“Dis
posi
cion
es g
ener
ales
, prin
cipi
os
tr
ansf
eren
cias
inte
rnac
iona
les
de d
atos
en
nu
evo
RGP
Jorn
ada
Adig
itM
adrid
, 14
de m
arzo
de
20
Rafael García GozaloJefe del Departamento Internacional
AEPD
2Agencia Española de Protección de Datos
Armonización
El Reglamento 2016/679 sustituirá a la Directiva 95/46 • Publicado 4 de mayo 2016• Entrada en vigor a los 20 días de publicación• 2 años hasta inicio de aplicación
Reglamento implica una máxima armonización• Aplicación directa, sin necesidad de trasposición• Desplaza normas nacionales en materias que
regula• Regulación de aplicación o desarrollo sólo posible
cuando se prevea expresamente
3Agencia Española de Protección de Datos
Ámbito material de aplicaciónArtículo 2“ 1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. El presente Reglamento no se aplica al tratamiento de datos personales:a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Uniónb) por parte de las instituciones, órganos u organismos de la Uniónc) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del TUEd) por parte de una persona física sin interés lucrativo en el ejercicio de actividades exclusivamente personales o domésticase) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales o de protección y prevención frente a las amenazas a la seguridad pública.”
4Agencia Española de Protección de Datos
Ámbito territorial de aplicación
Artículo 3“1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado del tratamiento en la Unión.
2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere un pago
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión”
5Agencia Española de Protección de Datos
Principios
Principios se mantienen similares a Directiva, con refuerzo en algunos matices
• Licitud, lealtad y transparencia • Limitación de finalidad• Minimización de datos• Exactitud • Limitación del plazo de conservación• Integridad y confidencialidad• Responsabilidad proactiva
6Agencia Española de Protección de Datos
LegitimaciónArt. 6.1
a) consentimiento para el tratamiento de sus datos personales para uno o más fines específicos
b) ejecución de un contrato en el que el interesado es parte o para la aplicación, a petición de éste, de medidas precontractuales
c) cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento
d) intereses vitales del interesado o de otra persona física
e) cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los interés o los derechos y libertades fundamentales del interesado que requieren la protección de los datos personales, en particular, cuando el interesado sea un niño. Ello no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones
7Agencia Española de Protección de Datos
Legitimación
• Se mantiene el principio de limitación de finalidad
• No hay definición de finalidades compatibles
• Hay criterios para identificar finalidades no compatibles cuando tratamiento no esté basado en consentimiento o excepciones art. 23: • Relación con fines originales• Contexto• Naturaleza de los datos • Consecuencias • Garantías adecuadas
• Finalidades de archivo en interés público, investigación científica o histórica y fines estadísticos siempre compatibles
8Agencia Española de Protección de Datos
Control por los interesados
• Consentimiento • Libre, específico, informado e ”inequívoco” A través de
declaraciones o “claras acciones afirmativas”
• Salvaguardas en articulado y considerandos• Situaciones de desequilibrio claro entre interesado y
responsable• Consentimiento conjunto necesario para varias operaciones• Tratamientos vinculados a ejecución de contrato, incluida
prestación de servicio, cuando tratamiento no es necesario para esa ejecución o prestación
• Consentimiento de menores con autorización 16 años, pudiendo EEMM reducir hasta 13
9Agencia Española de Protección de Datos
Datos especialmente protegidos
• Reglamento mantiene enfoque de la Directiva• Lista cerrada de datos “sensibles”• Prohibición de tratamiento salvo
• Consentimiento explícito• Listado de excepciones
• Se requiere base legal para tratar datos en excepciones
• En la lista se incluyen dos nuevos tipos de datos • Genéticos (diferenciados de “datos de salud”)• Datos biométricos dirigidos a identificar unívocamente a
una persona física
• Se prevé expresamente que el registro completo de antecedentes sólo pueda mantenerse bajo control de poderes públicos
10Agencia Española de Protección de Datos
