anterior siguiente reglamento general de protección de datos
TRANSCRIPT
RGPD empleadosv5SiguienteAnterior
3. Principios del tratamiento 9
4. Consentimiento explícito 11
9. La violación de la seguridad 25
10. Tratamiento de categorías especiales de datos 27
11. Responsabilidad proactiva 28
SiguienteAnterior
Formación Aseguradora GACM © 05/183
El Dueño de los Datos es la Persona Física Los datos personales se han convertido en el nuevo petróleo del siglo XXI.
Pasamos de la gestión de datos al gobierno de la información.
Las nuevas tecnologías y en concreto, la digitalización, de todos los ámbitos de la vida tiene un impacto revolucionario sobre nuestra sociedad, educación, en la política y en la economía.
El Reglamento UE pretende rescatar de forma uniforme en todos los Estados miembros de la UE, la privacidad digital y eliminar la vigilancia de masas, manipulación, pérdida de libertad y espionaje.
1. Introducción
2 3 4 5 6 7 8 9 10 11 121
Jan Philipp Albrecht El proceso legislativo de este Reglamento UE ha sido largo, iniciándose en 2012 hasta 2016, siendo liderado por el joven parlamentario europeo del partido verde europeo Jan Philipp Albrecht. El texto en estado de borrador obtuvo más de 4.000 enmiendas, a resultas de las muchísimas tensiones e intereses, que genera la gestión de los datos personales y su libre circulación europea.
Para ampliar más la información sobre la actividad llevada acabo de Jan Philipp Albrecht, puedes consultar Parlamento Europeo Eurodiputados, que tienes disponible como recurso del curso.
SiguienteAnterior
Formación Aseguradora GACM © 05/184
El nuevo Reglamento General de Protección de Datos (RGPD) Pretende consolidar una verdadera cultura de privacidad en nuestro tejido empresarial con la finalidad de proteger eficientemente los datos personales de todos los ciudadanos europeos.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, está en vigor desde el 25 de mayo de 2016 (deroga la Directiva 95/46/CE) y será de aplicación obligatoria en todos los Estados de la UE a partir del 25 de mayo de 2018, por lo que a partir de este momento rige el RGPD, quedarán sin efecto la LOPD y su reglamento de desarrollo, RDLOPD. Se aprobará una nueva LOPD que sustituirá la anterior y que complementará este nuevo RGPD.
Aplicación del Reglamento El RGPD se aplica a las operaciones realizadas sobre datos personales de ciudadanos residentes en la UE efectuadas por un Responsable del tratamiento (RT) o un Encargado del tratamiento (ET):
• Establecido en la UE, independientemente de que el tratamiento tenga lugar en la UE o no. • No establecido en la UE, siempre y cuando las actividades del tratamiento estén relacionadas con:
o La oferta de bienes o servicios a personas residentes en la UE, se pague o no por ello. o El control de la conducta de personas, si tiene lugar en la UE. o No establecido en la UE, pero sea de aplicación la legislación de un Estado de la UE.
“El RGPD establece las normas relativas a la protección de datos personales de las personas físicas referentes a su tratamiento y a la libre circulación de los mismos."
Para ampliar más la información puedes consultar en la Agencia Española de Protección de Datos (AEPD), el Reglamento General de Protección de Datos, que tienes disponible como recurso del curso.
El RGPD no se aplica: • Al tratamiento de datos entre personas individuales (excepto si alguna de estas
personas realiza el tratamiento para el ejercicio de una actividad económica). • A las actividades no comprendidas en el ámbito de aplicación del Derecho de la UE.
1. Introducción
2 3 4 5 6 7 8 9 10 11 121
SiguienteAnterior
Definiciones de los conceptos principales
Datos personales Toda información sobre una persona física identificada o identificable “el interesado”, se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
2. Conceptos principales de la protección de datos
Interesado Persona física sometida al tratamiento de sus datos personales.
Tratamiento Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
1 3 4 5 6 7 8 9 10 11 122
SiguienteAnterior
1. Figuras y roles del tratamiento de datos
Responsable del tratamiento (RT) La persona física o jurídica, autoridad pública, servicio u otro organismo que,
solo o junto con otros, determine los fines y medios del tratamiento.
Encargado del tratamiento (ET) Persona física o jurídica, Autoridad pública, servicio u otro organismo que trate datos personales por cuenta del RT.
Delegado de protección de datos (DPD) Nueva figura que en su caso debe designar el RT y el ET para que cumpla con las funciones de informar y asesorar, supervisar el cumplimiento del RGPD y cooperar con la autoridad de control. El RT y el ET garantizarán que el DPD no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones, debiendo operar éste de forma independiente.
Autoridad de control Autoridad pública independiente con la función de supervisar la aplicación del Reglamento.
2. Conceptos principales de la protección de datos
1 3 4 5 6 7 8 9 10 11 122
SiguienteAnterior
2. Categoría de datos
Datos Básicos Datos personales que no correspondan a categorías Especiales de datos ni a condenas y delitos Penales. Por ejemplo: nombre, dirección, email, teléfono, edad, sexo, firma, imagen, aficiones, patrimonio, datos bancarios, información académica, profesional, social, comercial, financiera, etc.
Categorías Especiales de datos Datos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales.
2. Conceptos principales de la protección de datos
1 3 4 5 6 7 8 9 10 11 122
Condenas y delitos penales Datos relativos a condenas y delitos penales o medidas de seguridad afines.
Datos de personas vulnerables Datos relativos a menores de 16 años (13 años previsiblemente en España, puesto que se permite a los Estados miembros fijar una edad inferior en la horquilla 16-13 años). Datos relativos de personas sujetas a alguna medida de protección legal ( tutela, protección judicial o análogos).
SiguienteAnterior
Formación Aseguradora GACM © 05/188
Tratamiento de datos de niños La oferta directa de servicios de la sociedad de la información (e-comerce) a menores de 14 años deberá obtenerse con el consentimiento de su representante legal. EL RGPD señala una horquilla de 13 a 16 años, siendo cada estado UE quién debe decidir. Y hasta disponer de la nueva LOPD resulta de aplicación el límite de 14 años de conformidad con la vieja LOPD que sigue parcialmente en vigor. La información del tratamiento dirigida a un menor deberá facilitarse con un lenguaje claro, sencillo y adecuado al receptor.
Tratamiento relativos a condenas e infracciones penales El tratamiento de datos relativos a condenas y delitos penales o medidas de seguridad afines sólo podrá realizarse si está fundamentado en la legislación vigente con garantías adecuadas para los derechos y libertades de los interesados o bajo la supervisión de poderes públicos. Sólo podrá llevarse un registro completo de condenas penales, bajo el control de las autoridades públicas.
Tratamiento de categorías especiales de datos Cómo principio general está prohibido tratar datos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales. A excepción de que el interesado haya dado su consentimiento explícito para uno o varios fines específicos, u a excepción de otras casuísticas que permite el reglamento, como por ejemplo en cumplimiento de la legislación laboral, proteger el interés vital del interesado o para el reconocimiento, ejercicio o defensa de demandas judiciales entre otras bases que prevé el reglamento.
2. Conceptos principales de la protección de datos
1 3 4 5 6 7 8 9 10 11 122
SiguienteAnterior
Formación Aseguradora GACM © 05/189
Los 6 principios de la protección de datos que establece el RGPD, deben aplicarse a todo el tratamiento de la información relativa a una persona física identificada o identificable.
Los datos personales serán tratados con:
1. Licitud, lealtad y transparencia Licitud: equivale a que el tratamiento tenga una o más de las bases legales que prevé el RGPD (contrato firmado, obligación legal, consentimiento explícito, interés legítimo, interés vital y interés público). Lealtad y transparencia: equivale a que en la recogida de los datos del interesado, se le debe informar de forma verídica de quién es el responsable, la finalidad, de la dirección para ejercer los derechos entre otras informaciones.
2. Limitación de la finalidad Recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines.
3. Minimización de los datos Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
4. Exactitud Actualizados sin demora con respecto a los fines para los que se tratan.
5. Limitación del plazo de conservación Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales.
6. Integridad y confidencialidad Tratados de tal manera que se garantice una seguridad adecuada de los datos personales. Incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
Los principios de protección de datos Se aplican al tratamiento de datos, o sea, a cualquier operación realizada sobre datos personales: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
3. Principios del tratamiento
Obligación de Responsabilidad Proactiva Somos responsables del cumplimiento de los 6 principios y capaces de demostrar el mismo, frente a la Agencia Española de Protección de datos, Auditorías, Actividades de supervisión y control.
1 2 4 5 6 7 8 9 10 11 123
SiguienteAnterior
Formación Aseguradora GACM © 05/1810
Licitud Ampliamos la información de Licitud que debemos conocer, ya que el RPGD dispone que el tratamiento, sólo será lícito cuando se rija en una o más de las siguientes bases legales:
• El consentimiento explícito para fines específicos y/o. • Un contrato o precontrato con el interesado y/o. • La necesidad de la protección de los intereses vitales del interesado u otra persona física y/o. • Un interés legítimo del Responsable del tratamiento o terceros, siempre que no prevalezcan los intereses o los derechos y libertades del
interesado, especialmente si es un niño y/o. • Una procedencia legítima de archivos de acceso público obtenidos de una fuente pública o el interesado haya hecho manifiestamente públicos sus
datos y/o. • Una obligación jurídica a la que esté sujeto el Responsable del tratamiento y/o. • Un cometido de interés público fundamentado en la legislación vigente y/o.
Licitud para tratamientos con fines distintos del inicialmente informado En este caso, el Reglamento dispone que solo será lícito si es compatible con el fin inicial y existe una relación entre: • Las finalidades del tratamiento. • El entorno del Responsable del tratamiento y los interesados. • La categoría de datos. • Las posibles consecuencias para el interesado. • La protección de datos (cifrado, seudonimización, etc.).
