MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y ACT...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO OBJETIVOS ESPECÍFICOS  Co...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO ESTRUCTURA DIDÁCTICA Intro...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO INTRODUCCIÓN  Recuerda qu...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO INTRODUCCIÓN VALORACIÓN Le...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO INTRODUCCIÓN VALORACIÓN In...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO INTRODUCCIÓN VALORACIÓN • ...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO INTRODUCCIÓN VALORACIÓN ¿H...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.6 MEDIDAS DE CUMPLIMIENTO INTRODUCCIÓN VALORACIÓN • ...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.6 MEDIDAS DE CUMPLIMIENTO INTRODUCCIÓN VALORACIÓN • ...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO INTRODUCCIÓN VALORACIÓN • ...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.1 LAS POLÍTICAS DE PRO...
3. POSICION JURÍDICA DE LOS INTERVINIENTES  Recuerda que: Se debe establecer un contrato llevado a acabo por el responsab...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.6 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.6 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.6 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.6 MEDIDAS DE CUMPLIMIENTO 1.6.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIV...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIV...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIV...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIV...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIV...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIV...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIV...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIV...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIV...
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIV...
Modulo I parte 5 del curso Reglamento Europeo Protección de Datos. Parte del curso gratuito de Protección de Datos que se imparte www.administracionfincas.eu/formacion

  1. 1. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y ACTUALIZACIÓN DE LOPD. MEDIDAS DE CUMPLIMIENTO
  2. 2. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO OBJETIVOS ESPECÍFICOS  Conocer las claves para gestionar a lo intervinientes en el tratamiento y sus representantes para garantizar una buenas relaciones entre ellos y la formalización de sus posiciones jurídicas.  Aprender a identificar y clasificar las actividades para el tratamiento de datos.
  3. 3. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO ESTRUCTURA DIDÁCTICA Introducción 1.6.1. Las políticas de protección de datos. 1.6.2. Posición jurídica de los intervinientes. Responsables, co-responsables, encargados, subencargado del tratamiento y sus representantes. Relaciones entre ellos y formalización. 1.6.3. El registro de actividades de tratamiento: identificación y clasificación del tratamiento de datos.
  4. 4. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO INTRODUCCIÓN  Recuerda que: El Responsable del tratamiento debe aplicar medidas técnicas y organizativas que cumplan los principios de protección de datos. La proactividad es la mayor novedad que presenta el Reglamento (UE) 2016/679. Exige una previa valoración por parte del responsable o del encargado del tratamiento, del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan.
  5. 5. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO INTRODUCCIÓN VALORACIÓN Legitimación y consentimiento • ¿Cuál es la base legal de los tratamientos que realiza y ha documentado de alguna forma el modo en que la ha establecido? • ¿ Está verificado que el consentimiento en el que basa algunos de sus tratamientos reúne los requisitos que exige el RGDP o ha previsto cómo recabar el consentimiento de forma adaptada al RGPD? • ¿Ha incluido la posibilidad de basar las cuestiones litigiosas relativas al tratamiento a procedimiento de arbitraje?
  6. 6. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO INTRODUCCIÓN VALORACIÓN Información y derechos • ¿Presenta la información de forma clara, concisa, transparente y de fácil acceso? • ¿Contiene esa información todos los elementos que prevé el RGPD? • ¿Contiene todos los elementos del RGDP y cuenta con mecanismos para el ejercicio de derechos visibles, accesibles y sencillos, incluyendo como vía de ejercitación de derechos la vía electrónica? • ¿Cuenta con procedimientos que permitan la verificación de la identidad de quienes solicitan acceso o ejercen los demás derechos ARCO, así como responder a los ejercicios de derechos en los plazos previstos por el RGPD? • ¿Sabe si es necesaria la colaboración de los encargados para responder a las solicitudes de los interesados ? ¿Piensa incluir esta colaboración en los contratos de encargo de servicios?
  7. 7. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO INTRODUCCIÓN VALORACIÓN • ¿Los tratamientos de datos que realiza pueden ser objeto del derecho a la portabilidad? ¿Qué formato de lectura mecánica utilizará? •Relaciones responsable-encargado • ¿Cómo va a evaluar si los encargados - contratación de servicios de tratamiento- cuentan con garantías de cumplimiento del RGPD? • ¿Ha revisado los contratos para adaptar lo necesario antes de la aplicación del RGPD?
  8. 8. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO INTRODUCCIÓN VALORACIÓN ¿Ha incluido en los contratos cláusulas por la que se someten las cuestiones litigiosas a procedimiento de arbitraje? • ¿Ha realizado una valoración de riesgos y sobre las medidas de responsabilidad activa en caso de quebrantar derechos y libertades de los interesados? • ¿Cómo va a establecer el registro de actividades de tratamiento en su organización? ¿quién será el responsable de actualizarlo?
