personas fallecidas

11


• Ámbito de aplicación territorial (art.3) • El presente Reglamento se aplica al

tratamiento de datos personales: – En el contexto de las actividades de un

establecimiento de un responsable o encargado del tratamiento en la Unión, independientemente que el tratamiento tenga lugar en la Unión o no.

12


• Ámbito de aplicación territorial (art.3) • Se aplica al tratamiento de datos:

– De interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión cuando;

• Se ofrecen bienes o servicios a esos interesados • Se controla su comportamiento • Se aplica el Derecho de la Unión por aplicación

del Derecho Internacional Público

Definiciones #RGPD (art. 4)

• Datos Personales: – “toda información sobre …«el interesado»;

• Interesado (“data subject”) – “Persona física identificada o identificable … cuyos datos

personales (DP) se tratan” • Persona Identificable:

– persona cuya identidad pueda determinarse, directa o indirectamente,

– en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o

– uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;


Definiciones #RGPD

• Tratamiento (“processing’”) – “Cualquier operación (o conjunto de

operaciones) que se hace sobre DP como: • Recogida, Registro, … Conservación • Modificación, Consulta, … Utilización • Comunicación (“Disclosure”), … Difusión • Supresión, … Destrucción



Conceptos empleados en el nuevo RGPD

• “Cesión”: – Concepto LOPD, que no existe en RGPD

• “Comunicación” (“Disclosure”) – No tiene una definición concreta – Es, simplemente, un tipo de tratamiento

• “Tratamiento transfronterizo” (“cross-border”) – Tratamiento realizado en, o que afecta a, más de un

Estado Miembro • “Transferencia a terceros países”

– Aunque no se define, sería una comunicación en la que el destinatario está establecido fuera de la UE



Definiciones y sujetos en el nuevo RGPD

• Sujeto XXX = “persona física o jurídica, autoridad pública, servicio u otro organismo”, … – Responsable del Tratamiento (“Controller”)

• “XXX(*) que, solo o junto con otros, determine los fines y medios del tratamiento”

– Encargado del Tratamiento (“Processor”) • “XXX(*) que trate datos personales por cuenta del responsable

del tratamiento” – Tercero

• “XXX(*) distinto del interesado, del responsable, del encargado y de las personas autorizadas”

• Destinatario (“Recipient”) – “XXX(*) al que se comuniquen datos personales, se trate

o no de un tercero



Definiciones #RGPD

• Elaboración de perfiles: – “Toda forma de tratamiento automatizado de datos

personales consistente en utilizar datos personales – para evaluar determinados aspectos personales de

una persona física en particular para analizar o predecir aspectos relativos al

• rendimiento profesional, • situación económica, • salud, • preferencias personales, intereses, • fiabilidad, comportamiento, • ubicación o movimientos

– de dicha persona física”

Definiciones #RGPD

• Seudonimización – “El tratamiento de datos personales de manera

tal que • ya no puedan atribuirse a un interesado sin utilizar

información adicional, – siempre que dicha información adicional

• figure por separado y • esté sujeta a medidas técnicas y organizativas que

eviten la reidentificación” • Siguen siendo Datos Personales

– Sirve para reducir riesgos – No para excluir la aplicación del RGPD


PRINCIPIOS EN EL #RGP


Evolución de los Principios de la PD

• Directiva 95/46/CE – Los principios se mantienen (+/-)

• LOPD: Cambia la formulación – Corresponden con la “Calidad de los datos”

• Cambio más significativo: – Consentimiento

• de “principio” a “supuesto legitimador”



principios #RGPD relativos al tratamiento

A. Licitud, lealtad y transparencia

B. Limitación de la finalidad

C. Pertinencia y Minimización de datos

D. Exactitud y vigencia

E. Limitación del plazo de conservación

F. Integridad y confidencialidad

Corolario: Responsabilidad proactiva Art. 5 #RGPD



A.- PRINCIPIO DE … …LICITUD….

Art. 5.1. Los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el

interesado («licitud, lealtad y transparencia»);

Art. 6 - Licitud del tratamiento 1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) …


…Licitud (o Legitimidad)…

• El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) consentimiento b) contrato c) obligación legal; d) intereses vitales; e) interés público / ejercicio de poderes públicos f) interés legítimo (excepto Autoridades Públicas)


Art.

6 #

RG

PD


Legitimidad en base al interés legítimo del Responsable

…. • F) interés legítimo

– “el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por

• el responsable del tratamiento • o por un tercero,

– siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales,

• en particular cuando el interesado sea un niño. • Lo dispuesto anteriormente no será de aplicación al

tratamiento realizado – por las autoridades públicas – en el ejercicio de sus funciones.


Art.

6 #

RG

PD


Legitimidad en base al Consentimiento

• A) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

• DEF: «consentimiento del interesado»: … – toda manifestación de voluntad

• libre, específica, informada e inequívoca – por la que el interesado acepta,

• ya sea mediante una declaración • o una clara acción afirmativa,

– el tratamiento de datos personales que le conciernen


Art.