3. Principios del tratamiento
1 2 4 5 6 7 8 9 10 11 123
El consentimiento explícito para fines específicos Ejemplo práctico: Un cliente de la aseguradora contrata una póliza, además y nos da el consentimiento explícito para tratar sus datos en acciones comerciales intragrupo. Bases legales de licitud del tratamiento: • Con respecto al tratamiento de datos en la gestión del siniestro de la póliza, la base legal es el contrato (la póliza). • Con respecto al tratamiento de datos con fines comerciales, la base legal es el consentimiento explícito.
Cuando la base legal sea la obtención del consentimiento explícito en el RGPD a diferencia de la LOPD, donde el consentimiento podía ser tácito, el RGPD requiere una
declaración o acción positiva del interesado que indique su conformidad con el tratamiento.
SiguienteAnterior
Requisitos del consentimiento Los requisitos para que un consentimiento sea considerado válido son:
Información específica El consentimiento debe ser estar basado en información adecuada (Firma de Cláusula de RGPD y/o grabación de locución). No es aceptable el consentimiento genérico sin especificar el propósito exacto de la finalidad del tratamiento.
Momento El consentimiento debe darse después de la información y antes de que comience el tratamiento.
Elección activa El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal grabada.
Libremente otorgado El consentimiento sólo será válido si el interesado está en condiciones de ejercer una elección real y no hay riesgo de engaño, intimidación, coacción o consecuencias negativas importantes si el interesado no da su consentimiento.
Condiciones del consentimiento Las condiciones para que un consentimiento sea considerado válido son:
• El Responsable del tratamiento asumirá la prueba del consentimiento. Si éste se realiza por escrito, deberá distinguirse claramente de otros asuntos.
• El consentimiento no será lícito si se condiciona a una prestación de servicios sin ser necesario para su realización. • El Responsable del tratamiento informará al interesado, antes de dar su consentimiento, que tiene derecho a retirarlo en cualquier momento sin
que afecte al tratamiento efectuado hasta entonces. • Debe ser tan fácil retirar como dar el consentimiento. • Los consentimientos que infrinjan parcialmente el Reglamento serán considerados nulos.
4. Consentimiento explícito
1 2 3 5 6 7 8 9 10 11 124
SiguienteAnterior
Formación Aseguradora GACM © 05/1812
La información del tratamiento (principio número 1) Antes de recabar los datos del interesado se debe informar.
El principio fundamental de un tratamiento es la lealtad y transparencia con el interesado. Aplicando este principio, el RGPD dispone que se deberá facilitar la información del tratamiento de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, especialmente si va dirigida a niños.
A diferencia de la LOPD, que la información del tratamiento se reflejaba en una cláusula diminuta ahora el RGPD nos obliga a ser más transparentes, lo que quiere decir que el interesado debe estar claramente informado del tratamiento ampliándose la información obligatoria. La información se podrá facilitar por escrito o por medios electrónicos, inclusive oralmente si lo solicita el interesado.
5. La información del tratamiento
1 2 3 4 6 7 8 9 10 11 125
Por lo que estamos obligados a verificar que en nuestra actividad, cuando se recaban datos por vez primera con una finalidad, se cumple con la obligación de informar (firma y/o grabación de
locución de cláusula) y además la información incluye los nuevos requisitos del tratamiento.
SiguienteAnterior
Formación Aseguradora GACM © 05/1813
• Información detallada del origen de los datos, incluso si proceden de fuentes de acceso público.
• Categoría de datos que se traten.
Contenido de la información al interesado El Responsable del tratamiento deberá facilitar, como mínimo, la siguiente información. Se puede distinguir entre una información básica (primer nivel) y una información adicional (segundo nivel):
5. La información del tratamiento
1 2 3 4 6 7 8 9 10 11 125
Identidad del Responsable del tratamiento.
Epígrafe Información básica 1ª capa, resumida
Información adicional 2ª capa, detallada
• Datos de contacto del Responsable de tratamiento. (RT) Identidad y datos de contacto del responsable.
• Datos de contacto del Delegado de protección de datos (DPD) si existe.
Descripción sencilla de los fines del tratamiento, incluso elaboración de perfiles.
• Descripción ampliada de los fines del tratamiento. • Plazos o criterios de conservación de los datos. • Decisiones automatizadas, perfiles y lógica aplicada.
Base jurídica del tratamiento. • Detalle de la base jurídica del tratamiento, en los casos de obligación
legal, interés público o interés legítimo. • Obligación o no, de facilitar datos y consecuencias de no hacerlo.
Previsión o no de cesiones. Previsión de transferencias o no, a terceros
países.
situaciones específicas aplicables.
Referencia al ejercicio de derechos. • Cómo ejercer los derechos de acceso, rectificación, supresión y
portabilidad de los datos, y la limitación u oposición a su tratamiento. • Derecho a retirar el consentimiento prestado.
Fuente de los datos, cuando no proceden del interesado.
Responsable del tratamiento.
Finalidad del tratamiento.
Legitimación del tratamiento.
Formación Aseguradora GACM © 05/1814
Comunicación de la información al interesado La información del tratamiento se deberá facilitar en el momento de la obtención de los datos, no siendo necesario volver a hacerlo una vez el interesado haya sido informado, siempre que sean utilizados para la misma finalidad para la que se recabaron.
5. La información del tratamiento
1 2 3 4 6 7 8 9 10 11 125
La información deberá ser concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo y se facilitará por escrito o por medios electrónicos, inclusive verbalmente si lo solicita el interesado.
No será necesario comunicar la información al interesado: Cuando el tratamiento sea una obligación legal del Responsable del tratamiento, por ejemplo, la obtención de datos para la emisión de facturas.
SiguienteAnterior
6. Los derechos del interesado
1 2 3 4 5 7 8 9 10 11 126
Ejercicio de los derechos del interesado El interesado (persona física) siempre el propietario de sus datos personales. El interesado debe tener el control de sus propios datos. A estos efectos se le reconocen unos derechos cuyo ejercicio debe ser posible. Por ello dentro de la información obligada, se incluye la forma de ejercer los derechos por parte del interesado.
Los derechos que el Reglamento atribuye al interesado son:
Acceso a los datos
Rectificación de los datos
Supresión de los datos
Portabilidad de los datos
A interponer un recurso judicial
A indemnización y responsabilidad
El Responsable del tratamiento deberá responder las solicitudes del interesado sin demora injustificada y como máximo en el plazo de un mes, y tendrá que explicar sus motivos en caso de que no atenderlas.
En la generalidad de nuestras cláusula o locuciones informativas, indicamos a los interesados que pueden ejercer estos derechos por correo postal a Horizon Sant Cugat, o bien a la dirección de correo electrónico [email protected].
A priori la gestión de estos ejercicios se lleva a cabo por el Servicio de Atención y Defensa del Cliente del Grupo GACM España.
SiguienteAnterior
Formación Aseguradora GACM © 05/1816
Derecho de acceso El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la información relativa a: fines de tratamiento, categoría de datos, plazos previstos de conservación y demás según se tasan en el tratamiento.
6. Los derechos del interesado
1 2 3 4 5 7 8 9 10 11 126
Derecho de rectificación El interesado tiene derecho, además de rectificar los datos inexactos, a que se completen los datos personales incompletos, inclusive mediante una declaración adicional.
Derecho de supresión (Derecho al olvido) El interesado tiene el derecho a la supresión de los datos personales sin dilación indebida cuando concurra alguno de los supuestos contemplados. Como el tratamiento ilícito de datos, o cuando haya desaparecido la finalidad que motivó el tratamiento o recogida. No obstante, se regulan unas excepciones en las que no procederá este derecho. Como el cumplimiento de una obligación legal, o para la formulación, ejercicio o defensa de reclamaciones. El Derecho al olvido (nuevo derecho), es una subespecie nueva del Derecho de supresión que atañe al canal digital.
SiguienteAnterior
Formación Aseguradora GACM © 05/1817
Derecho a la portabilidad de los datos (Nuevo derecho) El interesado podrá recibir sus datos personales facilitados en un formato estructurado, de uso común y lectura mecánica, y poder transmitirlos a otro Responsable, siempre que sea técnicamente posible. De igual forma el interesado tendrá derecho, a que los datos se transmitan directamente de Responsable a Responsable, cuando sea técnicamente posible.
6. Los derechos del interesado
1 2 3 4 5 7 8 9 10 11 126
Derecho a la limitación del tratamiento (Nuevo derecho) El interesado tiene derecho a: • Solicitar al Responsable que suspenda un tratamiento concreto en los
casos que prevé el reglamento. Por ejemplo si se impugna la exactitud de los datos y mientras se verifica dicha exactitud por el Responsable. O cuando se haya ejercido el derecho de oposición al tratamiento de datos, mientras se verifica si los motivos legítimos del Responsable prevalecen sobre el interesado.
• Todo interesado que haya obtenido la limitación del tratamiento, será informado por Responsable antes del levantamiento de dicha limitación.
SiguienteAnterior
Formación Aseguradora GACM © 05/1818
Derecho a presentar una reclamación (denuncia) ante la Autoridad de control El interesado tendrá derecho a estar informado por el Responsable de que puede presentar una reclamación ante la Autoridad de control, si considera que el tratamiento de sus datos personales no se ajusta a lo dispuesto en el Reglamento.
6. Los derechos del interesado
1 2 3 4 5 7 8 9 10 11 126
Derecho a indemnización (Nuevo derecho)
y responsabilidad Además de tener el derecho a presentar la reclamación, toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del Responsable o el Encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
El Responsable o Encargado del tratamiento estará exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
Derecho de oposición El interesado podrá oponerse al tratamiento de datos personales: • Cuando por motivos relacionados con su situación personal, debe cesar
el tratamiento de sus datos salvo que se acredite un interés legítimo, o sea necesario para el ejercicio o defensa de reclamaciones.
• Cuando el tratamiento tenga por objeto la mercadotecnia (marketing) directa, los datos dejarán de ser tratados para dichos fines.
SiguienteAnterior
Formación Aseguradora GACM © 05/1819
1. Delegado de protección de datos El Delegado de protección de datos (DPD), es la persona encargada de:
• Informar y asesorar al RT o al ET ya los empleados que se ocupen del tratamiento de las obligaciones que les incumben. • Supervisar el cumplimiento del reglamento. • Asesorar en las evaluaciones de impacto del tratamiento. • Cooperar y actuar cómo interlocutor con la autoridad de control.