  9. 9. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.6 MEDIDAS DE CUMPLIMIENTO INTRODUCCIÓN VALORACIÓN • ¿Puede seguir utilizando las medidas de seguridad previstas en el Reglamento de la LOPD o necesita incluir medidas adicionales para evitar los riesgos detectados? • ¿Qué medidas se activarán si se detectan violaciones de seguridad de los datos? ¿Cómo las detectará? • ¿Cuenta con un plan establecido y un procedimiento de acción en caso de quiebras de seguridad?
  10. 10. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.6 MEDIDAS DE CUMPLIMIENTO INTRODUCCIÓN VALORACIÓN • ¿Dispone de un registro o herramienta similar en que pueda documentar los incidentes de seguridad que se produzcan, aunque no sean notificados a las autoridades de protección de datos? • ¿Ha valorado si los tratamientos que realiza requieren una Evaluación de Impacto sobre la Protección de Datos porque supongan un alto riesgo para los derechos y libertades de los interesados? • ¿Dispone de una metodología para la realización de la Evaluación de Impacto? • Según el tipo de tratamiento que realiza y los resultados del análisis de riesgos previo, ¿tiene que nombrar un Delegado de Protección de Datos? • ¿Ha establecido los criterios para seleccionar al Delegado de Protección de Datos y, en particular, para valorar sus cualificaciones profesionales y sus conocimientos?
  11. 11. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO INTRODUCCIÓN VALORACIÓN • El puesto de DPD tal y como está configurado en su organización, ¿respeta los requisitos de independencia en el ejercicio de las funciones, posición en el organigrama, ausencia de conflicto de intereses y disponibilidad de los recursos necesarios establecidos por el RGPD? • ¿Ha hecho pública la designación del DPD y sus datos de contacto y los ha comunicado a la autoridad de protección de datos? • ¿Ha establecido procedimientos para que los interesados contacten con el DPD?
  12. 12. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.1 LAS POLÍTICAS DE PROTECCIÓN DE DATOS Las políticas de protección de datos constan en el Articulo 4, 24 y 39 del RGPD Responsable o encargado del tratamiento: • Las políticas de protección de datos se encomiendan al RT o ET, cuyo tratamiento se basa conforme a las normas que vinculan las actividades del tratamiento con las técnicas y medidas que ejecutará el RT de protección de datos. •Delegado de protección de datos: • Vigilará las actividades realizadas por RT o RE. • Dictamina las funciones del personal, así como su formación y obligaciones.
  13. 13. 3. POSICION JURÍDICA DE LOS INTERVINIENTES  Recuerda que: Se debe establecer un contrato llevado a acabo por el responsable y firmado por responsable, co- responsable, sub-encargado y representantes. El contrato esta dividido en 5 fragmentos indicado en el RGPD: • Obligaciones generales (Art. 24 a 3 1). • Protección y seguridad de los datos personales(Art.32 y 34). • Evaluación de impacto(Art. 35,36). • DPD (Art.40 y 43). • Códigos de conducta y certificación.
  14. 14. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.6 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES 1.ª Contempla obligaciones generales: • Art. 24. Responsabilidad del Responsable del tratamiento; • Art. 25. Protección de datos desde el diseño y por defecto; • Art. 26. Corresponsables del tratamiento; • Art. 27. Representantes de responsables o encargados del tratamiento no establecidos en la Unión; • Art. 28. Encargado del tratamiento; • Art. 29. Tratamiento bajo la autoridad del responsable o del Encargado del tratamiento; • Art. 30. Registro de las actividades de tratamiento, y • Art. 31. Cooperación con la autoridad de control;
  15. 15. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.6 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES 2.ª Seguridad de los datos personales: • Del Art. 32. Seguridad del tratamiento, al • Art. 34. Comunicación de una violación de la seguridad de los datos personales al interesado; 3.ª Evaluación de impacto relativa a la protección de datos y consulta previa: • Art. 35. Evaluación de impacto relativa a la protección de datos, • Art. 36. Consulta previa;
  16. 16. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES 4.ª Delegado de protección de datos: • Del Art. 37. Designación del delegado de protección de datos, al • Art. 39. Funciones del delegado de protección de datos, y 5.ª Códigos de conducta y certificación: • Art. 40. Códigos de conducta, al • Art. 43. Organismo de certificación.