6 #

RG

PD


Condiciones para el Consentimiento

• Libre… – Puede denegarse sin perjuicio – No vinculado a otras prestaciones – Sin desequilibrio interesado / Responsable

• Específica… – Diferenciando operaciones de tratamiento

• Informada… – Identidad responsable y finalidad del tratamiento

• Inequívoca… – Responsable, ser capaz demostrarlo


Condiciones para el consentimiento

1. El responsable deberá ser capaz de demostrarlo 2. Consentimiento claramente distinguido de otros

asuntos – Presentada de forma inteligible y accesible, con

lenguaje claro y sencillo. 3. El interesado tendrá derecho a retirar su

consentimiento en cualquier momento. – Su retirada no afecta a la licitud del tratamiento

previo. – Antes de dar su consentimiento, el interesado será

informado de ello. – Será tan fácil retirar el consentimiento como darlo.


Art.

7 #

RG

PD

Condiciones para el consentimiento

(…) 4. Al evaluar si se ha dado libremente, se

tendrá en cuenta – si la ejecución de un contrato, o la

prestación de un servicio, se supedita al consentimiento …

– al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.


Art.

7 #

RG

PD

El Consentimiento y su “Clara Acción Afirmativa” • Declaración…

– Por escrito, por medios electrónicos, incluso verbalmente • Podría incluir…

– marcar una casilla de un sitio web en internet, – escoger parámetros técnicos para la utilización de servicios – cualquier otra conducta que indique claramente que el

interesado acepta el tratamiento de sus datos. • Por tanto,…

– el silencio, – las casillas ya marcadas – o la inacción no deben constituir consentimiento.



RGPD

• Ley 39/2015 • Art. 28.2. Los interesados no estarán obligados a

aportar documentos que hayan sido elaborados por cualquier Administración, con independencia de que la presentación de los citados documentos tenga carácter preceptivo o facultativo en el procedimiento de que se trate, siempre que el interesado haya expresado su consentimiento a que sean consultados o recabados dichos documentos. Se presumirá que la consulta u obtención es autorizada por los interesados salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso.

#RGPD 30

RGPD

• Ley 40/2015 • Artículo 155. Transmisiones de datos entre Administraciones Públicas. • 1. De conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de

diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo, cada Administración deberá facilitar el acceso de las restantes Administraciones Públicas a los datos relativos a los interesados que obren en su poder, especificando las condiciones, protocolos y criterios funcionales o técnicos necesarios para acceder a dichos datos con las máximas garantías de seguridad, integridad y disponibilidad.

• 2. La disponibilidad de tales datos estará limitada estrictamente a aquellos que son requeridos a los interesados por las restantes Administraciones para la tramitación y resolución de los procedimientos y actuaciones de su competencia, de acuerdo con la normativa reguladora de los mismos.

#RGPD 31

El Consentimiento de los menores

• Oferta de Servicios realizada a niños: – El consentimiento es lícito si tiene 16 años. – Los Estados pueden establecer por ley una edad

inferior a 16 años… – …siempre que esta no sea inferior a 13 años.

• El Proyecto de LOPD establece 13 años – La actual LOPD contempla 14 años – Para menores de 13, requiere el del

titular de la patria potestad o tutela


Consentimientos preexistentes al #rgpd

• “…Cuando el tratamiento se base en el

consentimiento de conformidad con la Directiva 95/46/CE, – no es necesario que el interesado dé su

consentimiento de nuevo – si la forma en que se dio el consentimiento

se ajusta a las condiciones del presente Reglamento…”

– (es decir, “clara acción afirmativa”)


Categorías especiales de datos

• Queda prohibido el tratamiento de los siguientes datos: – Origen étnico o racial – Opiniones políticas – Convicciones religiosas o filosóficas – Afiliación sindical – Datos de Salud – Vida sexual u orientaciones sexuales

y además: – Datos genéticos – Datos biométricos

• salvo cuando concurran una serie de circunstancias

Art.

9 #

RG

PD

Otros datos protegidos

• Datos relativos a la condenas e infracciones penales – Sólo podrán ser tratados por las Autoridades

Públicas • O cuando lo prevea el Derecho de la Unión o de

los Estados Miembros

• No incluye las infracciones administrativas como datos con protección especial

http://www.avpd.es "Privacy by Design" 35

Tratamiento de las Categorías Especiales de Datos

• Circunstancias que legitiman el tratamiento de las Categorías Especiales de datos:

(…)


A.- PRINCIPIO … … DE LEALTAD… Y TRANSPARENCIA

Art. 5.1. Los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el

interesado («licitud, lealtad y transparencia»);








Corolario: Responsabilidad proactiva

Principio de “Lealtad”

• Principio “ético” – “No defraudar las expectativas del interesado”

• Debe quedar totalmente claro: – que se están recogiendo, utilizando,

consultando, … sus datos personales, – así como la medida en que dichos datos son o

serán tratados • No puede informarse vaga o confusamente

– Finalidad o finalidades ocultas – Consecuencias o comunicaciones posteriores


Principio de transparencia

• Obligación de informar: el principio de transparencia exige que – toda información y comunicación relativa al

tratamiento de los datos sea fácilmente accesible y fácil de entender,

– y que se utilice un lenguaje sencillo y claro.” • La obligación de informar

– opera sin requerimiento previo y – su cumplimiento debe poder acreditarse


¿Qué cambia el RGPD sobre el deber de informar?

Antes (LOPD) • La existencia del fichero, su

finalidad y destinatarios. • El carácter obligatorio o no

de la respuesta, así como de sus consecuencias.

• La posibilidad de ejercitar los derechos ARCO.