Y debe desempeñar sus funciones en atención a los riesgos asociados a las operaciones de tratamiento. Podrá informar directamente al más alto nivel de dirección del Responsable o Encargado del tratamiento
Los interesados: Podrán contactar con el DPD para tratar los asuntos que les afecten relativos al tratamiento de sus datos y al ejercicio de los derechos que les confiere el Reglamento.
7. La responsabilidad del tratamiento
1 2 3 4 5 6 8 9 10 11 127
Roles definidos por el RGPD 1. Delegado de protección de datos (DPD, figura nueva) 2. Responsable de tratamiento (RT) 3. Encargado del tratamiento (ET) 4. Corresponsables del tratamiento (Figura nueva)
SiguienteAnterior
Formación Aseguradora GACM © 05/1820
2. Responsable del tratamiento (RT) Es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, que determina los fines y medios del tratamiento. El Responsable del tratamiento deberá, antes y durante el tratamiento:
• Implementar medidas técnicas y organizativas apropiadas para garantizar y demostrar el cumplimiento del Reglamento.
Teniendo en cuenta: • La naturaleza, ámbito, contexto y fines del tratamiento. • Los riesgos para los derechos y libertades de los interesados. • El tipo de organización. • Aplicar medidas de protección de datos proporcionadas en relación con las actividades del tratamiento. • Formalizar mediante un contrato el encargo del tratamiento (Prestación de servicios con el ET). Este contrato debe incluir los apartados que el
RGPD estable como obligatorios.
Protección de datos desde el diseño y por defecto El Responsable del tratamiento deberá garantizar desde el diseño y por defecto, antes y durante el tratamiento la aplicación efectiva de los principios de protección de datos a todos datos personales tratados, así como al plazo de conservación y a su accesibilidad:
• Que el tratamiento se realice para fines específicos, recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines.
• La minimización de datos, siendo adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados • La exactitud, confidencialidad, integridad, seguridad física y supresión de los datos. • La protección de los derechos del interesado. • Que los datos no sean accesibles, sin la intervención humana, a un número indeterminado de personas. • La aplicación de los resultados de la evaluación de impacto. • El Responsable del tratamiento podrá utilizar los mecanismos de certificación, establecidos en el Reglamento para demostrar la protección de los
datos desde el diseño y por defecto.
7. La responsabilidad del tratamiento
1 2 3 4 5 6 8 9 10 11 127
Para ampliar más la información puedes consultar en la Agencia Española de Protección de Datos (AEPD), la Guía del RGPD para Responsables de Tratamiento, que tienes disponible como recurso del curso.
SiguienteAnterior
Formación Aseguradora GACM © 05/1821
3. Encargados del tratamiento (ET) Es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Responsable del tratamiento.
El RT debe elegir un ET que aporte las suficientes garantías de cumplir con sus obligaciones y poder acreditar que esta elección es correcta. El ET debe :
• Implementar políticas técnicas y organizativas apropiadas para cumplir el Reglamento. • Proteger los derechos del interesado. • Aplicar las medidas de seguridad que establece el Reglamento. • Debe cumplir las obligaciones asumidas en el contrato que ha suscrito con el RT y en su caso
las legales.
Si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.
El Responsable y/o Encargado del tratamiento garantizarán que las Personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad, mediante:
• Acuerdos de confidencialidad. • Una obligación legal de confidencialidad.
Así por ejemplo, los empleados del Grupo deberán suscribir un anexo al contrato laboral, que actualice la cláusula de LOPD y confidencialidad a los nuevos requisitos del RGPD. Del mismo modo, los contratos de colaboración también deberán ser actualizados por el anexo oportuno.
7. La responsabilidad del tratamiento
1 2 3 4 5 6 8 9 10 11 127
Siempre que actuemos cómo RT o ET en una prestación de servicio o colaboración, debe mediar una cláusula de protección de datos y confidencialidad firmada por las partes. Y ésta, debe cumplir con los contenidos que le exige el RGPD.
SiguienteAnterior
4. Corresponsable del tratamiento Cuando dos o más responsables determinan conjuntamente los objetivos y los medios del tratamiento son considerados Corresponsables del tratamiento.
Los corresponsables fijan de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente RGPD que regularán mediante un contrato.
Independientemente de los términos del acuerdo, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a, y en contra de, cada uno de los responsables.
Registro de actividades del tratamiento (RAT) El Responsable y/o Encargado del tratamiento tendrán la obligación de llevar un Registro de actividades del tratamiento (RAT), cuando en el tratamiento de datos concurra en alguna de las siguientes condiciones:
• Empleen a un mínimo de 250 personas. • Pueda suponer un riesgo para los derechos y libertades del interesado
y no tenga un carácter ocasional. • Se traten categorías especiales de datos. • Se traten datos relativos a condenas y delitos penales.
7. La responsabilidad del tratamiento
1 2 3 4 5 6 8 9 10 11 127
El RAT debe estar constantemente actualizado, incorporando todas las actividades con datos personales de las empresas, y ofrecer una fotografía en tiempo real de los flujos de tratamiento de datos, que ha de quedar a disposición de la Autoridad de control.
SiguienteAnterior
Formación Aseguradora GACM © 05/1823
La seguridad del tratamiento El RGPD establece el Principio de Integridad y Confidencialidad, disponiendo que los datos sean: “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”.
Responsabilidad • Acuerdos de confidencialidad con el Personal autorizado. • Contratos con los Encargados del tratamiento. • Acuerdos con los Corresponsables del tratamiento. • Contratos con los Destinatarios de los datos.
Estructura técnica • Ejecución de los derechos de los interesados. • Protección de datos desde diseño y por defecto. • Análisis de los riesgos del tratamiento. • Evaluación de impacto (si existen riesgos). • Resolución de violaciones de la seguridad.
Estructura organizativa • Acceso a equipos y redes informáticas. • Acceso a categorías especiales de datos (si existen). • Protección de equipos y redes informáticas. • Copias de respaldo. • Transporte y transmisión de datos. • Transferencias internacionales (si existen). • Destrucción de datos.
La política de seguridad a implementar, debe aplicar las siguientes medidas en los ámbitos de:
8. La seguridad del tratamiento
1 2 3 4 5 6 7 9 10 11 128
SiguienteAnterior
Formación Aseguradora GACM © 05/1824
Política de seguridad La política de seguridad deberá garantizar la implantación de medidas adecuadas para la protección de los derechos y libertades de los interesados. Para evaluar el nivel de seguridad a implantar, se tendrán en cuenta los riesgos que pueda tener el tratamiento como consecuencia de:
El Responsable o Encargado del tratamiento podrán utilizar la adhesión a los Códigos de conducta o mecanismos de Certificación establecidos en el RGPD para demostrar la implantación de las medidas de seguridad.
8. La seguridad del tratamiento
1 2 3 4 5 6 7 9 10 11 128
La destrucción accidental o ilícita de datos.
La pérdida, alteración o comunicación no autorizada.
El acceso a los datos cuando sean transmitidos, conservados u objeto de algún otro tipo de tratamiento.
SiguienteAnterior
Formación Aseguradora GACM © 05/1825
La violación de seguridad de los datos personales Es un nuevo concepto del RGPD, que queda sujeto a un procedimiento o trámite de obligado cumplimiento.
Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos que pueda producirse en cualquier fase del tratamiento: obtención, acceso, intervención, transmisión, conservación o supresión de datos, genera las siguientes obligaciones para el RT y/o el ET:
Deben tomar suficientes medidas para prevenir daños o perjuicios a interesados o terceros en el transcurso del tratamiento de datos, como:
También obliga al Responsable a notificar dichas violaciones a la Autoridad de control en un máximo de 72 horas e incluso a comunicarlas a los interesados afectados si se prevé que la incidencia pueda entrañar un alto riesgo para sus derechos y libertades.
9. La violación de seguridad
1 2 3 4 5 6 7 8 10 11 129
• La pérdida de control sobre sus datos personales. • La restricción de sus derechos. • Discriminación. • Usurpación de identidad. • Pérdidas financieras. • Reversión no autorizada de la seudonimización. • Daño para la reputación. • Pérdida de confidencialidad de datos sujetos al secreto profesional. • O cualquier otro perjuicio económico o social significativo para la persona física.
Por ello cualquier empleado / colaborador que tenga conocimiento que se ha producido una violación de seguridad por cualquier motivo, sea intencionado o accidental, tiene el deber de informar de ello a su Responsable y DPO, para proteger de esta forma los
derechos y libertades de las personas física y minimizar el riesgo de sanción y el riesgo reputacional del Grupo.
SiguienteAnterior
Formación Aseguradora GACM © 05/1826
Casos y ejemplos de posibles violaciones de la seguridad de los datos personales Se puede producir una violación de la seguridad cuando, por cualquier motivo, sea intencionado o no, se vulnere la seguridad de los datos o se prevea que pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas.
Violación de datos • Acceso a datos no autorizado: • Encargo del tratamiento sin el contrato correspondiente. • Acceso indiscriminado a impresoras, fotocopiadoras, etc. • Acceso a información confidencial no autorizada: nóminas,
currículums, embargos, video vigilancia, etc. • Acceso no autorizado a los sistemas informáticos.
Comunicación de datos no autorizada • Transmisión ilícita de datos a un Destinatario. • Vulneración del secreto profesional. • Publicación de imágenes sin autorización del interesado. • Envío de correos electrónicos masivos sin ocultar los
destinatarios (copia oculta). • Transferencia internacional de datos sin estar sujeta a una
Decisión de suficiencia de la UE o Garantías adecuadas de protección de datos.
Alteración de datos • Modificación de datos malintencionado. • Falsificación de datos. • Recuperación ineficaz de copias de respaldo. Pérdida de información
• Extravío u olvido de soportes. • Robo o sustracción de información. • Desinstalación de aplicaciones informáticas. • Por causas del transporte. • Reorganización de la empresa.