Transferencias Internaciones de Datos
Se mantiene aproximación europea clásica TID sólo posibles si:
•Se cumplen disposiciones de RGPD y•Hay nivel de protección adecuado, o•Se ofrecen garantías suficientes, o •Concurre una causa excepcional
11Agencia Española de Protección de Datos
Transferencias Internaciones de Datos
Principales novedades
• Exportador puede ser Responsable y Encargado
• Transferencias bajo responsabilidad de exportador
• Se incluyen por primera vez las Normas Corporativas Vinculantes (BCR)
• Se regulan TID por sentencia o disposición administrativa
12Agencia Española de Protección de Datos
Nivel adecuado de protección
• Declara la COM (con participación de CEPD)• Puede afectar a país, territorio, sector de tratamiento u
Organización Internacional • Tiene en cuenta normativa, acuerdos internacionales,
existencia de Autoridad Independiente y posibilidades de reacción para afectados
• Decisiones incluirán revisión, al menos cada 4 años• Obligación para la COM de monitorizar situación en
países adecuados• Decisiones vigentes seguirán en vigor hasta que sean
modificadas, sustituidas o derogadas por COM
13Agencia Española de Protección de Datos
Instrumentos de garantías
Sin necesidad de autorización previa
• Instrumentos jurídicamente vinculantes y ejecutables entre autoridades u organismos públicos
• BCR (de responsables y de encargados) • Cláusulas contractuales estándar aprobadas por COM• Cláusulas contractuales estándar aprobadas por una APD
nacional y aceptadas por la COM• Códigos de Conducta y Esquemas de Certificación, que
incluyan compromisos vinculantes y ejecutables del responsable o encargado en el tercer país para aplicar las salvaguardas apropiadas, incluidos los derechos del interesado
14Agencia Española de Protección de Datos
Instrumentos de garantías
• Con autorización previa
• Cláusulas “ad hoc” autorizadas por APD nacional• TID con garantías que no se proporcionen en
instrumento jurídicamente vinculante (MoU)
• Todos estos instrumentos han de contener derechos exigibles y acciones legales efectivas para los interesados
• Decisiones de APD tomadas sobre Directiva 95/46 siguen siendo válidas hasta que las APD las modifiquen, sustituyan o deroguen
15Agencia Española de Protección de Datos
BCR
• Han de ser jurídicamente vinculantes y deben aplicarse y ser cumplidas por todos los miembros del grupo empresarial o unión de empresas
• Han de conferir expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales,
• Han de incluir contenidos indicados no exhaustivamente en RGPD • TI o conjuntos de TI incluidas, tipos de tratamientos, finalidades,
interesados afectados…• Aplicación de los principios generales en materia de protección de
datos, incluidos bases legales, calidad, periodos de retención…• Medidas de seguridad• Derechos de los interesados y medios para ejercerlos• Derecho a presentar una reclamación ante la autoridad de control
competente y ante los tribunales competentes de los Estados miembros y a obtener una reparación
• Funciones de los DPD• Procedimientos de reclamación• Mecanismos internos de supervisión…
16Agencia Española de Protección de Datos
Excepciones
• Clásicas Consentimiento, interés público legalmente reconocido, relación contractual, registros…
• Novedad (Art. 49.1.Segundo párrafo) • Excepción cuando no sea aplicable ninguna otra opción • Transferencias basadas en interés legítimo imperioso del
responsable • no repetitivas y que afecten a un número limitado de
interesados• Necesidad de ponderar derechos e intereses, evaluar
riesgos y aportar garantías • Necesidad de documentar evaluación y garantías• Necesidad de informar a interesados y (¿previamente?) a
APD
17Agencia Española de Protección de Datos
TID no autorizadas por Derecho UE
• Disposición aplicable a •Sentencias judiciales o decisiones
administrativas de un tercer país•Que exijan a responsable o encargado que
transfieran o comuniquen datos
• Sólo será ejecutable•Si se basa en un acuerdo internacional •Sin perjuicio de otros motivos para la
transferencia según el RGPD
18Agencia Española de Protección de Datos
Excepciones específicas a TID
Derecho de la Unión o de los Estados miembros podrá establecer límites a TI
•Respecto a categorías específicas de datos
•Por razones importantes de interés público
•Con comunicación a la COM
19Agencia Española de Protección de Datos
¡Gracias por su atención!