• La identidad y datos de contacto del responsable del fichero/tratamiento.

Después (RGPD) • Los datos de contacto DPD, • La base jurídica del

tratamiento, • El Plazo de conservación, • Decisiones automatizadas o

elaboración de perfiles, • Transferencias fuera UE • El derecho a presentar una

reclamación ante las APDs



Guía (directrices) sobre el deber de informar

41 http://www.avpd.eus #RGPD

¿Cómo y Dónde informar?

• Con un lenguaje claro y sencillo, • De forma concisa, transparente,

inteligible y de fácil acceso. • Consecuencia: Condiciones del medio

– En el mismo momento de la recogida • Formularios en papel, -- Entrevista telefónica • Formularios Web, -- Aplicaciones móviles • Sensores de actividad -- Sensores de entorno

– En algún momento posterior: • Correo postal • Mensajería electrónica e instantánea • Notificaciones emergentes en servicios y aplicaciones


La respuesta: Información por capas

• Información multinivel consistente en: – presentar información básica en un 1er nivel,

• de forma resumida, • en el mismo momento y • en el mismo medio de recogida,

– remitir a información adicional en un 2º nivel, • de forma detallada, • en un medio más adecuado para su

presentación, comprensión y archivo.


Información agrupada en 5 +1 Epígrafes

1. “Responsable” (del tratamiento) 2. “Finalidad” (del tratamiento) 3. “Legitimación” (del tratamiento) 4. “Destinatarios”(de cesiones o transferenc.) 5. “Derechos”(de las personas interesadas) +1“Procedencia”(de los datos)


Epígrafe Información básica (1ª capa, resumida)

Información adicional (2ª capa, detallada)

“Responsable” Identidad del Responsable del Tratamiento

Datos de contacto del Responsable Identidad y datos de contacto del representante Datos de contacto del Delegado de Protección de Datos

“Finalidad”

Descripción sencilla de los fines del tratamiento, incluso elaboración de perfiles

Descripción ampliada de los fines del tratamiento Plazos o criterios de conservación de los datos Decisiones automatizadas, perfiles y lógica aplicada

“Legitimación” Base jurídica del tratamiento

Detalle de la base jurídica, en casos de obligación legal, interés público o interés legítimo.

Obligación o no de facilitar datos y consecuencias de no hacerlo


Epígrafe Información básica (1ª capa, resumida)

Información adicional (2ª capa, detallada)

“Destinatarios”

Previsión o no de Cesiones

Destinatarios o categorías de destinatarios

Previsión de Transferencias, o no, a terceros países

Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables

“Derechos”) Referencia al ejercicio de derechos.

Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento Derecho a retirar el consentimiento Derecho a reclamar ante la Autoridad de Control

“Procedencia”

Fuente de los datos (cuando no proceden del interesado)

Información detallada del origen de los datos, incluso si proceden de fuentes de acceso público Categorías de datos que se traten


¿Qué cambia el RGPD sobre el deber de informar?

Antes (LOPD) Después (RGPD)


¿qué medios son adecuados para la información adicional?

• En papel: – En el mismo formulario cumplimentado (por ejemplo, en el reverso) – Como un anexo que se entregue al interesado y que pueda conservar – Como información expuesta, en carteles, paneles, trípticos, etc, de los

cuales se pueda solicitar una copia manejable para conservar.

• Inf. electrónica – En una página web específica, accesible desde un hipervínculo – Como un documento disponible para su descarga desde una URL – Como información adjunta a un mensaje electrónico

• Inf. telefónica: – Como una locución, ofertada como complemento o alternativa a una

oferta de disponibilidad de información adicional accesible electrónicamente o remitida, por correo postal o electrónico.


B.- PRINCIPIO DE LIMITACIÓN DE LA FINALIDAD

Art. 5.1. Los datos personales serán: b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; (…) («limitación de la finalidad»);









Principio de Limitación de la finalidad

• Los datos personales serán recogidos con fines – determinados, [concretos] – explícitos y [finalidad] – legítimos, [lícitos]

• y no serán tratados ulteriormente de manera incompatible con dichos fines; – el tratamiento ulterior de los datos personales con

• fines de archivo en interés público, • fines de investigación científica e histórica o • fines estadísticos

– no se considerará incompatible con los fines iniciales


Garantías y excepciones aplicables a determinados “tratamientos Compatibles”

• Artículo 89.- Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos – 1. El tratamiento con

• fines de archivo en interés público, • fines de investigación científica o histórica o • fines estadísticos

– estará sujeto a las garantías adecuadas, con arreglo al presente Reglamento, para los derechos y las libertades de los interesados.

– Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales.

– Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines.

– Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo.