  17. 17. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES En el contrato se debe especificar cláusulas contractuales tipo en el caso de determinar las relaciones, que figuran en el apartado «Condiciones para le consentimiento y «Condiciones aplicables al niño» (RGPD,7 Y8) • La elaboración del contrato supone establecer unas medidas, y contenidos que deben cumplir, con el fin de conseguir seguridad y acreditación del tratamiento de datos personales establecidos en el RGPD . (Art. 28 del PLOPD*31) . • Los encargados de dicho cumplimiento serán RT o ET . • El RT o ET cooperan con la autoridad de control cuando está lo indique
  18. 18. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES Art.28 del PLOPD *31 indica en el aparatado 2, los riesgos más significativos que pueden ocurrir: • Cunado existan situaciones importantes para los adecuados como: discriminación, robo de identidad, fraude, pérdidas financieras y de confidencialidad, daño para la reputación, destrucción no autorizada de la pseudonimización o perjuicio económico, moral o social . • Cuando no se permita a los afectados llevar a cabo sus derechos ni libertades, o en otras ocasiones, decidir y controlar sus datos personales
  19. 19. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.6 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES Art.28 del PLOPD *31 indica en el aparatado 2, los riesgos más significativos que pueden ocurrir: • Cuando el tratamiento de los datos no se tratase de un incidente ,o de un accesorio de las categorías especiales de datos o de datos relacionados con la comisión de infracciones administrativas. • Cuando se utiliza o crean los perfiles personales de los afectados • Cuando se encargan del tratamiento de datos de grupos de vulnerabilidad de afectados (menores de edad y personas con discapacidad).
  20. 20. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES Art.28 del PLOPD *31 indica en el apartado 2, los riesgos más significativos que pueden ocurrir: • Cuando implique una recogida y tratamiento masivo de datos personales afectando aun gran número de individuos . • Cuando l se transfieran datos personales a terceros Estados sin acreditar un nivel de protección .
  21. 21. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.6 MEDIDAS DE CUMPLIMIENTO 1.6.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES RESPONSBLE DEL TRATAMIENTO (Articulo 24 RGPD) • Ejecutará las medidas técnicas y organizativas para que el tratamiento de los datos cumpla con los establecido en el RGPD, como principio de responsabilidad activa. • Elegirán a los Encargados.  Recuerda que: El Responsable del tratamiento elegirá a los encargados.
  22. 22. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES CO-RESPONSABLE DEL TRATAMIENTO(Articulo 26 RGPD) Se entiende como co-responsable , cuando llevan a cabo dos o más personas físicas la función de responsable. Sus funciones y relaciones serán consensuadas por ambas partes de acuerdo a las obligaciones establecidas por el RGPD, de las que serán informado los interesados.
  23. 23. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES CO-RESPONSABLE DEL TRATAMIENTO(Artículo 26 RGPD) Los interesados tienen el derecho de ir contra alguno de los responsables, independientemente del acuerdo o consenso llevado a cabo por los corresponsables, en cuanto a sus obligaciones.  Recuerda que: El interesado siempre tiene el derecho sobre sus datos, independientemente de los acuerdos entre responsables y corresponsables.
  24. 24. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES ENCARGADO DE TRATAMIENTO(Art. 28 RGPD) El ET , es una persona física (jurídica) que realiza un tratamiento, por cuenta de un RT. Por lo que tiene que verifica que las medidas técnicas y organizativas son adecuadas para su implementación según las condiciones establecidas en el RPD, en materia de protección de datos, derecho y libertades. Si un empleado tiene acceso a la información personal que es administrada por el responsable de fichero debido a su labor, no será ET.
  25. 25. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES ENCARGADO DE TRATAMIENTO(Art. 28 RGPD) La relación profesional entre el encargado y el responsable se realizará por medio de un contrato, que dependerá según el RGPD : del tiempo, finalidad objetivo, origen, tipo de datos personales y categorías de interesado, obligaciones y derechos del responsable  Recuerda que: Siempre debe realizarse un contrato de encargo entre encargado y responsable.
  26. 26. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES ENCARGADO DE TRATAMIENTO(Art. 28 .3 RGPD) «a) tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público.»
  27. 27. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES ENCARGADO DE TRATAMIENTO(Art. 28 .3 RGPD) «b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria; c) tomará todas las medidas necesarias de conformidad con el artículo 32; d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;»
  28. 28. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES ENCARGADO DE TRATAMIENTO(Art. 28 .3 RGPD) «b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria; c) tomará todas las medidas necesarias de conformidad con el artículo 32; d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;»
  29. 29. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES ENCARGADO DE TRATAMIENTO(Art. 28 .3 RGPD) «g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
  30. 30. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES ENCARGADO DE TRATAMIENTO(Art. 28 .3 RGPD) «h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable»
  31. 31. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES En el RGPD establece obligaciones específicas para los Encargados que complementan las obligaciones acordadas en el contrato. Entre las funciones que pueden desempeñar: Elegir DPD, aportar medidas en materia de seguridad en el tratamiento de datos, entre otras. En el contrato se puede especificar cláusulas contractuales tipo en el caso de determinar las relaciones .
