Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Reglamento General de Protección de Datos

108 views

Published on

Charla a la Universidad de Valencia sobre el nuevo Reglamento General de Protección de Datos. 17 Mayo 2018.

Published in: Law
  • Be the first to comment

  • Be the first to like this

Reglamento General de Protección de Datos

  1. 1. R E G L A M E N T O D E P R O T E C C I Ó N D E D AT O S ¿ C U A L E S S O N L A S I M P L I C A C I O N E S L E G A L E S Y O P E R A T I VA S PA R A L A S E M P R E S A Y L A S I N S T I T U C I O N E S ? M A R T I N A F. F E R R A C A N E P H D S T U D E N T @ H A M B U R G U N I V E R S I T Y F E L L O W @ C O L U M B I A U N I V E R S I T Y, U C D A V I S & E U R O P E A N U N I V E R S I T Y I N S T I T U T E U N I V E R S I TA T D E VA L È N C I A - 1 7 . 0 5 . 2 0 1 8
  2. 2. 2 5 M AY O 2 0 1 8
  3. 3. O U T L I N E 1. C O N T E X T O 2. D E F I N I C I O N E S 3. L O S C A M B I O S M Á S S I G N I F I C A T I V O S 4. I M P L I C A C I O N E S PA R A L A I N V E S T I G A C I Ó N 5. C O N C L U S I O N E S
  4. 4. O U T L I N E 1. C O N T E X T O 2. D E F I N I C I O N E S 3. L O S C A M B I O S M Á S S I G N I F I C A T I V O S 4. I M P L I C A C I O N E S PA R A L A I N V E S T I G A C I Ó N 5. C O N C L U S I O N E S
  5. 5. C O N T E X T O - NUEVOS ADVANCES TECNOLOGICOS - TRATADO DE LISBOA
  6. 6. C O N T E X T O - NUEVOS ADVANCES TECNOLOGICOS - TRATADO DE LISBOA - REVELACIONES DE SNOWDEN - SCHREMS - GOOGLE-SPAIN - DIGITAL RIGHTS IRELAND
  7. 7. O U T L I N E 1. C O N T E X T O 2. D E F I N I C I O N E S 3. L O S C A M B I O S M Á S S I G N I F I C A T I V O S 4. I M P L I C A C I O N E S PA R A L A I N V E S T I G A C I Ó N 5. C O N C L U S I O N E S
  8. 8. D E F I N I C I O N E S - DIRECTIVA vs REGLAMENTO - INTERESADO & DATOS PERSONALES (Art. 4, Con. 26 y 30) “Toda información sobre una persona física identificada o identificable («el interesado»);
  9. 9. D E F I N I C I O N E S “Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona” (Art. 4) - DIRECTIVA vs REGLAMENTO - INTERESADO & DATOS PERSONALES (Art. 4, Con. 26 y 30)
  10. 10. D E F I N I C I O N E S “Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona” (Art. 4) - DIRECTIVA vs REGLAMENTO - INTERESADO & DATOS PERSONALES (Art. 4, Con. 26 y 30)
  11. 11. D E F I N I C I O N E S “Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable.” (Considerando 26) “Los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo.“ (Considerando 26) - DIRECTIVA vs REGLAMENTO - INTERESADO & DATOS PERSONALES (Art. 4, Con. 26 y 30)
  12. 12. D E F I N I C I O N E S - DIRECTIVA vs REGLAMENTO - INTERESADO & DATOS PERSONALES (Art. 4, Con. 26 y 30) - RESPONSABLE DEL TRATAMIENTO (Art. 4.7) “La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento (…)"
  13. 13. D E F I N I C I O N E S - DIRECTIVA vs REGLAMENTO - INTERESADO & DATOS PERSONALES (Art. 4, Con. 26 y 30) - RESPONSABLE DEL TRATAMIENTO (Art. 4.7) - ENCARGADO DEL TRATAMIENTO (Art. 4.8) “La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.
  14. 14. O U T L I N E 1. C O N T E X T O 2. D E F I N I C I O N E S 3. L O S C A M B I O S M Á S S I G N I F I C A T I V O S 4. I M P L I C A C I O N E S PA R A L A I N V E S T I G A C I Ó N 5. C O N C L U S I O N E S
  15. 15. Á M B I T O T E R R I T O R I A L D E A P L I C A C I Ó N ( A R T. 3 ) Tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no Tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión
  16. 16. - PRINCIPIO DE LICITUD, LEALTAD Y TRANSPARENCIA - PRINCIPIO DE LIMITACIÓN DE LA FINALIDAD - PRINCIPIO DE MINIMIZACIÓN DE DATOS - PRINCIPIO DE EXACTITUD - PRINCIPIO DE LIMITACIÓN DEL PLAZO DE CONSERVACIÓN - PRINCIPIO DE INTEGRIDAD Y CONFIDENCIALIDAD - PRINCIPIO DE RESPONSABILIDAD PROACTIVA P R I N C I P I O S R E L A T I V O S A L T R A TA M I E N T O ( A R T. 5 )
  17. 17. - CONSENTIMIENTO DEL INTERESADO - NECESARIO PARA LA EJECUCIÓN DE UN CONTRATO - NECESARIO PARA EL CUMPLIMIENTO DE UNA OBLIGACIÓN LEGAL - INTERESES LEGÍTIMOS PERSEGUIDOS POR EL RESPONSABLE DEL TRATAMIENTO - NECESARIO PARA PROTEGER INTERESES VITALES DEL INTERESADO O DE OTRA PERSONA FÍSICA - INTERÉS PÚBLICO - (…) L I C I T U D D E L T R A TA M I E N T O ( A R T. 6 )
  18. 18. - SIGUE SIENDO UNA DE LAS CONDICIONES PARA LA LICITUD DEL TRATAMIENTO (ART. 6 (1)) - NATURALEZA DEL CONSENTIMIENTO ESTÁ MÁS RESTRINGIDA (ART. 4 (11), ART. 7) “ «Consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen” ART. 4 (11)) C O N S E N T I M I E N T O
  19. 19. - SIGUE SIENDO UNA DE LAS CONDICIONES PARA LA LICITUD DEL TRATAMIENTO (ART. 6 (1)) - NATURALEZA DEL CONSENTIMIENTO ESTÁ MÁS RESTRINGIDA (ART. 4 (11), ART. 7) - LIBREMENTE PRESTADO (CONSIDERANDO 42 Y 43) C O N S E N T I M I E N T O “(42) El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.”
  20. 20. - SIGUE SIENDO UNA DE LAS CONDICIONES PARA LA LICITUD DEL TRATAMIENTO (ART. 6 (1)) - NATURALEZA DEL CONSENTIMIENTO ESTÁ MÁS RESTRINGIDA (ART. 4 (11), ART. 7) - LIBREMENTE PRESTADO (CONSIDERANDO 42 Y 43) “CONSIDERANDO (43) Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto (…)” C O N S E N T I M I E N T O
  21. 21. - SIGUE SIENDO UNA DE LAS CONDICIONES PARA LA LICITUD DEL TRATAMIENTO (ART. 6 (1)) - NATURALEZA DEL CONSENTIMIENTO ESTÁ MÁS RESTRINGIDA (ART. 4 (11), ART. 7) - LIBREMENTE PRESTADO (CONSIDERANDO 42 Y 43) “(43) Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública (…)” C O N S E N T I M I E N T O
  22. 22. - SIGUE SIENDO UNA DE LAS CONDICIONES PARA LA LICITUD DEL TRATAMIENTO (ART. 6 (1)) - NATURALEZA DEL CONSENTIMIENTO ESTÁ MÁS RESTRINGIDA (ART. 4 (11), ART. 7) - LIBREMENTE PRESTADO (CONSIDERANDO 42 Y 43) - INFORMADO (CONSIDERANDO 42) C O N S E N T I M I E N T O “ (…) debe proporcionarse un modelo de declaración de consentimiento (…) con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas.”
  23. 23. “Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.” T R A TA M I E N T O D E C A T E G O R Í A S E S P E C I A L E S D E D A T O S P E R S O N A L E S ( A R T. 9 )
  24. 24. T R A TA M I E N T O D E C A T E G O R Í A S E S P E C I A L E S D E D A T O S P E R S O N A L E S ( A R T. 9 ) EXCEPCIONES: - CONSENTIMIENTO EXPLÍCITO - DERECHO LABORAL Y PROTECCIÓN SOCIAL - NECESARIO PARA PROTEGER INTERESES VITALES DEL INTERESADO - DATOS PÚBLICOS - SALUD PÚBLICA - ARCHIVO EN INTERÉS PÚBLICO - (…)
  25. 25. —> EXPANDIDO: - El plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo; - La existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento; - El derecho a presentar una reclamación ante una autoridad de control; - Cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen; - La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. D E R E C H O D E A C C E S O D E L I N T E R E S A D O ( A R T. 1 5 )