C.- PRINCIPIO DE PERTINENCIA Y MINIMIZACIÓN DE DATOS

Art. 5.1. Los datos personales serán: c)adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);









“minimización de datos”

• Los datos personales serán: – adecuados, – pertinentes y – limitados a lo necesario en relación con los fines

• Cambio respecto de la Directiva: – Directiva: “no excesivos” – RGPD: “limitados a lo necesario” – Matiz que refuerza el contenido del principio. – Frecuente fuente de infracciones en lo sanitario

• Recomendable aplicar “desde el diseño”


D.- PRINCIPIO DE EXACTITUD Y VIGENCIA

Art. 5.1. Los datos personales serán: d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan









Previsión en el Proyecto de LOPD

• Art.4 pLOPD: • No será imputable al responsable la

inexactitud en los casos: – Datos facilitados por el interesado – Facilitados por un “intermediario sectorial” – Consecuencia del “derecho a la portabilidad”


E.- PRINCIPIO DE LIMITACIÓN DEL PLAZO DE CONSERVACIÓN

Art. 5.1. Los datos personales serán: e)mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; (…)









“minimización temporal”

• “Mantenidos de forma que – se permita la identificación de los interesados

durante no más tiempo del necesario para los fines del tratamiento de los datos personales;

– los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con

• fines de archivo en interés público, • fines de investigación científica o histórica • o fines estadísticos,

– sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas a fin de proteger los derechos y libertades del interesado


¿Cuál es el plazo de conservación correcto?

• Buena pregunta… – Caso por caso, según su regulación sectorial

• Ley Autonomía del Paciente • Leyes 39-40/2015 • …

– Responsabilidad derivada del tratamiento • Prescripción/Caducidad de las acciones • Obligaciones derivadas de contratos

– Excelente compilación de Alfonso Pacheco en http://www.privacidadlogica.es/


http://www.privacidadlogica.es/2015/06/01/lopd-y-los-plazos-de-conservacion-de-documentacion-post-colaborativo/

http://www.privacidadlogica.es/2015/06/01/lopd-y-los-plazos-de-conservacion-de-documentacion-post-colaborativo/

F.- PRINCIPIO DE INTEGRIDAD Y CONFIDENCIALIDAD

Art. 5.1. Los datos personales serán: f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, (…)









Integridad y confidencialidad

• Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, – incluida la protección contra el tratamiento no

autorizado o ilícito – y contra su pérdida, destrucción o daño

accidental, • mediante la aplicación de medidas técnicas

u organizativas apropiadas


Se concreta en las Medidas de Seguridad

Art. 32 – Seguridad del Tratamiento 1. Teniendo en cuenta (…) aplicarán medidas (…) seguridad adecuada al riesgo, que incluya, entre otros:

a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar

• confidencialidad, • integridad, • disponibilidad y • resiliencia

permanentes de los sistemas y servicios de tratamiento; c) (…)


COROLARIO: PRINCIPIO DE RESPONSABILIDAD PROACTIVA


“Responsabilidad proActiva”

“El responsable del tratamiento (…) será capaz de – cumplir – demostrar

que trata los datos de acuerdo con los principios de: 1. Licitud, lealtad y transparencia 2. Limitación de la finalidad 3. Minimización de datos 4. Exactitud (y vigencia) 5. Limitación del plazo de conservación 6. Integridad y confidencialidad

(art. 5.2 #RGPD)



Cambio de “esquema mental”

“Cumplimiento pasivo” • Declarar los ficheros en

el Registro… • Incluir una “clausula

LOPD”… • Copiar un “documento de

seguridad”… • ¿Problemas?

– (…salir del paso…) – Reaccionar a posteriori

“Responsabilidad proActiva” • Llevar un registro interno de

tratamientos • Aplicar la Privacidad desde

el diseño • Seguridad basada en

Gestión de Riesgos • Efectuar Evaluaciones de

Impacto sobre la privacidad • Adoptar Códigos de

Conducta y Certificaciones • Disponer de un Delegado

de Protección de Datos



Aspectos clave en la “Responsabilidad proActiva” • Actores y roles

– Responsable del tratamiento (RT) – Encargado / subencargado del tratamiento (ET) – Delegado de protección de datos (DPO’s)

• Nuevos elementos – Registro (interno) de tratamientos – Privacidad desde el diseño y por defecto (PbD) – Seguridad basada en Gestión de Riesgos (ISRM) – Evaluación de Impacto sobre la Privacidad (PIA) – Códigos de Conducta, certificaciones y sellos (CdC)


RESPONSABLES Y ENCARGADOS

DE TRATAMIENTOS


«responsable del tratamiento» o «responsable»:

• “Persona física o jurídica, autoridad pública, servicio u otro organismo,

• que, solo o junto con otros, determine los fines y medios del tratamiento” – Ya no se habla de “Ficheros”, sino de

“Tratamientos” – Establecido en varios estados miembros (con un

“Establecimiento Principal”) – Establecidos fuera de la UE (con designación de

Representante) – Posibilidad de existencia de “Co-Responsables”


Sujeto principal de la “Responsabilidad activa” • “Teniendo en cuenta:

– la naturaleza, el ámbito, el contexto y los fines del tratamiento • así como los riesgos de diversa

– probabilidad y gravedad para los derechos y libertades de las personas físicas,

• el responsable del tratamiento aplicará – medidas técnicas y organizativas apropiadas

• a fin de – garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento.

• Dichas medidas se revisarán y actualizarán cuando sea necesario.”

(art. 24.1 #RGPD)



«encargado del tratamiento» o «encargado»

• “La persona física o jurídica, autoridad pública, servicio u otro organismo

• …que trate datos personales por cuenta del responsable del tratamiento” – Mayor importancia que hasta ahora – La mayor parte de las obligaciones son para

ambos, Responsable y Encargado – Exigencia de garantías técnicas y organizativas – Permitidos los sub-Encargos, con autorización

del Responsable


Responsabilidad respecto del encargado del tratamiento

• Existe un deber de diligencia del Responsable en su elección

• El Encargado del tratamiento debe ofrecer – garantías suficientes respecto a la implantación y el

mantenimiento – de las medidas técnicas y organizativas apropiadas, – de acuerdo con lo establecido en el RGPD.

