www.syntagma.org
Syntagma.org
PROTECCIÓN DE DATOS Luis Felipe López Álvarez
Madrid, 20 de marzo de 2018
www.syntagma.org
Datos de personas
físicas
Tratamientos lícitos: fin
legítimo, datos adecuados
(proporciona-les) a la finalidad
Lealtad Derechos (ARCO) y
medidas de seguridad
TRANSPAREN-CIA
SIEMPRE: deber de información
¿De qué hablamos?
www.syntagma.org
Finalidades lícitas sin consentimiento
l Concretas:
l Cumplimiento de
obligaciones legales
l Protección de intereses
vitales de los interesados
l Misiones realizadas en
interés público o en el
ejercicio de poderes
públicos
l Genéricas:
l Intereses legítimos del
responsable: punto de
fricción
l Contratación o medidas
precontractuales
(consentimiento implícito)
l Finalidades compatibles.
www.syntagma.org
Adecuación o proporcionalidad
Datos mínimos
estricta-mente
necesa-rios
para la finalidad
En caso de que exista, ¿cómo
afecta el consentimiento?
www.syntagma.org
LEALTAD
Respetar los derechos de los
titulares de los datos.
Adoptar medidas de seguridad.
Conservación y exactitud
www.syntagma.org
EL DEBER DE INFORMAR
¿Qué información hay que
facilitar y cuándo? (arts.
12-14 RGPD)
www.syntagma.org
Deberes de información de los responsables
Deben informar a (RGPD arts. 11.2, 12 y 13):
Interesados: anonimización, tratamientos, cesiones.
Otros responsables: olvido, modificaciones
A la autoridad de control: violaciones de seg., consultas, NCV
(BCR), TID
www.syntagma.org
Deberes de información de los encargados del
tratamiento Deben informar al responsable:
- de cualquier cambio previsto en la incorporación o sustitución
de otros encargados, dando así al responsable la oportunidad de
oponerse a dichos cambios (RGPD art.28.2).
- del deber de tratar los datos siguiendo instrucciones distintas a
las del responsable (RGPD art.28.3.a).
- si, en su opinión, una instrucción infringe el RGPD u otras
disposiciones en materia de protección de datos de la Unión o de
los Estados miembros. Esta información resultará esencial si
quiere evitar que se le deriven responsabilidades (RGPD
art.28.3.h).
www.syntagma.org
l Deben informar a la
autoridad de control de las
medidas adoptadas y de las
razones de las mismas, en
caso de infracción del código
de conducta por un
responsable o encargado del
tratamiento (RGPD art.41.4).
Deberes de información de los organismos
de supervisión
www.syntagma.org
Deberes de información de las autoridades
de control
l Múltiples
l Informes
l Tratamientos
transfonterizos
l Interesados
l etc.
www.syntagma.org
REQUISITOS FORMALES
Guía para el cumplimiento del
deber de informar
Concisa, transparente, inteligible
y de fácil acceso
www.syntagma.org
CONTENIDO DE LA INFORMACIÓN
Desbordamiento de la
LOPD
Depende de como se
hayan obtenido los datos
11 aspectos comunes
www.syntagma.org
CONTENIDO DE LA INFORMACIÓN
derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada
Datos obtenidos de los interesa-dos
www.syntagma.org
CONTENIDO DE LA INFORMACIÓN
– las categorías de datos personales de que se trate; – la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes accesibles al público
Datos NO obtenidos de los interesa-dos
www.syntagma.org
Complicado ¿verdad?
l El truco del Allium
cepa: la información
por capas
(recomendado)
www.syntagma.org
Información multinivel
l presenta una información básica en un primer
nivel, de forma resumida, en el mismo
momento y en el mismo medio en que se
recojan los datos
l remite a la información adicional en un
segundo nivel, donde se presentarán
detalladamente el resto de las informaciones,
en un medio más adecuado para su
presentación, comprensión y, si se desea,
archivo. l (pág. 5 Guía deber informar. AEPD)
www.syntagma.org
1ª Capa
Source: OECD STI Outlook 2016
Información básica
sobre Protección de
Datos
Responsable ABCDE infraestructuras, S.A.