Destrucción de datos • No usar destructora de papel o de soportes digitales. • Incendio, inundación u otras causas ajenas a la empresa.
En cualquiera de los casos nombrados anteriormente, se pueden producir violaciones de datos por la ausencia de medidas de seguridad:
• Antivirus, antispam, antimalware, antiransomware, fireware, cifrado, seudonimización, etc. • Identificación y autentificación para acceder a los sistemas informáticos. • Mecanismos de seguridad para acceder al mobiliario o a departamentos con datos personales. • Disposición de datos a la vista de personas no autorizadas (recepción, monitores, mesas, etc.).
9. La violación de seguridad
1 2 3 4 5 6 7 8 10 11 129
SiguienteAnterior
Prohibición para tratar categorías especiales de datos El Reglamento dispone expresamente la prohibición de tratar datos que revelen:
No se aplica la prohibición en los siguientes casos previstos en el RGPD Como excepción a la prohibición expuesta anteriormente, el reglamento permite tratar categorías especiales de datos cuando:
• El interesado haya dado su consentimiento explícito para fines específicos (excepto si está prohibido por la legislación vigente). • Es necesario para proteger los intereses vitales del interesado, cuando esté incapacitado para dar su consentimiento. • El tratamiento lo realiza legítimamente una organización sin ánimo de lucro, con finalidad política, filosófica, religiosa o sindical con relación a sus
fines. • El interesado ha hecho manifiestamente públicos sus datos.
O cuando el tratamiento esté fundamentado en la legislación vigente:
• Bajo la responsabilidad de personas sujetas a la obligación del secreto profesional. • Para fines de asistencia sanitaria o social, medicina preventiva o laboral o diagnóstico médico, incluida la evaluación de la capacidad laboral del
trabajador. • Para procedimientos judiciales. • Es necesario para cumplir la legislación laboral, o la de seguridad o protección social o la de convenios colectivos. • Es necesario por razones de interés público en el ámbito de la salud pública o la asistencia sanitaria. • Es necesario para fines de archivo en interés público en investigaciones científicas, históricas o estadísticas.
10. Tratamiento de categorías especiales de datos
1 2 3 4 5 6 7 8 9 11 1210
• Origen étnico o racial.• Origen étnico o racial.
• Opiniones políticas.• Opiniones políticas.
• Afiliación sindical.• Afiliación sindical.
• Datos genéticos.• Datos genéticos.
• Datos biométricos que permitan la identificación unívoca de una persona.• Datos biométricos que permitan la identificación unívoca de una persona.
• Datos relativos a la salud.• Datos relativos a la salud.
• Datos relativos a la vida y orientación sexuales.• Datos relativos a la vida y orientación sexuales.
SiguienteAnterior
Formación Aseguradora GACM © 05/1828
El Principio de Responsabilidad Proactiva Este principio supone que el Responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD.
Es decir, deben analizar qué datos tratan, con qué finalidad y qué operaciones de tratamiento realizan. A partir de ese análisis, deben adoptar las medidas recogidas en el RGPD, que deben ser adecuadas para su cumplimiento, y deben poder demostrarlo ante interesados y autoridades supervisoras.
Ello obliga a las empresas a tener una actitud proactiva, diligente y consciente en los tratamientos de datos personales que efectúen.
11. Responsabilidad proactiva
1 2 3 4 5 6 7 8 9 10 1211
La persona física es la propietaria de sus datos personales y siempre debe poner tener el control sobre esos datos.
Desde cualquier actividad de tratamiento que tenga lugar en el seno del Grupo GACM España o por parte de un colaborador, debe cumplir con el RGPD siguiendo en primer término los 6 principios relativos al tratamiento, operando
siempre desde la Responsabilidad proactiva:
• Licitud, lealtad e transparencia.• Licitud, lealtad e transparencia.
• Limitación de la finalidad.• Limitación de la finalidad.
• Minimización de datos.• Minimización de datos.
• Exactitud de los datos.• Exactitud de los datos.
• Limitación del plazo de conservación.• Limitación del plazo de conservación.
• Integridad y confidencialidad.• Integridad y confidencialidad.
SiguienteAnterior
Formación Aseguradora GACM © 05/1829
Autoridad de control El RGPD define a la Autoridad de control, como la autoridad pública independiente establecida por un Estado miembro, que supervisará la aplicación del Reglamento con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales y a facilitar la libre circulación de datos personales en la UE. En España actualmente, es la Agencia Española de Protección de Datos (AEPD).
Funciones de la Autoridad de control
Funciones que afectan al interesado
• Facilitar información al interesado de los derechos que le otorga el Reglamento. • Facilitar la presentación de reclamaciones mediante formularios por vía electrónica u otros medios de comunicación. • Resolver las reclamaciones presentadas por un interesado.
Funciones que afectan al Responsable y al Encargado del tratamiento
• Recibir las notificaciones de violaciones de seguridad del Responsable del tratamiento y, si procede, exigir su comunicación al interesado. • Adoptar cláusulas contractuales tipo de protección de datos, para la formalización de contratos entre el Responsable y el Encargado del
tratamiento. • Realizar transferencias internacionales de datos mediante garantías adecuadas. • Autorizar las cláusulas contractuales establecidas entre el Responsable del tratamiento, Encargado del tratamiento o Destinatarios para realizar
transferencias internacionales de datos. • Elaborar y mantener una lista de los tipos de tratamiento que requieren una evaluación de impacto y de los detalles que se deben incluir en su
documentación. • Asesorar al Responsable o al Encargado del tratamiento del procedimiento para realizar una consulta previa a la Autoridad de control y, cuando
ésta se haya producido y no sea conforme al Reglamento, comunicárselo por escrito en un plazo máximo de 8 semanas.
12. La Autoridad de control
1 2 3 4 5 6 7 8 9 10 11 12
SiguienteAnterior
Formación Aseguradora GACM © 05/1830
Sanciones Cada Autoridad de control podrá imponer multas administrativas al Responsable y al Encargado del tratamiento o, si lo hubiere, al representante de estos, por infringir el Reglamento garantizando que serán efectivas, proporcionadas y disuasorias.
Las multas administrativas se impondrán en función de las circunstancias de cada caso individual, teniendo en cuenta las facultades investigadoras y correctoras conferidas a la Autoridad de control.
Valoración de las sanciones La decisión de la Autoridad de control para imponer una multa administrativa y calcular su importe tendrá en cuenta:
• La naturaleza, gravedad y duración de la infracción en relación con el fin del tratamiento. • El número de interesados afectados. • El nivel de los perjuicios sufridos por los interesados. • La intencionalidad o negligencia de la infracción. • Las categorías de datos afectados por la infracción. • El grado de responsabilidad del Responsable o Encargado del tratamiento. • La reiteración de infracciones del Responsable o Encargado del tratamiento. • Las medidas tomadas por el Responsable o Encargado del tratamiento para paliar los perjuicios sufridos por los interesados. • El grado de cooperación con la Autoridad de control con el fin de remediar la infracción y mitigar sus posibles efectos adversos. • La forma en que la Autoridad de control ha tenido conocimiento de la infracción (si se ha notificado, o en la medida que se ha hecho). • El cumplimiento de las medidas ordenadas previamente por la Autoridad de control contra el Responsable o Encargado del tratamiento en
relación con el mismo asunto. • La adhesión a códigos de conducta o a mecanismos de certificación aprobados por la Autoridad de control. • Otros factores agravantes o atenuantes aplicables a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas
por la infracción.
12. La Autoridad de control
1 2 3 4 5 6 7 8 9 10 11 12
SiguienteAnterior
Formación Aseguradora GACM © 05/1831
Importe de las sanciones 1) Multa administrativa con un máximo del importe más elevado entre 10.000.000 € y el 2% del volumen de negocio total anual global del ejercicio
financiero anterior, para las infracciones de las siguientes disposiciones del Reglamento:
• Condiciones aplicables al consentimiento del menor en relación con los servicios de la sociedad de la información.
• Tratamientos que no requieren identificación. • Encargados del tratamiento. • Corresponsables del tratamiento. • Tratamientos bajo la autoridad del Responsable y del Encargado del
tratamiento. • Representantes de los Responsable del tratamiento no establecidos en la UE. • Registro de las actividades del tratamiento. • Protección de datos desde el diseño y por defecto. • Seguridad del tratamiento. • Evaluación de impacto relativa a la protección de datos.
• Consultas previas. • Notificación de una violación de seguridad a la Autoridad de control. • Comunicación de una violación de seguridad al interesado. • Garantías de certificación. • Organismos y procedimientos de certificación. • Designación del DPO. • Funciones del DPO. • Poderes del DPO. • Cooperación con la Autoridad de control.
12. La Autoridad de control
1 2 3 4 5 6 7 8 9 10 11 12
SiguienteAnterior
Formación Aseguradora GACM © 05/1832
Importe de las sanciones 2) Multa administrativa con un máximo del importe más elevado entre 20.000.000 € y el 4% del volumen de negocio total anual global del ejercicio
financiero anterior, para las infracciones de las siguientes disposiciones del Reglamento:
• Principios relativos al tratamiento de datos personales. • Licitud del tratamiento. • Condiciones para el consentimiento. • Tratamiento de categorías especiales de datos personales. • Transferencias de datos personales a terceros países u organizaciones
internacionales. • Disposiciones relativas a situaciones específicas de tratamiento de datos. • Derechos del interesado. • No facilitar el acceso a la Autoridad de control para ejercer sus facultades
investigadoras. • El incumplimiento de un requerimiento de la Autoridad de control.
El importe total de las multas para unas mismas operaciones de tratamiento que incumplan diversas disposiciones del Reglamento, no podrá superar la cantidad prevista para los incumplimientos más graves de dichas operaciones. Cada Estado de la UE podrá establecer normas sobre la imposición de multas administrativas a las Autoridades y Organismos públicos establecidos en dicho Estado.