• Para demostrar que el encargado ofrece garantías suficientes, el RGPD prevé – la adhesión a códigos de conducta o – la posesión de un certificado de protección de datos

pueden servir como mecanismos de prueba.


Exigencia de Contrato o “acto jurídico” vinculante • Constancia por escrito / electrónico • Tratamiento bajo instrucciones

documentadas del Responsable • Garantía y compromiso de confidencialidad • Especificación de medidas de seguridad • Condiciones de subEncargo • Devolución o Destrucción de datos • Realización de auditorías e inspecciones


Directrices de las APDs (AEPD + APDCAT + AVPD) • Las tres Agencias de Protección de Datos

acaban de presentar un documento con directrices sobre el Contrato de Encargo de Tratamientos.

• Disponible en: – https://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php


https://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php

Guía (directrices) sobre los Encargo s de tratamiento

73


4.- ¿Sirve cualquier encargado del tratamiento?

• Existe un deber de diligencia del Responsable en su elección

• El Encargado del tratamiento debe ofrecer – garantías suficientes respecto a la implantación y el

mantenimiento – de las medidas técnicas y organizativas apropiadas, – de acuerdo con lo establecido en el RGPD.

• Para demostrar que el encargado ofrece garantías suficientes, el RGPD prevé – la adhesión a códigos de conducta o – la posesión de un certificado de protección de datos

pueden servir como mecanismos de prueba.

74

5.- ¿Cómo deben regularse las relaciones entre el responsable y el encargado nto?

• La regulación de la relación entre el responsable y el encargado del tratamiento debe establecerse a través de un contrato o de un acto jurídico similar que los vincule.

• El contrato o acto jurídico debe constar por escrito, inclusive en formato electrónico.

75

11.- ¿Cuál es el contenido mínimo de un encargo de tratamiento?

• Como mínimo debe establecerse: – el objeto y la duración, – la naturaleza y la finalidad del tratamiento, – el tipo de datos personales y categorías de

interesados, y – las obligaciones y derechos del Responsable – las obligaciones y derechos del Encargado

76

obligaciones del Encargado que deben quedar recogidas • A.- Las instrucciones del responsable del

tratamiento • B.- El deber de confidencialidad • C.- Las medidas de seguridad • D.- El régimen de la subcontratación • E.- Los derechos de los interesados • F.- La colaboración en el cumplimiento de las

obligaciones del responsable • G.- El destino de los datos al finalizar la prestación • H.- La colaboración con el responsable para

demostrar el cumplimiento

77

Incluye Modelos con opciones para adaptar a cada caso

78

Derechos de las Personas LOPD

• Derechos “ARCO” – Acceso – Rectificación – Cancelación – Oposición

• Ejercicio personalísimo • Se ejercen ante el responsable del fichero

– Su ejercicio ha de ser gratuito • Puede reclamarse la tutela de las Autoridades

de Control APD’s.

Derechos de las Personas RGPD

• -Transparencia de la información (12) • - Información (13 y 14) • - Acceso (15) • - Rectificación (16) • - Supresión (olvido) (17) • - Limitación del tratamiento (18) • - Portabilidad (20) • - Oposición (21) • - Decisiones Individuales automatizadas (22)


• Derecho a la información (art. 13 y 14) • Aumenta la información a facilitar: • DPO, base jurídica del tratamiento,

transferencias internacionales, plazo de conservacion, derecho de revocación del consentimiento, derecho a presentar reclamación ante autoridad de control, existencia de otros derechos…


• Derecho de acceso (art. 15): • “con facilidad y a intervalos razonables” C63 • Confirmación de si se están tratando sus

datos y derecho a obtener información sobre: fines, categorías, destinatarios, plazo de conservación, autoridad de control, otros derechos…

• Derecho a una primera copia gratuita. • Cabe ejercicio por medios electrónicos


• Derecho de rectificación (art. 16): • Sin dilación indebida • Derecho de supresión (art. 17):

– Revocación del consentimiento, obl. legal – Datos innecesarios – Datos tratados ilícitamente – Oposición del interesado – Datos de menores obtenidos en relación con la

oferta de servicios de la Sdad. información

Derecho al olvido REPD

• Artículo 17 Derecho de supresión (“el derecho al olvido”) • … • 2.- Cuando haya hecho públicos los datos personales y esté

obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables con miras a informar a los responsables que estén tratando los datos personales, de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.

Derecho al olvido

• ¿Qué es? ¿Es un derecho nuevo?

• No consiste en un derecho a eliminar cualquier información, afecta a informaciones concretas.

Derecho al olvido

• Análisis caso por caso, prestando atención a las razones del solicitante (pérdida de actualidad de la información, carencia de interés de la misma…)

• Análisis del contenido de la información afectada (si es perjudicial o no, atención a la función de autocompletar…)

Derecho al olvido

• Según alguna doctrina, la finalidad es limitar las posibilidades de manipulación de la información publicada en Internet, a fin de evitar malos usos de la misma.