  26. 26. “El interesado tendrá derecho a oponerse en cualquier momento (…) a que datos personales que le conciernan sean objeto de un tratamiento (…). El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones. “ D E R E C H O D E O P O S I C I Ó N ( A R T. 2 1 )
  27. 27. “Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar. (…)” D E C I S I O N E S I N D I V I D U A L E S A U T O M A T I Z A D A S ( A R T. 2 2 )
  28. 28. D E R E C H O D E E X P L I C A C I Ó N ( ? ) A R T. 1 3 , 1 5 , 2 1 Y 2 2 , C O N S I D E R A N D O 7 1 Considerando 71: “(…) Dicho tratamiento debe estar sujeto a las garantías apropiadas, entre las que se deben incluir la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión (…)” —> IMPLICACIONES PARA AI - HAY UN DERECHO A LA EXPLICACIÓN?
  29. 29. - CONSIDERABLEMENTE EXPANDIDO “El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan (…) cuando (…): - los datos personales ya no sean necesarios (…) - el interesado retire el consentimiento (…) - el interesado se oponga al tratamiento (…) - (…)” - ALGUNAS EXCEPCIONES: la libertad de expresión e información; cumplimiento de una obligación legal; interés público o en el ejercicio de poderes públicos; salud pública; archivo en interés público, fines de investigación científica o histórica o fines estadísticos, (…) D E R E C H O A L O LV I D O ( A R T. 1 7 )
  30. 30. P R O T E C C I Ó N D E D A T O S D E S D E E L D I S E Ñ O Y P O R D E F E C T O ( A R T. 2 5 ) Medidas técnicas y organizativas apropiadas concebidas para aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento de datos + garantizar que solo sean objeto de tratamiento los datos personales que sean necesarios.
  31. 31. Source: https://aristininja.com/privacy-by-design/
  32. 32. D E R E C H O A L A P O R TA B I L I D A D D E L O S D A T O S ( A R T. 2 0 ) “El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento (…)”
  33. 33. N O T I F I C A C I Ó N D E U N A V I O L A C I Ó N D E L A S E G U R I D A D D E L O S D A T O S P E R S O N A L E S A L A A U T O R I D A D D E C O N T R O L ( A R T. 3 3 ) Y A L I N T E R E S A D O ( A R T. 3 4 )
  34. 34. “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.” E VA L U A C I Ó N D E I M PA C T O R E L A T I VA A L A P R O T E C C I Ó N D E D A T O S ( A R T. 3 5 )
  35. 35. 3 CASOS: - AUTORIDAD U ORGANISMO PÚBLICO - OBSERVACIÓN HABITUAL Y SISTEMÁTICA DE INTERESADOS A GRAN ESCALA - CATEGORIAS ESPECIALES DE DATOS Y DATOS RELATIVO A CONDENAS O INFRACCIONES D E S I G N A C I Ó N D E L D E L E G A D O D E P R O T E C C I Ó N D E D A T O S ( A R T. 3 7 )
  36. 36. T R A N S F E R E N C I A S D E D A T O S P E R S O N A L E S A T E R C E R O S PA Í S E S ( C A P Í T U L O V - A R T. 4 4 - 5 0 )
  37. 37. DECISIÓN DE ADECUACIÓN (ART. 45) - 11 PAÍSES CON UN NIVEL ADECUADO DE PROTECCIÓN: SUIZA; CANADÁ; ARGENTINA; GUERNSEY; ISLA DE MAN; JERSEY; ISLAS FEROE; ANDORRA; ISRAEL; URUGUAY; NUEVA ZELANDA; - ESCUDO DE PRIVACIDAD UE-EE.UU T R A N S F E R E N C I A S D E D A T O S P E R S O N A L E S A T E R C E R O S PA Í S E S
  38. 38. 2. TRANSFERENCIAS MEDIANTE GARANTÍAS ADECUADAS (ART. 46): - NORMAS CORPORATIVAS VINCULANTES - CLÁUSULAS CONTRACTUALES TIPO DE PROTECCIÓN DE DATOS - UN CÓDIGO DE CONDUCTA - UN MECANISMO DE CERTIFICACIÓN APROBADO - (…) T R A N S F E R E N C I A S D E D A T O S P E R S O N A L E S A T E R C E R O S PA Í S E S