  32. 32. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES El Encargado del tratamiento debe cumplir con el Reglamento utilizando fines y medios adecuados para garantizas los derechos y protección de datos, en caso contrario, la responsabilidad de haber incumplido será suya. En el artículo 33 del Capitulo II de PLOPD*31 las funciones del encargado
  33. 33. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES En el artículo 33 del Capitulo II de PLOPD*31 las funciones del encargado: • No se considerará revelación de datos, si el ET accede a los datos personales necesarios para dar respuesta aun servicio responsable • Si el responsable concede a otra persona, en su nombre a establecer relaciones con los afectados, será considerado RT. • El RT decidirá si los datos personales deben ser destruidos o devueltos, una vez finalizado el servicio prestado del encargado • Si existe una obligación legal para no ser destruidos, se devolverán al responsable hasta que continúe la obligación
  34. 34. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES •En el artículo 33 del Capitulo II de PLOPD*31 las funciones del encargado: • El ET , si así lo establece el RT, custodiará los datos que permanecerán bloqueados. • Un órgano de Administración General del Estado puede ejercer como encargado al adquirir sus competencias.  Sabías que: Los Encargados tienen obligaciones propias que establece el RGPD, que no se circunscriben al ámbito del contrato que los une al responsable, y que pueden ser supervisadas separadamente por las autoridades de protección de datos. P.ej. Deben mantener un registro de actividades de tratamiento. Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan. Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.
  35. 35. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES Contratos : • Los contratos del encargado del tratamiento anteriores a la aplicación de nuevo Reglamento ( 25 de mayo del 2018) continuarán vigentes hasta que venza la fecha indicada del contrato .(Artículo 12 de la Ley orgánica 15/1999). En caso de un contrato indefinido deberán transcurrir 4 años desde la fecha. Si los contratos vaticinan la prórroga al término de su vencimiento, se adaptará al momento anterior previsto o vaticinado de la prórroga
  36. 36. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES SUB-ENCARGADO DEL TRATAMIENTO (Articulo 28 RGPD) • El RT autorizará previamente al encargado(inicial) para acudir a otro encargado, cuando esto ocurra, se le adjudicará otro encargado por medio de un contrato, con las mismas obligaciones en materia de protección de datos que rigen los RT y ET • El encargado( inicial) responderá por el incumplimiento de las obligaciones del sub-encargado ante el RT.
  37. 37. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES REPRESENTANTES DE RESPONSABLES NO ESTABLECIDOS EN LA UE (Articulo 27 RGPD) • SI el RT o Et no está establecido en la UE, nombrarán por escrito a un representante para la UE . •No será necesario: • a) Si el tratamiento de los datos es ocasional , la utilización de categorías especiales no es abundante(RGPD 9.1), los datos personales son sobre condenas e infracciones penales (RGPD 10), y si no supone un riesgo para los derechos y libertades que sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas ni autoridades púbicas . • b) a las autoridades u organismos públicos.
  38. 38. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES • El representante estará establecido en uno de los Estados miembros en que estén los interesados cuyos datos personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado. • Se encomendará al representante que atienda a las consultas, en particular, de las autoridades de control y de los interesados, sobre todos los asuntos relativos al tratamiento. • La designación de un representante, se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado REPRESENTANTES DE RESPONSABLES NO ESTABLECIDOS EN LA UE • (Articulo 27 RGPD) • En uno de los Estados miembros donde residen los interesados se encontrará el representante que controlará el uso de los datos . • El representante también atenderá a las autoridades de control e interesados
  39. 39. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO TRATAMIENTO BAJO LA AUTORIDAD DEL ET O ET (Articulo 29 RGPD) El responsable proporcionará una serie de instrucciones que deberán cumplir aquellas personas que, bajo la autoridad y permiso del responsable o encargado , quieran tratar los datos personales y tengan acceso a los mismos.  Recuerda que: La autoridad para diseñar y garantizar el cumplimiento del tratamiento es del responsable o encargado.