12. La Autoridad de control
1 2 3 4 5 6 7 8 9 10 11 12
SiguienteAnterior
Formación Aseguradora GACM © 05/1833
Ya has finalizado el curso Reglamento General de Protección de Datos
Gracias por tu tiempo
1º Cierra esta aplicación
3º Realiza el cuestionario correspondiente
3. Principios del tratamiento 9
4. Consentimiento explícito 11
9. La violación de la seguridad 25
10. Tratamiento de categorías especiales de datos 27
11. Responsabilidad proactiva 28
SiguienteAnterior
Formación Aseguradora GACM © 05/183
El Dueño de los Datos es la Persona Física Los datos personales se han convertido en el nuevo petróleo del siglo XXI.
Pasamos de la gestión de datos al gobierno de la información.
Las nuevas tecnologías y en concreto, la digitalización, de todos los ámbitos de la vida tiene un impacto revolucionario sobre nuestra sociedad, educación, en la política y en la economía.
El Reglamento UE pretende rescatar de forma uniforme en todos los Estados miembros de la UE, la privacidad digital y eliminar la vigilancia de masas, manipulación, pérdida de libertad y espionaje.
1. Introducción
2 3 4 5 6 7 8 9 10 11 121
Jan Philipp Albrecht El proceso legislativo de este Reglamento UE ha sido largo, iniciándose en 2012 hasta 2016, siendo liderado por el joven parlamentario europeo del partido verde europeo Jan Philipp Albrecht. El texto en estado de borrador obtuvo más de 4.000 enmiendas, a resultas de las muchísimas tensiones e intereses, que genera la gestión de los datos personales y su libre circulación europea.
Para ampliar más la información sobre la actividad llevada acabo de Jan Philipp Albrecht, puedes consultar Parlamento Europeo Eurodiputados, que tienes disponible como recurso del curso.
SiguienteAnterior
Formación Aseguradora GACM © 05/184
El nuevo Reglamento General de Protección de Datos (RGPD) Pretende consolidar una verdadera cultura de privacidad en nuestro tejido empresarial con la finalidad de proteger eficientemente los datos personales de todos los ciudadanos europeos.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, está en vigor desde el 25 de mayo de 2016 (deroga la Directiva 95/46/CE) y será de aplicación obligatoria en todos los Estados de la UE a partir del 25 de mayo de 2018, por lo que a partir de este momento rige el RGPD, quedarán sin efecto la LOPD y su reglamento de desarrollo, RDLOPD. Se aprobará una nueva LOPD que sustituirá la anterior y que complementará este nuevo RGPD.
Aplicación del Reglamento El RGPD se aplica a las operaciones realizadas sobre datos personales de ciudadanos residentes en la UE efectuadas por un Responsable del tratamiento (RT) o un Encargado del tratamiento (ET):
• Establecido en la UE, independientemente de que el tratamiento tenga lugar en la UE o no. • No establecido en la UE, siempre y cuando las actividades del tratamiento estén relacionadas con:
o La oferta de bienes o servicios a personas residentes en la UE, se pague o no por ello. o El control de la conducta de personas, si tiene lugar en la UE. o No establecido en la UE, pero sea de aplicación la legislación de un Estado de la UE.
“El RGPD establece las normas relativas a la protección de datos personales de las personas físicas referentes a su tratamiento y a la libre circulación de los mismos."
Para ampliar más la información puedes consultar en la Agencia Española de Protección de Datos (AEPD), el Reglamento General de Protección de Datos, que tienes disponible como recurso del curso.
El RGPD no se aplica: • Al tratamiento de datos entre personas individuales (excepto si alguna de estas
personas realiza el tratamiento para el ejercicio de una actividad económica). • A las actividades no comprendidas en el ámbito de aplicación del Derecho de la UE.
1. Introducción
2 3 4 5 6 7 8 9 10 11 121
SiguienteAnterior
Definiciones de los conceptos principales
Datos personales Toda información sobre una persona física identificada o identificable “el interesado”, se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
2. Conceptos principales de la protección de datos
Interesado Persona física sometida al tratamiento de sus datos personales.
Tratamiento Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
1 3 4 5 6 7 8 9 10 11 122
SiguienteAnterior
1. Figuras y roles del tratamiento de datos
Responsable del tratamiento (RT) La persona física o jurídica, autoridad pública, servicio u otro organismo que,
solo o junto con otros, determine los fines y medios del tratamiento.
Encargado del tratamiento (ET) Persona física o jurídica, Autoridad pública, servicio u otro organismo que trate datos personales por cuenta del RT.
Delegado de protección de datos (DPD) Nueva figura que en su caso debe designar el RT y el ET para que cumpla con las funciones de informar y asesorar, supervisar el cumplimiento del RGPD y cooperar con la autoridad de control. El RT y el ET garantizarán que el DPD no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones, debiendo operar éste de forma independiente.
Autoridad de control Autoridad pública independiente con la función de supervisar la aplicación del Reglamento.
2. Conceptos principales de la protección de datos
1 3 4 5 6 7 8 9 10 11 122
SiguienteAnterior
2. Categoría de datos
Datos Básicos Datos personales que no correspondan a categorías Especiales de datos ni a condenas y delitos Penales. Por ejemplo: nombre, dirección, email, teléfono, edad, sexo, firma, imagen, aficiones, patrimonio, datos bancarios, información académica, profesional, social, comercial, financiera, etc.
Categorías Especiales de datos Datos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales.
2. Conceptos principales de la protección de datos
1 3 4 5 6 7 8 9 10 11 122
Condenas y delitos penales Datos relativos a condenas y delitos penales o medidas de seguridad afines.
Datos de personas vulnerables Datos relativos a menores de 16 años (13 años previsiblemente en España, puesto que se permite a los Estados miembros fijar una edad inferior en la horquilla 16-13 años). Datos relativos de personas sujetas a alguna medida de protección legal ( tutela, protección judicial o análogos).
SiguienteAnterior
Formación Aseguradora GACM © 05/188
Tratamiento de datos de niños La oferta directa de servicios de la sociedad de la información (e-comerce) a menores de 14 años deberá obtenerse con el consentimiento de su representante legal. EL RGPD señala una horquilla de 13 a 16 años, siendo cada estado UE quién debe decidir. Y hasta disponer de la nueva LOPD resulta de aplicación el límite de 14 años de conformidad con la vieja LOPD que sigue parcialmente en vigor. La información del tratamiento dirigida a un menor deberá facilitarse con un lenguaje claro, sencillo y adecuado al receptor.
Tratamiento relativos a condenas e infracciones penales El tratamiento de datos relativos a condenas y delitos penales o medidas de seguridad afines sólo podrá realizarse si está fundamentado en la legislación vigente con garantías adecuadas para los derechos y libertades de los interesados o bajo la supervisión de poderes públicos. Sólo podrá llevarse un registro completo de condenas penales, bajo el control de las autoridades públicas.
Tratamiento de categorías especiales de datos Cómo principio general está prohibido tratar datos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales. A excepción de que el interesado haya dado su consentimiento explícito para uno o varios fines específicos, u a excepción de otras casuísticas que permite el reglamento, como por ejemplo en cumplimiento de la legislación laboral, proteger el interés vital del interesado o para el reconocimiento, ejercicio o defensa de demandas judiciales entre otras bases que prevé el reglamento.
2. Conceptos principales de la protección de datos
1 3 4 5 6 7 8 9 10 11 122
SiguienteAnterior
Formación Aseguradora GACM © 05/189
Los 6 principios de la protección de datos que establece el RGPD, deben aplicarse a todo el tratamiento de la información relativa a una persona física identificada o identificable.
Los datos personales serán tratados con:
1. Licitud, lealtad y transparencia Licitud: equivale a que el tratamiento tenga una o más de las bases legales que prevé el RGPD (contrato firmado, obligación legal, consentimiento explícito, interés legítimo, interés vital y interés público). Lealtad y transparencia: equivale a que en la recogida de los datos del interesado, se le debe informar de forma verídica de quién es el responsable, la finalidad, de la dirección para ejercer los derechos entre otras informaciones.
2. Limitación de la finalidad Recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines.
3. Minimización de los datos Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
4. Exactitud Actualizados sin demora con respecto a los fines para los que se tratan.
5. Limitación del plazo de conservación Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales.
6. Integridad y confidencialidad Tratados de tal manera que se garantice una seguridad adecuada de los datos personales. Incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
Los principios de protección de datos Se aplican al tratamiento de datos, o sea, a cualquier operación realizada sobre datos personales: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
3. Principios del tratamiento
Obligación de Responsabilidad Proactiva Somos responsables del cumplimiento de los 6 principios y capaces de demostrar el mismo, frente a la Agencia Española de Protección de datos, Auditorías, Actividades de supervisión y control.
1 2 4 5 6 7 8 9 10 11 123
SiguienteAnterior
Formación Aseguradora GACM © 05/1810
Licitud Ampliamos la información de Licitud que debemos conocer, ya que el RPGD dispone que el tratamiento, sólo será lícito cuando se rija en una o más de las siguientes bases legales:
• El consentimiento explícito para fines específicos y/o. • Un contrato o precontrato con el interesado y/o. • La necesidad de la protección de los intereses vitales del interesado u otra persona física y/o. • Un interés legítimo del Responsable del tratamiento o terceros, siempre que no prevalezcan los intereses o los derechos y libertades del
interesado, especialmente si es un niño y/o. • Una procedencia legítima de archivos de acceso público obtenidos de una fuente pública o el interesado haya hecho manifiestamente públicos sus
datos y/o. • Una obligación jurídica a la que esté sujeto el Responsable del tratamiento y/o. • Un cometido de interés público fundamentado en la legislación vigente y/o.
Licitud para tratamientos con fines distintos del inicialmente informado En este caso, el Reglamento dispone que solo será lícito si es compatible con el fin inicial y existe una relación entre: • Las finalidades del tratamiento. • El entorno del Responsable del tratamiento y los interesados. • La categoría de datos. • Las posibles consecuencias para el interesado. • La protección de datos (cifrado, seudonimización, etc.).
3. Principios del tratamiento
1 2 4 5 6 7 8 9 10 11 123
El consentimiento explícito para fines específicos Ejemplo práctico: Un cliente de la aseguradora contrata una póliza, además y nos da el consentimiento explícito para tratar sus datos en acciones comerciales intragrupo. Bases legales de licitud del tratamiento: • Con respecto al tratamiento de datos en la gestión del siniestro de la póliza, la base legal es el contrato (la póliza). • Con respecto al tratamiento de datos con fines comerciales, la base legal es el consentimiento explícito.