• «Derecho a empezar de nuevo» (caso de

los indultos)

Derecho al olvido

• Sentencia del TSJUE 13/05/2015 - Posibilidad de eliminar los vínculos

teniendo en cuenta el tiempo transcurrido desde la publicación de la información

- La actividad de Google constituye un tratamiento de datos de carácter personal, del que Google es responsable.

Derecho al olvido

• Es aplicable a Google la Directiva Europea de Protección de Datos.

• En la aplicación del derecho habrá que atender al equilibrio de los intereses en juego. Según la St. el interés de los buscadores no es la libertad de información, sino la publicidad.

Derecho al olvido

• Fundamentos jurídicos del Derecho al olvido: • Derechos de rectificación (no se invoca, pero

podría en casos de información desactualizada), cancelación y oposición.

• El derecho de cancelación se invoca en pocas ocasiones, siendo el de oposición el más utilizado.

Derecho al olvido

• Es el derecho de oposición el más invocado, no siendo la finalidad pretendida la desaparición de la información, sino dificultar la búsqueda de la misma, evitar la fácil asociación de una información determinada con una persona.

Derecho al olvido

• Responsables en el derecho al olvido El editor de la información: a veces el propio interesado (caso de redes sociales) otras veces un medio de comunicación. Prevalece la libertad de información sobre la protección de datos, por ello el derecho al olvido no se puede ejercer, con carácter general, sobre los medios de comunicación.

Derecho al olvido

Los buscadores: No son medios de comunicación. Puede ejercitarse el derecho ante ellos. El buscador no es responsable de lo publicado, pero sí de la indexación. No pueden ser considerados meros intermediarios, hacen accesible la información por una finalidad económica.

Derecho al olvido

Los buscadores (apartado 41 STJUE) “…la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de tratamiento de datos personales…”

Derecho al olvido

Los buscadores (apartado 41 STJUE) “…cuando esa información contiene datos personales … el gestor de un motor de búsqueda debe considerarse responsable de dicho tratamiento…”.

Derecho al olvido REPD (17.3)

• No se aplicará el derecho a la supresión ni el derecho al olvido cuando el tratamiento sea necesario:

• Para ejercer la libertad de expresión e información. • Para el cumplimiento de una obligación legal o de una misión en

interés público • Por razones de interés público en el ámbito de la salud pública. • Con fines de archivo en interés público, investigación científica o

histórica o fines estadísticos. • Para la formulación, ejercicio o defensa de reclamaciones.

Derecho a la limitación del tratamiento (art. 18 REPD)

• “Marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro” (art. 4)

• El interesado tendrá derecho cuando se cumpla alguna de las condiciones siguientes:

A).- El interesado impugne la exactitud de los datos personales. B).- El tratamiento es ilícito y el interesado en lugar de la supresión solicita la limitación del tratamiento. C).- El responsable ya no necesita los datos pero el interesado los necesita para la formulación, ejercicio o defensa de reclamaciones. D).- El interesado se ha opuesto al tratamiento, mientras se verifica si los motivos del responsable prevalecen sobre los del interesado.

• Cuando hay limitación, sólo pueden tratarse los datos con consentimiento del interesado, para la defensa de reclamaciones, protección de derechos de otra persona o interés público.

Derecho a la limitación del tratamiento (art. 18 REPD)

• ¿Cómo hacerlo? (Considerando 67) :

- Trasladando los datos seleccionados a otro sistema de tratamiento.

- Impidiendo el acceso de usuarios a los datos marcados

- Retirando temporalmente los datos publicados de un sitio de internet El hecho de que el tratamiento esté limitado debe indicarse claramente en el sistema. Doble obligación para el responsable del tratamiento: - Informar al interesado antes de que se levante el bloqueo - Informar a los cesionarios de que los datos se han bloqueado

Derecho a la portabilidad de los datos (art. 20 REPD)

• Artículo 20 - El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánicas, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado cuando:

A) El tratamiento esté basado en el consentimiento B) el tratamiento se efectúe por medios automatizados

- Al ejercer su derecho a la portabilidad el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible

- No se aplica para tratamientos en interés público o en ejercicio de poderes públicos


• Este derecho tiene por objeto capacitar a los sujetos sobre

sus propios datos personales, facilitando su capacidad para mover, copiar o transmitir los datos.

• El objetivo es facilitar el cambio de un proveedor de servicios a otro, mejorando así la competencia entre los servicios, facilitando a las personas cambiar de proveedor. También permite la creación de nuevos servicios en el contexto de la estrategia del mercado único digital.


• Este derecho también representa una oportunidad para reequilibrar la relación entre los titulares de los datos y los responsables de los datos, mediante la afirmación de los derechos personales de los individuos y el control de los datos personales que les conciernen.


• Este es un derecho a recibir datos personales

procesados por un responsable de tratamiento de datos y a almacenarlos para uso personal adicional en un dispositivo privado, sin transmitirlo a otro responsable de tratamiento.

• En este sentido, la portabilidad de datos complementa el derecho de acceso. Ofrece una forma sencilla de que los sujetos gestionen y reutilicen datos personales por sí mismos.


• Este es un derecho a transmitir datos personales de un

responsable de tratamiento de datos a otro responsable de tratamiento, sin obstáculos.

• No se trata sólo de obtener y reutilizar, sino también de transmitir los datos a otro proveedor de servicios.