+ info...
Finalidad Gestión de reclamaciones
+ info...
Legitimación Satisfacción de intereses legítimos de 3º
+ info...
Destinatarios Otras empresas del grupo ABCDE
+ info...
Derechos Acceder, rectificar y suprimir los datos, así como otros derechos, como
se explica en la información adicional + info...
Información adicional Puede consultar la información adicional y detallada sobre Protección
de Datos en nuestra página web: http://www.abcde.com/protc.datos
www.syntagma.org
2ª Capa: RESPONSABLE EJEMPLO
¿Quién es el Responsable del tratamiento de sus datos?
Identidad: ABCDE Infraestructuras S.A. - CIF: A01234566
Dir. postal: Calle del Túnel Ecológico, nro. 5 - 28000 – Madrid
Teléfono: 912345678
Correo elect: [email protected]
Contacto con el Delegado de Protección de Datos:
https://www.abcde.com/protecciondatos/dpd/
www.syntagma.org
2ª Capa: RESPONSABLE
Identidad y datos de contacto del Responsable y, en su caso, de
su representante
Datos de contacto del Delegado de Protección de Datos, en su
caso
Resulta preferible proporcionar siempre una dirección postal
localizada, sin perjuicio de que se facilite, además, un apartado
postal.
La dirección electrónica puede ser, por ejemplo, una dirección de
correo electrónico, o bien una URL que acceda a una aplicación o
formulario electrónico para contactar.
www.syntagma.org
2ª Capa: RESPONSABLE EJEMPLO
¿Quién es el Responsable del tratamiento de sus datos?
Identidad: ABCDE Infraestructuras S.A. - CIF: A01234566
Dir. postal: Calle del Túnel Ecológico, nro. 5 - 28000 – Madrid
Teléfono: 912345678
Correo elect: [email protected]
Contacto con el Delegado de Protección de Datos:
https://www.abcde.com/protecciondatos/dpd/
www.syntagma.org
2ª CAPA: FINALIDAD fines determinados,
explícitos y legítimos
cambio del fin
No incluir finalidades demasiado genéricas o inespecíficas
decisiones automatizadas
elaborar perfiles
Consecu-encias
www.syntagma.org
2ª Capa: FINALIDAD EJEMPLO
¿Con qué finalidad tratamos sus datos personales?
Tratamos la información que nos facilitan las personas interesadas con el
fin de gestionar las quejas y reclamaciones que nos presentan.
Elaboraremos un “perfil del reclamante recalcitrante”, con la información
facilitada. No se tomarán decisiones automatizadas con base en dicho
perfil.
¿Por cuánto tiempo conservaremos sus datos?
Los datos personales proporcionados se conservarán durante el tiempo
imprescindible para atender la queja o reclamación.
www.syntagma.org
2ª CAPA: LEGITIMACIÓN
⇨ejecución de un contrato ⇨cumplimiento de una obligación legal
⇨misión en Interés público o ejercicio de
Poderes Públicos
⇨interés legítimo del Responsable, o de un
tercero
⇨consentimiento del interesado
www.syntagma.org
2ª Capa: LEGITIMACIÓN EJEMPLO
¿Cuál es la legitimación para el tratamiento de
sus datos?
“La base legal para el tratamiento de sus
datos es atender su interés legítimo en la
presentación y resolución de la queja o
reclamación que ha presentado”.
www.syntagma.org
2ª CAPA: DESTINATARIOS
Determinados o no (categorías)
Categorías Encargados Amparo de
las TI
Garantías de las TI
www.syntagma.org
2ª Capa: DESTINATARIOS EJEMPLO
¿A qué destinatarios se comunicarán sus datos?