Cuando la base legal sea la obtención del consentimiento explícito en el RGPD a diferencia de la LOPD, donde el consentimiento podía ser tácito, el RGPD requiere una
declaración o acción positiva del interesado que indique su conformidad con el tratamiento.
SiguienteAnterior
Requisitos del consentimiento Los requisitos para que un consentimiento sea considerado válido son:
Información específica El consentimiento debe ser estar basado en información adecuada (Firma de Cláusula de RGPD y/o grabación de locución). No es aceptable el consentimiento genérico sin especificar el propósito exacto de la finalidad del tratamiento.
Momento El consentimiento debe darse después de la información y antes de que comience el tratamiento.
Elección activa El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal grabada.
Libremente otorgado El consentimiento sólo será válido si el interesado está en condiciones de ejercer una elección real y no hay riesgo de engaño, intimidación, coacción o consecuencias negativas importantes si el interesado no da su consentimiento.
Condiciones del consentimiento Las condiciones para que un consentimiento sea considerado válido son:
• El Responsable del tratamiento asumirá la prueba del consentimiento. Si éste se realiza por escrito, deberá distinguirse claramente de otros asuntos.
• El consentimiento no será lícito si se condiciona a una prestación de servicios sin ser necesario para su realización. • El Responsable del tratamiento informará al interesado, antes de dar su consentimiento, que tiene derecho a retirarlo en cualquier momento sin
que afecte al tratamiento efectuado hasta entonces. • Debe ser tan fácil retirar como dar el consentimiento. • Los consentimientos que infrinjan parcialmente el Reglamento serán considerados nulos.
4. Consentimiento explícito
1 2 3 5 6 7 8 9 10 11 124
SiguienteAnterior
Formación Aseguradora GACM © 05/1812
La información del tratamiento (principio número 1) Antes de recabar los datos del interesado se debe informar.
El principio fundamental de un tratamiento es la lealtad y transparencia con el interesado. Aplicando este principio, el RGPD dispone que se deberá facilitar la información del tratamiento de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, especialmente si va dirigida a niños.
A diferencia de la LOPD, que la información del tratamiento se reflejaba en una cláusula diminuta ahora el RGPD nos obliga a ser más transparentes, lo que quiere decir que el interesado debe estar claramente informado del tratamiento ampliándose la información obligatoria. La información se podrá facilitar por escrito o por medios electrónicos, inclusive oralmente si lo solicita el interesado.
5. La información del tratamiento
1 2 3 4 6 7 8 9 10 11 125
Por lo que estamos obligados a verificar que en nuestra actividad, cuando se recaban datos por vez primera con una finalidad, se cumple con la obligación de informar (firma y/o grabación de
locución de cláusula) y además la información incluye los nuevos requisitos del tratamiento.
SiguienteAnterior
Formación Aseguradora GACM © 05/1813
• Información detallada del origen de los datos, incluso si proceden de fuentes de acceso público.
• Categoría de datos que se traten.
Contenido de la información al interesado El Responsable del tratamiento deberá facilitar, como mínimo, la siguiente información. Se puede distinguir entre una información básica (primer nivel) y una información adicional (segundo nivel):
5. La información del tratamiento
1 2 3 4 6 7 8 9 10 11 125
Identidad del Responsable del tratamiento.
Epígrafe Información básica 1ª capa, resumida
Información adicional 2ª capa, detallada
• Datos de contacto del Responsable de tratamiento. (RT) Identidad y datos de contacto del responsable.
• Datos de contacto del Delegado de protección de datos (DPD) si existe.
Descripción sencilla de los fines del tratamiento, incluso elaboración de perfiles.
• Descripción ampliada de los fines del tratamiento. • Plazos o criterios de conservación de los datos. • Decisiones automatizadas, perfiles y lógica aplicada.
Base jurídica del tratamiento. • Detalle de la base jurídica del tratamiento, en los casos de obligación
legal, interés público o interés legítimo. • Obligación o no, de facilitar datos y consecuencias de no hacerlo.
Previsión o no de cesiones. Previsión de transferencias o no, a terceros
países.
situaciones específicas aplicables.
Referencia al ejercicio de derechos. • Cómo ejercer los derechos de acceso, rectificación, supresión y
portabilidad de los datos, y la limitación u oposición a su tratamiento. • Derecho a retirar el consentimiento prestado.
Fuente de los datos, cuando no proceden del interesado.
Responsable del tratamiento.
Finalidad del tratamiento.
Legitimación del tratamiento.
Formación Aseguradora GACM © 05/1814
Comunicación de la información al interesado La información del tratamiento se deberá facilitar en el momento de la obtención de los datos, no siendo necesario volver a hacerlo una vez el interesado haya sido informado, siempre que sean utilizados para la misma finalidad para la que se recabaron.
5. La información del tratamiento
1 2 3 4 6 7 8 9 10 11 125
La información deberá ser concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo y se facilitará por escrito o por medios electrónicos, inclusive verbalmente si lo solicita el interesado.
No será necesario comunicar la información al interesado: Cuando el tratamiento sea una obligación legal del Responsable del tratamiento, por ejemplo, la obtención de datos para la emisión de facturas.
SiguienteAnterior
6. Los derechos del interesado
1 2 3 4 5 7 8 9 10 11 126
Ejercicio de los derechos del interesado El interesado (persona física) siempre el propietario de sus datos personales. El interesado debe tener el control de sus propios datos. A estos efectos se le reconocen unos derechos cuyo ejercicio debe ser posible. Por ello dentro de la información obligada, se incluye la forma de ejercer los derechos por parte del interesado.
Los derechos que el Reglamento atribuye al interesado son:
Acceso a los datos
Rectificación de los datos
Supresión de los datos
Portabilidad de los datos
A interponer un recurso judicial
A indemnización y responsabilidad
El Responsable del tratamiento deberá responder las solicitudes del interesado sin demora injustificada y como máximo en el plazo de un mes, y tendrá que explicar sus motivos en caso de que no atenderlas.
En la generalidad de nuestras cláusula o locuciones informativas, indicamos a los interesados que pueden ejercer estos derechos por correo postal a Horizon Sant Cugat, o bien a la dirección de correo electrónico [email protected].
A priori la gestión de estos ejercicios se lleva a cabo por el Servicio de Atención y Defensa del Cliente del Grupo GACM España.
SiguienteAnterior
Formación Aseguradora GACM © 05/1816
Derecho de acceso El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la información relativa a: fines de tratamiento, categoría de datos, plazos previstos de conservación y demás según se tasan en el tratamiento.
6. Los derechos del interesado
1 2 3 4 5 7 8 9 10 11 126
Derecho de rectificación El interesado tiene derecho, además de rectificar los datos inexactos, a que se completen los datos personales incompletos, inclusive mediante una declaración adicional.
Derecho de supresión (Derecho al olvido) El interesado tiene el derecho a la supresión de los datos personales sin dilación indebida cuando concurra alguno de los supuestos contemplados. Como el tratamiento ilícito de datos, o cuando haya desaparecido la finalidad que motivó el tratamiento o recogida. No obstante, se regulan unas excepciones en las que no procederá este derecho. Como el cumplimiento de una obligación legal, o para la formulación, ejercicio o defensa de reclamaciones. El Derecho al olvido (nuevo derecho), es una subespecie nueva del Derecho de supresión que atañe al canal digital.
SiguienteAnterior
Formación Aseguradora GACM © 05/1817
Derecho a la portabilidad de los datos (Nuevo derecho) El interesado podrá recibir sus datos personales facilitados en un formato estructurado, de uso común y lectura mecánica, y poder transmitirlos a otro Responsable, siempre que sea técnicamente posible. De igual forma el interesado tendrá derecho, a que los datos se transmitan directamente de Responsable a Responsable, cuando sea técnicamente posible.
6. Los derechos del interesado
1 2 3 4 5 7 8 9 10 11 126
Derecho a la limitación del tratamiento (Nuevo derecho) El interesado tiene derecho a: • Solicitar al Responsable que suspenda un tratamiento concreto en los
casos que prevé el reglamento. Por ejemplo si se impugna la exactitud de los datos y mientras se verifica dicha exactitud por el Responsable. O cuando se haya ejercido el derecho de oposición al tratamiento de datos, mientras se verifica si los motivos legítimos del Responsable prevalecen sobre el interesado.
• Todo interesado que haya obtenido la limitación del tratamiento, será informado por Responsable antes del levantamiento de dicha limitación.
SiguienteAnterior
Formación Aseguradora GACM © 05/1818
Derecho a presentar una reclamación (denuncia) ante la Autoridad de control El interesado tendrá derecho a estar informado por el Responsable de que puede presentar una reclamación ante la Autoridad de control, si considera que el tratamiento de sus datos personales no se ajusta a lo dispuesto en el Reglamento.
6. Los derechos del interesado
1 2 3 4 5 7 8 9 10 11 126
Derecho a indemnización (Nuevo derecho)
y responsabilidad Además de tener el derecho a presentar la reclamación, toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del Responsable o el Encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
El Responsable o Encargado del tratamiento estará exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
Derecho de oposición El interesado podrá oponerse al tratamiento de datos personales: • Cuando por motivos relacionados con su situación personal, debe cesar
el tratamiento de sus datos salvo que se acredite un interés legítimo, o sea necesario para el ejercicio o defensa de reclamaciones.
• Cuando el tratamiento tenga por objeto la mercadotecnia (marketing) directa, los datos dejarán de ser tratados para dichos fines.
SiguienteAnterior
Formación Aseguradora GACM © 05/1819
1. Delegado de protección de datos El Delegado de protección de datos (DPD), es la persona encargada de:
• Informar y asesorar al RT o al ET ya los empleados que se ocupen del tratamiento de las obligaciones que les incumben. • Supervisar el cumplimiento del reglamento. • Asesorar en las evaluaciones de impacto del tratamiento. • Cooperar y actuar cómo interlocutor con la autoridad de control.