  40. 40. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO La notificación de ficheros a las Autoridades de Control que ha sido eliminada por el RGPD, siendo suplida, en cierto modo por el registro de actividades de tratamiento (Art. 30 y considerandos 82 y 89 del RGPD). ¿Quiénes deben contar con el registro? Organizaciones o empresas que empleen a más de 250 trabajadores. Organizaciones o empresas que realicen tratamientos de datos con las siguientes características: 1. Que traten datos de manera frecuente, de manera que el tratamiento pueda entrañar un riesgo para los derechos y libertades del interesado, 2. Que traten categorías especiales de datos o datos relativos a condenas y delitos penales.
  41. 41. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO Los Responsables y Encargados de tratamiento de empresas de menos de 250 trabajadores deben realizar un análisis de riesgos documentado que contemple, como mínimo: 1. Los datos tratados ¿Son datos de categorías especiales? (RGPD 9.1 y 10) 2. ¿Se realiza tratamiento de datos que permiten identificar personas cuya información ha recibido seudonimización? (RGPD 32.1.a) 3. ¿Se realiza tratamiento de datos que permiten el acceso? P.ej. identificadores de usuarios o claves. 4. ¿Se realiza tratamiento de datos que permiten el descifrado de información protegida? (RGPD 32.1.a) 5. El número de interesados cuyos datos se trata ¿Con numerosos? 6. ¿Se realiza tratamiento para la toma de decisiones automatizadas? 7. Tratamiento de datos ¿Incluye la elaboración de perfiles?
  42. 42. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO 8. Tratamiento de datos ¿Se gestionan datos obtenidos del interesado con otros que provienen de distintas fuentes? 9. Los datos obtenidos para una finalidad ¿Van a ser utilizados para otras finalidades? 10. ¿Se realiza un tratamiento de grandes cantidades de datos? 11. ¿Se aplican técnicas BIG DATA? 12. ¿Se aplican técnicas como geo-posición, internet de las cosas, grabación video vigilancia?
  43. 43. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO  Recuerda que: Los responsables o los encargados del tratamiento deberán mantener registros de las actividades de tratamiento que se encuentren bajo su responsabilidad, y estos registros deben constar por escrito, incluso en formato electrónico. Además están obligados a cooperar con la Autoridad de Control, poniendo a su disposición, previa solicitud, dichos registros de modo que puedan servir para supervisar las operaciones de tratamiento.
  44. 44. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO RESPONSABLE La información que debe contener el Registro de Actividades es: • Nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del Delegado de Protección de Datos; • Fines del tratamiento; • Categorías de interesados, de datos personales y de destinatarios; • Transferencias internacionales de datos y la documentación de las garantías adecuadas adoptadas; • Plazos previstos para la supresión de las diferentes categorías de datos; • Descripción general de las medidas técnicas y organizativas de seguridad.
  45. 45. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO ENCARGADO La información que debe contener el Registro de Actividades es: • Nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado y del Delegado de Protección de Datos; • Categorías de datos personales efectuadas por cuenta de cada responsable; • Transferencias internacionales de datos y la documentación de las garantías adecuadas adoptadas; • Descripción general de las medidas técnicas y organizativas de seguridad.
  46. 46. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO INFORMACIÓN NO EXIGIDA PERO RECOMENDABLE • Procedimiento para la obtención del consentimiento y sistema empleado para la conservación y localización del mismo. • Marco o base jurídica aplicable al consentimiento. • Cláusulas de información utilizadas e identificación de los formularios, contratos o documentos que las incluyan, así como el procedimiento utilizado para su conservación y localización. • Áreas o departamentos responsables del tratamiento, identificando la o las personas de contacto responsables. • Áreas o departamentos que pueden realizar tratamiento o acceso a los datos personales. • Información de la/s personas de contacto incluyendo el área o departamento para el ejercicio de los derechos de los interesados. • Volumen de datos tratados y número de personas afectadas.
  47. 47. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO ORGANIZACIÓN Es recomendable organizar los registros sobre los ficheros ya notificados o en base a operaciones concretas (ejemplo. Gestión comercial). El artículo 31 del PLOPD *31 establece que el registro deberá especificar especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo.  Recuerda que: Se deberá comunicar al Delegado de Protección de Datos cualquier adición, modificación o exclusión en el contenido del registro.
  48. 48. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO 1.5.3 EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO Además, los sujetos enumerados en el artículo 77.1 del PLOPD, harán público un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que constará la información establecida en el artículo 30 del Reglamento (UE) 2016/679 y su base legal. a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos. b) Los órganos jurisdiccionales. c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local. d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas. e) Las autoridades administrativas independientes. f) El Banco de España. g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público. h) Las fundaciones del sector público. i) Las Universidades Públicas. j) Los consorcios.