• Se espera que fomente las oportunidades de innovación y el intercambio de datos entre responsables de tratamiento de una manera segura y bajo el control del interesado.


• Medios para hacer posible la portabilidad:

• Los responsables deberían ofrecer una posibilidad de

descarga directa para el titular de los datos.

• También debería permitirse la transmisión directa de los datos a otro responsable (mediante la creación de una aplicación)


• El responsable del tratamiento: • El responsable que responda a la solicitud cumpliendo

con el art. 20 no responderá por los tratamientos que realice el interesado o la empresa que reciba los datos.

• La portabilidad no impone al responsable la obligación de conservar los datos personales durante más tiempo de lo necesario.

• El nuevo responsable no debe tratar datos excesivos, debiendo limitarse el tratamiento a lo necesario para los nuevos objetivos.


• La portabilidad frente a otros derechos: • Cuando el interesado ejerce su derecho a la

portabilidad de los datos, lo hace sin perjuicio de cualquier otro derecho.

• Si el interesado desea ejercer su derecho a la supresión de los datos, la portabilidad de los datos no puede ser utilizada por un responsable como forma de retrasar o rechazar tal supresión.

• La portabilidad de los datos no activa automáticamente el borrado de los datos y no afecta al periodo de conservación original de los datos.


• ¿Cuándo se aplica la portabilidad? • Para que se pueda aplicar la portabilidad, las

operaciones de tratamiento deben basarse: – En el consentimiento de la persona afectada – En un contrato del que el interesado sea parte

• Sólo se aplica a los tratamientos de datos automatizados.

• No se aplica cuando el tratamiento es necesario para una tarea realizada en interés público o en el ejercicio de la autoridad pública.


• ¿Cuáles son los datos a los que afecta?

• Datos personales relativos al interesado: datos que le

conciernen y que ha proporcionado a un responsable. • No debe hacerse una interpretación demasiado

restrictiva. (Ejemplo de los registros telefónicos) • No se aplica a los datos anónimos, sí a los

seudonimizados.


• ¿Cuáles son los datos a los que afecta? • El derecho a la portabilidad no afectará negativamente

a derechos y libertades de terceros. • Por tanto, cuando en un proceso de transmisión de

datos de un titular, se incluyan datos personales de terceros, el nuevo responsable receptor no puede utilizar los datos de terceros transmitidos para sus propios propósitos (proponer productos y servicios de comercialización), constituyendo dicho proceder un tratamiento ilícito e injusto, especialmente si los terceros interesados no están informados y no pueden ejercer sus derechos como titulares de los datos.


• ¿Cuáles son los datos a los que afecta? • El derecho a la portabilidad no afectará negativamente

a derechos y libertades de terceros. • Para reducir aún más los riesgos para otros titulares

cuyos datos personales puedan ser portados, todos los responsables deberían implementar medios que permitan a los interesados seleccionar los datos pertinentes y excluir los datos de terceros, y mecanismos de consentimiento para estos últimos, facilitando la transmisión de datos en aquellos casos en los que las partes tengan voluntad de consentir.


• Modo de satisfacer este derecho: • Se debe informar de este derecho a los interesados,

explicando claramente la diferencia con el derecho de acceso.

• Debe incluirse siempre información sobre este derecho antes del cierre de una cuenta.

• Que proporcionen a los interesados información completa sobre la naturaleza de los datos personales que sean pertinentes para el desempeño de sus servicios para permitir a los usuarios la limitación de los riesgos para terceros y cualquier duplicación innecesaria de datos personales, incluso cuando no están involucrados otros sujetos de datos.


• Modo de satisfacer este derecho: • Problema de la identificación del interesado • El RGPD no impone forma alguna para proceder a la

autenticación del titular. Sin embargo, cuando un responsable del tratamiento tenga dudas razonables sobre la identidad de un interesado, puede solicitar información adicional para confirmar la identidad del mismo.

• Cuando el interesado proporciona información adicional que permita su identificación, el responsable no puede negarse a actuar.


• Modo de satisfacer este derecho: • Problema de volumen: si el tamaño de los datos

solicitados por el titular hace que la transmisión a través de Internet sea problemática, el responsable del tratamiento tendrá que considerar medios alternativos para proporcionarlos (almacenamiento en un CD, DVD u otros medios físicos) para permitir que se transmitan directamente a otro responsable, cuando sea técnicamente posible.


• Plazo para satisfacer este derecho: • Plazo general de un mes desde la solicitud. • Plazo de tres meses para supuestos complejos • Los responsables del tratamiento que prestan servicios

de la sociedad de la información, son técnicamente capaces de cumplir con las solicitudes en un plazo muy breve, por lo que sería adecuado definir el plazo en el que habitualmente se responderá a la solicitud.

• Hay que responder en plazo, aunque se deniegue el derecho.


• Gratuidad del derecho: En el art. 12 se prohíbe el cobro de tasa alguna a menos que se trate de solicitudes manifiestamente infundadas o excesivas, en particular por su carácter repetitivo. Serán muy pocos los supuestos en que el responsable del tratamiento pueda justificar la negativa a entregar la información solicitada o el cobro del canon razonable, siendo muy improbable, que incluso en caso de múltiples solicitudes de portabilidad, se pueda considerar una carga excesiva.