Y debe desempeñar sus funciones en atención a los riesgos asociados a las operaciones de tratamiento. Podrá informar directamente al más alto nivel de dirección del Responsable o Encargado del tratamiento
Los interesados: Podrán contactar con el DPD para tratar los asuntos que les afecten relativos al tratamiento de sus datos y al ejercicio de los derechos que les confiere el Reglamento.
7. La responsabilidad del tratamiento
1 2 3 4 5 6 8 9 10 11 127
Roles definidos por el RGPD 1. Delegado de protección de datos (DPD, figura nueva) 2. Responsable de tratamiento (RT) 3. Encargado del tratamiento (ET) 4. Corresponsables del tratamiento (Figura nueva)
SiguienteAnterior
Formación Aseguradora GACM © 05/1820
2. Responsable del tratamiento (RT) Es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, que determina los fines y medios del tratamiento. El Responsable del tratamiento deberá, antes y durante el tratamiento:
• Implementar medidas técnicas y organizativas apropiadas para garantizar y demostrar el cumplimiento del Reglamento.
Teniendo en cuenta: • La naturaleza, ámbito, contexto y fines del tratamiento. • Los riesgos para los derechos y libertades de los interesados. • El tipo de organización. • Aplicar medidas de protección de datos proporcionadas en relación con las actividades del tratamiento. • Formalizar mediante un contrato el encargo del tratamiento (Prestación de servicios con el ET). Este contrato debe incluir los apartados que el
RGPD estable como obligatorios.
Protección de datos desde el diseño y por defecto El Responsable del tratamiento deberá garantizar desde el diseño y por defecto, antes y durante el tratamiento la aplicación efectiva de los principios de protección de datos a todos datos personales tratados, así como al plazo de conservación y a su accesibilidad:
• Que el tratamiento se realice para fines específicos, recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines.
• La minimización de datos, siendo adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados • La exactitud, confidencialidad, integridad, seguridad física y supresión de los datos. • La protección de los derechos del interesado. • Que los datos no sean accesibles, sin la intervención humana, a un número indeterminado de personas. • La aplicación de los resultados de la evaluación de impacto. • El Responsable del tratamiento podrá utilizar los mecanismos de certificación, establecidos en el Reglamento para demostrar la protección de los
datos desde el diseño y por defecto.
7. La responsabilidad del tratamiento
1 2 3 4 5 6 8 9 10 11 127
Para ampliar más la información puedes consultar en la Agencia Española de Protección de Datos (AEPD), la Guía del RGPD para Responsables de Tratamiento, que tienes disponible como recurso del curso.
SiguienteAnterior
Formación Aseguradora GACM © 05/1821
3. Encargados del tratamiento (ET) Es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Responsable del tratamiento.
El RT debe elegir un ET que aporte las suficientes garantías de cumplir con sus obligaciones y poder acreditar que esta elección es correcta. El ET debe :
• Implementar políticas técnicas y organizativas apropiadas para cumplir el Reglamento. • Proteger los derechos del interesado. • Aplicar las medidas de seguridad que establece el Reglamento. • Debe cumplir las obligaciones asumidas en el contrato que ha suscrito con el RT y en su caso
las legales.
Si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.
El Responsable y/o Encargado del tratamiento garantizarán que las Personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad, mediante:
• Acuerdos de confidencialidad. • Una obligación legal de confidencialidad.
Así por ejemplo, los empleados del Grupo deberán suscribir un anexo al contrato laboral, que actualice la cláusula de LOPD y confidencialidad a los nuevos requisitos del RGPD. Del mismo modo, los contratos de colaboración también deberán ser actualizados por el anexo oportuno.
7. La responsabilidad del tratamiento
1 2 3 4 5 6 8 9 10 11 127
Siempre que actuemos cómo RT o ET en una prestación de servicio o colaboración, debe mediar una cláusula de protección de datos y confidencialidad firmada por las partes. Y ésta, debe cumplir con los contenidos que le exige el RGPD.
SiguienteAnterior
4. Corresponsable del tratamiento Cuando dos o más responsables determinan conjuntamente los objetivos y los medios del tratamiento son considerados Corresponsables del tratamiento.
Los corresponsables fijan de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente RGPD que regularán mediante un contrato.
Independientemente de los términos del acuerdo, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a, y en contra de, cada uno de los responsables.
Registro de actividades del tratamiento (RAT) El Responsable y/o Encargado del tratamiento tendrán la obligación de llevar un Registro de actividades del tratamiento (RAT), cuando en el tratamiento de datos concurra en alguna de las siguientes condiciones:
• Empleen a un mínimo de 250 personas. • Pueda suponer un riesgo para los derechos y libertades del interesado
y no tenga un carácter ocasional. • Se traten categorías especiales de datos. • Se traten datos relativos a condenas y delitos penales.
7. La responsabilidad del tratamiento
1 2 3 4 5 6 8 9 10 11 127
El RAT debe estar constantemente actualizado, incorporando todas las actividades con datos personales de las empresas, y ofrecer una fotografía en tiempo real de los flujos de tratamiento de datos, que ha de quedar a disposición de la Autoridad de control.
SiguienteAnterior
Formación Aseguradora GACM © 05/1823
La seguridad del tratamiento El RGPD establece el Principio de Integridad y Confidencialidad, disponiendo que los datos sean: “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”.
Responsabilidad • Acuerdos de confidencialidad con el Personal autorizado. • Contratos con los Encargados del tratamiento. • Acuerdos con los Corresponsables del tratamiento. • Contratos con los Destinatarios de los datos.
Estructura técnica • Ejecución de los derechos de los interesados. • Protección de datos desde diseño y por defecto. • Análisis de los riesgos del tratamiento. • Evaluación de impacto (si existen riesgos). • Resolución de violaciones de la seguridad.
Estructura organizativa • Acceso a equipos y redes informáticas. • Acceso a categorías especiales de datos (si existen). • Protección de equipos y redes informáticas. • Copias de respaldo. • Transporte y transmisión de datos. • Transferencias internacionales (si existen). • Destrucción de datos.
La política de seguridad a implementar, debe aplicar las siguientes medidas en los ámbitos de:
8. La seguridad del tratamiento
1 2 3 4 5 6 7 9 10 11 128
SiguienteAnterior
Formación Aseguradora GACM © 05/1824
Política de seguridad La política de seguridad deberá garantizar la implantación de medidas adecuadas para la protección de los derechos y libertades de los interesados. Para evaluar el nivel de seguridad a implantar, se tendrán en cuenta los riesgos que pueda tener el tratamiento como consecuencia de:
El Responsable o Encargado del tratamiento podrán utilizar la adhesión a los Códigos de conducta o mecanismos de Certificación establecidos en el RGPD para demostrar la implantación de las medidas de seguridad.
8. La seguridad del tratamiento
1 2 3 4 5 6 7 9 10 11 128
La destrucción accidental o ilícita de datos.
La pérdida, alteración o comunicación no autorizada.
El acceso a los datos cuando sean transmitidos, conservados u objeto de algún otro tipo de tratamiento.
SiguienteAnterior
Formación Aseguradora GACM © 05/1825
La violación de seguridad de los datos personales Es un nuevo concepto del RGPD, que queda sujeto a un procedimiento o trámite de obligado cumplimiento.
Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos que pueda producirse en cualquier fase del tratamiento: obtención, acceso, intervención, transmisión, conservación o supresión de datos, genera las siguientes obligaciones para el RT y/o el ET:
Deben tomar suficientes medidas para prevenir daños o perjuicios a interesados o terceros en el transcurso del tratamiento de datos, como:
También obliga al Responsable a notificar dichas violaciones a la Autoridad de control en un máximo de 72 horas e incluso a comunicarlas a los interesados afectados si se prevé que la incidencia pueda entrañar un alto riesgo para sus derechos y libertades.
9. La violación de seguridad
1 2 3 4 5 6 7 8 10 11 129
• La pérdida de control sobre sus datos personales. • La restricción de sus derechos. • Discriminación. • Usurpación de identidad. • Pérdidas financieras. • Reversión no autorizada de la seudonimización. • Daño para la reputación. • Pérdida de confidencialidad de datos sujetos al secreto profesional. • O cualquier otro perjuicio económico o social significativo para la persona física.
Por ello cualquier empleado / colaborador que tenga conocimiento que se ha producido una violación de seguridad por cualquier motivo, sea intencionado o accidental, tiene el deber de informar de ello a su Responsable y DPO, para proteger de esta forma los
derechos y libertades de las personas física y minimizar el riesgo de sanción y el riesgo reputacional del Grupo.
SiguienteAnterior
Formación Aseguradora GACM © 05/1826
Casos y ejemplos de posibles violaciones de la seguridad de los datos personales Se puede producir una violación de la seguridad cuando, por cualquier motivo, sea intencionado o no, se vulnere la seguridad de los datos o se prevea que pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas.
Violación de datos • Acceso a datos no autorizado: • Encargo del tratamiento sin el contrato correspondiente. • Acceso indiscriminado a impresoras, fotocopiadoras, etc. • Acceso a información confidencial no autorizada: nóminas,
currículums, embargos, video vigilancia, etc. • Acceso no autorizado a los sistemas informáticos.
Comunicación de datos no autorizada • Transmisión ilícita de datos a un Destinatario. • Vulneración del secreto profesional. • Publicación de imágenes sin autorización del interesado. • Envío de correos electrónicos masivos sin ocultar los
destinatarios (copia oculta). • Transferencia internacional de datos sin estar sujeta a una
Decisión de suficiencia de la UE o Garantías adecuadas de protección de datos.
Alteración de datos • Modificación de datos malintencionado. • Falsificación de datos. • Recuperación ineficaz de copias de respaldo. Pérdida de información
• Extravío u olvido de soportes. • Robo o sustracción de información. • Desinstalación de aplicaciones informáticas. • Por causas del transporte. • Reorganización de la empresa.
Destrucción de datos • No usar destructora de papel o de soportes digitales. • Incendio, inundación u otras causas ajenas a la empresa.