Los datos se comunicarán a otras empresas del grupo empresarial
Dragados para fines administrativos internos.
Drace dispone de Normas Corporativas Vinculantes, aprobadas por el
Comité Europeo de Protección de Datos y disponibles en:
https://www.brace.com/protecciondatos/bcr/
Brace contrata su infraestructura virtual según un modelo de
“computación en la nube” a través de AWS y al amparo del acuerdo EU-
US Privacy Shield. - Información disponible en:
https://www.privacyshield.gov/participant?id=a2zt0000000TOWQAA4
www.syntagma.org
2ª CAPA: DERECHOS
⇨PARCOL ⇨modo de ejercitarlos
⇨derecho a retirar el
consentimiento
⇨presentar reclamaciones ante la
aepd
www.syntagma.org
2ª Capa: DERECHOS EJEMPLO
¿Cuáles son sus derechos cuando nos facilita sus datos?
Cualquier persona tiene derecho a obtener confirmación sobre si en Drace estamos
tratando datos personales que les conciernan, o no.
Las personas interesadas tienen derecho a acceder a sus datos personales, y a solicitar
la rectificación de los datos inexactos o, en su caso, su supresión cuando, entre otros
motivos, los datos ya no sean necesarios para los fines que fueron recogidos.
En determinadas circunstancias, los interesados podrán solicitar la limitación del
tratamiento de sus datos, en cuyo caso únicamente los conservaremos para el ejercicio o
la defensa de reclamaciones.
En determinadas circunstancias y por motivos relacionados con su situación particular,
los interesados podrán oponerse oponerse al tratamiento de sus datos. Drace dejará de
tratar los datos, salvo por motivos legítimos imperiosos, o el ejercicio o la defensa de
posibles reclamaciones.
www.syntagma.org
2ª CAPA: PROCEDENCIA
⇨cuando no se recaben de los interesados ⇨medios: correo postal y electrónico,
mensajería intantánea
⇨carga de la prueba
⇨no usar locuciones telefónicas
www.syntagma.org
2ª Capa: PROCEDENCIA EJEMPLO
¿Cómo hemos obtenido sus datos ?
Los datos personales que tratamos en ABCDE proceden de otras
empresas del grupo ABCDE.
Las categorías de datos que se tratan son:
o Datos de identificación
o Códigos o claves de identificación
o Direcciones postales o electrónicas
o Información comercial
o Datos económicos
No se tratan datos especialmente protegidos.
www.syntagma.org
PLAZOS
l PLAZO GENERAL DE UN
MES AMPLIABLE OTROS
DOS. SUPUESTOS NO
AMPLIABLES
l POSIBILIDAD DE
INTRODUCIR
LIMITACIONES A ESTOS
DERECHOS
www.syntagma.org
MEDIOS PARA SU EJERCICIO
l Se deben proporcionar
medios electrónicos pero
no resultan obligatorios
l Colisiones entre la LPAC y
el RGPD
l Deber de identificar al
interesado
l Gratuita
www.syntagma.org
Responsabilidad pro activa
l El responsable
sigue siendo
RESPONSABLE
l Evaluación del
riesgo previa al
tratamiento
l Códigos de conducta y
mecanismos de
certificación
www.syntagma.org
La seguridad de los tratamientos
l El DPD l Registro de
actividades de
tratamiento
l Evaluaciones de impacto
www.syntagma.org
La seguridad de los tratamientos
Consejos de la AEPD:
1. Comience por los ficheros inscritos (servicio de
copia de la inscripción).
2. Evaluación de riesgos: herramienta FACILITA
3. Necesidad de registro de actividades
4. Necesidad de EIPD y posible consulta a la AEPD
5. Confidencialidad (acceso), Integridad
(modificaciones), disponibilidad (eliminación,
secuestro)
6. Ejercicio de derechos
Top Related