• ¿Cómo se deben proporcionar los datos? Los términos del artículo 20 son “ en un formato estructurado, de uso común y lectura mecánica” En el considerando 68 se aclara que este formato debe ser interoperable Estructurado, de uso común y lectura mecánica, son especificaciones para los medios, mientras que la interoperabilidad es el resultado deseado En todo caso, los formatos que están sujetos a restricciones de licencia costosas, no se considerarán formatos adecuados.


• ¿Cómo se deben proporcionar los datos? • El considerando 68 aclara que «el derecho de la

persona a transmitir o recibir datos personales no debe crear una obligación para los responsables de adoptar o mantener sistemas de procesamiento que sean técnicamente compatibles». Por tanto, la portabilidad de los datos tiene por objeto generar sistemas interoperables, no estrictamente compatibles.

Derecho de oposición (art. 21 RGPD)

• 1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.



• 2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.

• 3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.



• 6. Cuando los datos personales se traten con fines de

investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.


Decisiones individuales automatizadas, incluida la elaboración de perfiles (art. 22

REPD) • Artículo 22

•1.- Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

• Este derecho no se aplica cuando la decisión:

- Es necesaria para la celebración o ejecución de un contrato entre el interesado y el responsable.

- Está autorizada por el Derecho de la Unión o de los Estados miembros.

- Se basa en el consentimiento explícito del interesado.

122

Tratamientos Estadísticos C162

• El presente Reglamento debe aplicarse al tratamiento de datos personales con fines estadísticos. El contenido estadístico, el control de accesos, las especificaciones para el tratamiento de datos personales con fines estadísticos y las medidas adecuadas para salvaguardar los derechos y las libertades de los interesados y garantizar…

123

Tratamientos estadísticos C162

• …la confidencialidad estadística deben ser establecidos, dentro de los límites del presente Reglamento, por el Derecho de la Unión o de los Estados miembros. Por fines estadísticos se entiende cualquier operación de recogida y tratamiento de datos personales necesarios para encuestas estadísticas o para la producción de resultados estadísticos.

124


• Estos resultados estadísticos pueden además utilizarse con diferentes fines, incluidos fines de investigación científica. El fin estadístico implica que el resultado del tratamiento con fines estadísticos no sean datos personales, sino datos agregados, y que este resultado o los datos personales no se utilicen para respaldar medidas o decisiones relativas a personas físicas concretas.

125


• Debe protegerse la información confidencial que las autoridades estadísticas de la Unión y nacionales recojan para la elaboración de las estadísticas oficiales europeas y nacionales.

126

Tratamientos estadísticos Art. 9.2.j) Excepción

• el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado

127

Trat. Estadísticos Art. 14.5.b) Excepción del deber de informar • Cuando la comunicación de dicha información resulte

imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento

128

Trat. Estadísticos Art. 17.3.d) Excepción al derecho de supresión

• No se aplica el derecho a la supresión en tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que este derecho pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento

129

Tratamientos estadísticos derecho de oposición (art. 21.6)

• “Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.”

130

Tratamientos estadístico. Garantías aplicables (art. 89.1)

• 1. El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al presente Reglamento, para los derechos y las libertades de los interesados. Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales.

131


• Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo.

132


• Cuando se traten datos personales con fines de investigación científica o histórica o estadísticos el Derecho de la Unión o de los Estados miembros podrá establecer excepciones a los derechos contemplados en los artículos 15, 16, 18 y 21, sujetas a las condiciones y garantías indicadas en el apartado 1 del presente artículo, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines científicos y cuanto esas excepciones sean necesarias para alcanzar esos fines.

133

Tratamientos estadísticos PLOPD

• 1. El tratamiento de datos de carácter personal llevado a cabo por los organismos que tengan atribuidas las competencias relacionadas con el ejercicio de la función estadística pública se someterá a lo dispuesto en su legislación específica, así como en el Reglamento (UE) 2016/679 y en la presente ley orgánica

134


• 2. La comunicación de los datos a los órganos competentes en materia estadística sólo se entenderá amparada en el artículo 6.1 e) del Reglamento (UE) 2016/679 en los casos en que la estadística para la que se requiera la información venga exigida por una norma de Derecho de la Unión Europea o se encuentre incluida en los instrumentos de programación estadística legalmente previstos.

135


• De conformidad con lo dispuesto en el artículo 11.2 de la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública, serán de aportación estrictamente voluntaria y, en consecuencia, sólo podrán recogerse previo consentimiento expreso de los afectados los datos a los que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679.

136


• 3. Los organismos competentes para el ejercicio de la función estadística pública podrán denegar las solicitudes de ejercicio por los afectados de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 exclusivamente cuando los datos se encuentren amparados por las garantías del secreto estadístico previstas en la legislación estatal o autonómica.

137

Tratamientos estadísticos LEY 39/2015 (Art. 41.4)

• 4. En los procedimientos iniciados de oficio, a los solos efectos de su iniciación, las Administraciones Públicas podrán recabar, mediante consulta a las bases de datos del Instituto Nacional de Estadística, los datos sobre el domicilio del interesado recogidos en el Padrón Municipal, remitidos por las Entidades Locales en aplicación de lo previsto en la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local.

138

• ESKERRIK ASKO

Documents

Presentación de PowerPoint - 3sbizkaia.org · que desarrolla la LOPD (en particular, desarrolla las Medidas de Seguridad previstas en su art. 9)