En cualquiera de los casos nombrados anteriormente, se pueden producir violaciones de datos por la ausencia de medidas de seguridad:
• Antivirus, antispam, antimalware, antiransomware, fireware, cifrado, seudonimización, etc. • Identificación y autentificación para acceder a los sistemas informáticos. • Mecanismos de seguridad para acceder al mobiliario o a departamentos con datos personales. • Disposición de datos a la vista de personas no autorizadas (recepción, monitores, mesas, etc.).
9. La violación de seguridad
1 2 3 4 5 6 7 8 10 11 129
SiguienteAnterior
Prohibición para tratar categorías especiales de datos El Reglamento dispone expresamente la prohibición de tratar datos que revelen:
No se aplica la prohibición en los siguientes casos previstos en el RGPD Como excepción a la prohibición expuesta anteriormente, el reglamento permite tratar categorías especiales de datos cuando:
• El interesado haya dado su consentimiento explícito para fines específicos (excepto si está prohibido por la legislación vigente). • Es necesario para proteger los intereses vitales del interesado, cuando esté incapacitado para dar su consentimiento. • El tratamiento lo realiza legítimamente una organización sin ánimo de lucro, con finalidad política, filosófica, religiosa o sindical con relación a sus
fines. • El interesado ha hecho manifiestamente públicos sus datos.
O cuando el tratamiento esté fundamentado en la legislación vigente:
• Bajo la responsabilidad de personas sujetas a la obligación del secreto profesional. • Para fines de asistencia sanitaria o social, medicina preventiva o laboral o diagnóstico médico, incluida la evaluación de la capacidad laboral del
trabajador. • Para procedimientos judiciales. • Es necesario para cumplir la legislación laboral, o la de seguridad o protección social o la de convenios colectivos. • Es necesario por razones de interés público en el ámbito de la salud pública o la asistencia sanitaria. • Es necesario para fines de archivo en interés público en investigaciones científicas, históricas o estadísticas.
10. Tratamiento de categorías especiales de datos
1 2 3 4 5 6 7 8 9 11 1210
• Origen étnico o racial.• Origen étnico o racial.
• Opiniones políticas.• Opiniones políticas.
• Afiliación sindical.• Afiliación sindical.
• Datos genéticos.• Datos genéticos.
• Datos biométricos que permitan la identificación unívoca de una persona.• Datos biométricos que permitan la identificación unívoca de una persona.
• Datos relativos a la salud.• Datos relativos a la salud.
• Datos relativos a la vida y orientación sexuales.• Datos relativos a la vida y orientación sexuales.
SiguienteAnterior
Formación Aseguradora GACM © 05/1828
El Principio de Responsabilidad Proactiva Este principio supone que el Responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD.
Es decir, deben analizar qué datos tratan, con qué finalidad y qué operaciones de tratamiento realizan. A partir de ese análisis, deben adoptar las medidas recogidas en el RGPD, que deben ser adecuadas para su cumplimiento, y deben poder demostrarlo ante interesados y autoridades supervisoras.
Ello obliga a las empresas a tener una actitud proactiva, diligente y consciente en los tratamientos de datos personales que efectúen.
11. Responsabilidad proactiva
1 2 3 4 5 6 7 8 9 10 1211
La persona física es la propietaria de sus datos personales y siempre debe poner tener el control sobre esos datos.
Desde cualquier actividad de tratamiento que tenga lugar en el seno del Grupo GACM España o por parte de un colaborador, debe cumplir con el RGPD siguiendo en primer término los 6 principios relativos al tratamiento, operando
siempre desde la Responsabilidad proactiva:
• Licitud, lealtad e transparencia.• Licitud, lealtad e transparencia.
• Limitación de la finalidad.• Limitación de la finalidad.
• Minimización de datos.• Minimización de datos.
• Exactitud de los datos.• Exactitud de los datos.
• Limitación del plazo de conservación.• Limitación del plazo de conservación.
• Integridad y confidencialidad.• Integridad y confidencialidad.
SiguienteAnterior
Formación Aseguradora GACM © 05/1829
Autoridad de control El RGPD define a la Autoridad de control, como la autoridad pública independiente establecida por un Estado miembro, que supervisará la aplicación del Reglamento con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales y a facilitar la libre circulación de datos personales en la UE. En España actualmente, es la Agencia Española de Protección de Datos (AEPD).
Funciones de la Autoridad de control
Funciones que afectan al interesado
• Facilitar información al interesado de los derechos que le otorga el Reglamento. • Facilitar la presentación de reclamaciones mediante formularios por vía electrónica u otros medios de comunicación. • Resolver las reclamaciones presentadas por un interesado.
Funciones que afectan al Responsable y al Encargado del tratamiento
• Recibir las notificaciones de violaciones de seguridad del Responsable del tratamiento y, si procede, exigir su comunicación al interesado. • Adoptar cláusulas contractuales tipo de protección de datos, para la formalización de contratos entre el Responsable y el Encargado del
tratamiento. • Realizar transferencias internacionales de datos mediante garantías adecuadas. • Autorizar las cláusulas contractuales establecidas entre el Responsable del tratamiento, Encargado del tratamiento o Destinatarios para realizar
transferencias internacionales de datos. • Elaborar y mantener una lista de los tipos de tratamiento que requieren una evaluación de impacto y de los detalles que se deben incluir en su
documentación. • Asesorar al Responsable o al Encargado del tratamiento del procedimiento para realizar una consulta previa a la Autoridad de control y, cuando
ésta se haya producido y no sea conforme al Reglamento, comunicárselo por escrito en un plazo máximo de 8 semanas.
12. La Autoridad de control
1 2 3 4 5 6 7 8 9 10 11 12
SiguienteAnterior
Formación Aseguradora GACM © 05/1830
Sanciones Cada Autoridad de control podrá imponer multas administrativas al Responsable y al Encargado del tratamiento o, si lo hubiere, al representante de estos, por infringir el Reglamento garantizando que serán efectivas, proporcionadas y disuasorias.
Las multas administrativas se impondrán en función de las circunstancias de cada caso individual, teniendo en cuenta las facultades investigadoras y correctoras conferidas a la Autoridad de control.
Valoración de las sanciones La decisión de la Autoridad de control para imponer una multa administrativa y calcular su importe tendrá en cuenta:
• La naturaleza, gravedad y duración de la infracción en relación con el fin del tratamiento. • El número de interesados afectados. • El nivel de los perjuicios sufridos por los interesados. • La intencionalidad o negligencia de la infracción. • Las categorías de datos afectados por la infracción. • El grado de responsabilidad del Responsable o Encargado del tratamiento. • La reiteración de infracciones del Responsable o Encargado del tratamiento. • Las medidas tomadas por el Responsable o Encargado del tratamiento para paliar los perjuicios sufridos por los interesados. • El grado de cooperación con la Autoridad de control con el fin de remediar la infracción y mitigar sus posibles efectos adversos. • La forma en que la Autoridad de control ha tenido conocimiento de la infracción (si se ha notificado, o en la medida que se ha hecho). • El cumplimiento de las medidas ordenadas previamente por la Autoridad de control contra el Responsable o Encargado del tratamiento en
relación con el mismo asunto. • La adhesión a códigos de conducta o a mecanismos de certificación aprobados por la Autoridad de control. • Otros factores agravantes o atenuantes aplicables a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas
por la infracción.
12. La Autoridad de control
1 2 3 4 5 6 7 8 9 10 11 12
SiguienteAnterior
Formación Aseguradora GACM © 05/1831
Importe de las sanciones 1) Multa administrativa con un máximo del importe más elevado entre 10.000.000 € y el 2% del volumen de negocio total anual global del ejercicio
financiero anterior, para las infracciones de las siguientes disposiciones del Reglamento:
• Condiciones aplicables al consentimiento del menor en relación con los servicios de la sociedad de la información.
• Tratamientos que no requieren identificación. • Encargados del tratamiento. • Corresponsables del tratamiento. • Tratamientos bajo la autoridad del Responsable y del Encargado del
tratamiento. • Representantes de los Responsable del tratamiento no establecidos en la UE. • Registro de las actividades del tratamiento. • Protección de datos desde el diseño y por defecto. • Seguridad del tratamiento. • Evaluación de impacto relativa a la protección de datos.
• Consultas previas. • Notificación de una violación de seguridad a la Autoridad de control. • Comunicación de una violación de seguridad al interesado. • Garantías de certificación. • Organismos y procedimientos de certificación. • Designación del DPO. • Funciones del DPO. • Poderes del DPO. • Cooperación con la Autoridad de control.
12. La Autoridad de control
1 2 3 4 5 6 7 8 9 10 11 12
SiguienteAnterior
Formación Aseguradora GACM © 05/1832
Importe de las sanciones 2) Multa administrativa con un máximo del importe más elevado entre 20.000.000 € y el 4% del volumen de negocio total anual global del ejercicio
financiero anterior, para las infracciones de las siguientes disposiciones del Reglamento:
• Principios relativos al tratamiento de datos personales. • Licitud del tratamiento. • Condiciones para el consentimiento. • Tratamiento de categorías especiales de datos personales. • Transferencias de datos personales a terceros países u organizaciones
internacionales. • Disposiciones relativas a situaciones específicas de tratamiento de datos. • Derechos del interesado. • No facilitar el acceso a la Autoridad de control para ejercer sus facultades
investigadoras. • El incumplimiento de un requerimiento de la Autoridad de control.
El importe total de las multas para unas mismas operaciones de tratamiento que incumplan diversas disposiciones del Reglamento, no podrá superar la cantidad prevista para los incumplimientos más graves de dichas operaciones. Cada Estado de la UE podrá establecer normas sobre la imposición de multas administrativas a las Autoridades y Organismos públicos establecidos en dicho Estado.
12. La Autoridad de control
1 2 3 4 5 6 7 8 9 10 11 12
SiguienteAnterior
Formación Aseguradora GACM © 05/1833
Ya has finalizado el curso Reglamento General de Protección de Datos
Gracias por tu tiempo
1º Cierra esta aplicación
3º Realiza el cuestionario correspondiente