  39. 39. 3. EXCEPCIONES PARA SITUACIONES ESPECÍFICAS (ART. 49): - CONSENTIMIENTO DEL INTERESADO “El interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas” T R A N S F E R E N C I A S D E D A T O S P E R S O N A L E S A T E R C E R O S PA Í S E S
  40. 40. 3. EXCEPCIONES PARA SITUACIONES ESPECÍFICAS (ART. 49): - CONSENTIMIENTO DEL INTERESADO - LA TRANSFERENCIA SEA NECESARIA PARA: - LA EJECUCIÓN DE UN CONTRATO ENTRE EL INTERESADO Y EL RESPONSABLE - POR RAZONES IMPORTANTES DE INTERÉS PÚBLICO - PROTEGER LOS INTERESES VITALES DEL INTERESADO - (…) - (…) T R A N S F E R E N C I A S D E D A T O S P E R S O N A L E S A T E R C E R O S PA Í S E S
  41. 41. - “EFECTIVAS, PROPORCIONADAS Y DISUASORIAS” - MAYOR CUANTÍA ENTRE: ➡ 20 000 000 EUROS ➡ CUANTÍA EQUIVALENTE AL 4 % DEL VOLUMEN DE NEGOCIO TOTAL ANUAL GLOBAL M U LTA S A D M I N I S T R A T I VA S ( A R T. 8 3 )
  42. 42. O U T L I N E 1. C O N T E X T O 2. D E F I N I C I O N E S 3. L O S C A M B I O S M Á S S I G N I F I C A T I V O S 4. I M P L I C A C I O N E S PA R A L A I N V E S T I G A C I Ó N 5. C O N C L U S I O N E S
  43. 43. I M P L I C A C I O N E S PA R A L A I N V E S T I G A C I Ó N A R T. 5 , 6 , 9 , 1 7 , 2 1 , 8 9 C O N S I D E R A N D O 5 0 , 1 5 7 , 1 5 9 - DEFINICIÓN DE INVESTIGACIÓN AMPLIA (CONSIDERANDO 159) - Art. 89: garantías adecuadas para los derechos y las libertades de los interesados — > medidas técnicas y organizativas incluido la seudonimización. - ART.12: TRANSPARENCIA DE LA INFORMACIÓN
  44. 44. - ART.5: “El tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales” (—> relajamiento del principio de limitación de la finalidad) - ART. 5: RELAJAMIENTO DEL PRINCIPIO DE LIMITACIÓN DEL PLAZO DE CONSERVACIÓN - ART. 9: TRATAMIENTO DE CATEGORÍAS ESPECIALES DE DATOS PERSONALES —> INVESTIGACIÓN ES UNA DE LAS EXCEPCIONES - ART. 17: RELAJAMIENTO DEL DERECHO AL OLVIDO - ART. 21: EXENCIÓN POR INTERÉS PÚBLICO I M P L I C A C I O N E S PA R A L A I N V E S T I G A C I Ó N A R T. 5 , 6 , 9 , 1 7 , 2 1 , 8 9 C O N S I D E R A N D O 5 0 , 1 5 7 , 1 5 9
  45. 45. O U T L I N E 1. C O N T E X T O 2. D E F I N I C I O N E S 3. L O S C A M B I O S M Á S S I G N I F I C A T I V O S 4. I M P L I C A C I O N E S PA R A L A I N V E S T I G A C I Ó N 5. C O N C L U S I O N E S
  46. 46. C O N C L U S I O N E S - CAMBIOS SUSTANCIALES EN TÉRMINOS DE TRASPARENCIA Y OBILGACIONES PARA RESPOSABLE Y ENCARGADO - MAYOR VISIBILIDAD/ATENCION AL TEMA DE LA PROTECCIÓN DE DATOS - LA IMPLEMENTACIÓN VA A TARDAR - LA APLICACIÓN VA A SER COMPLICADA - COSTES ALTOS PARA LAS PYMES - QUEDAN SERIOS PROBLEMAS DE COMPETENCIA Y ÉTICOS - APLICACIÓN EXTRA-TERRITORIAL PUEDE CREAR CONFLICTOS ENTRE JURISDICCIONES - FUTURO DEL INTERNET
  47. 47. R E F E R E N C E S Burri, M. & R. Schär (2016), The Reform Of The EU Data Protection Framework: Outlining Key Changes And Assessing Their Fitness For A Data-Driven Economy, Journal Of Information Policy, Vol. 6 (2016), PP. 479-511 Maldoff, G, How GDPR Changes The Rules For Research, IAPP website, April 2016. Reglamento general de protección de datos, REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016. White & Case, Unlocking the EU General Data Protection Regulation: A practical handbook on the EU's new data protection law, September 2017. Sitio web de la Agencia Española de Protección de Datos: www.agpd.es
  48. 48. M A R T I N A F R A N C E S C A F E R R A C A N E E M A I L : M A R T I N A . F E R R A C A N E @ G M A I L . C O M GRACIAS!

×