1Agencia Española de Protección de Datos
Impacto del Reglamento Europeo de Protección de Datos en las
Administraciones Públicas
Rafael García GozaloJefe del Departamento Internacional
Agencia Española de Protección de Datos
2Agencia Española de Protección de Datos
Armonización
El Reglamento 2016/679 sustituirá a la Directiva 95/46 • Publicado 4 de mayo 2016• Entrada en vigor a los 20 días de publicación• 2 años hasta inicio de aplicación
Reglamento implica una máxima armonización• Aplicación directa, sin necesidad de trasposición• Desplaza normas nacionales en materias que
regula• Regulación de aplicación o desarrollo sólo posible
cuando se prevea expresamente
3Agencia Española de Protección de Datos
• Aplicable a sector público y privado
• Establece nuevos derechos y reformula derechos ya existentes
• Establece nuevas obligaciones para las organizaciones que tratan datos personales
• Establece un enfoque de protección de datos desde el diseño y por defecto
• Establece régimen sancionador que afecta a todas las organizaciones que tratan datos, salvo que expresamente se excluyan las entidades públicas por decisión nacional
4Agencia Española de Protección de Datos
Actuaciones normativas
• Derogación de disposiciones internas contrarias al RGPD y adaptación de normas internas
por ejemplo, en materia de procedimientos para ejercicio de derechos
• Adopción de normas en que el RGPD requiere desarrollointerno
por ejemplo, para regulación de autoridad de supervisión
• Identificación y adopción de normas donde el RGPD permite a los Estados introducir especificaciones en ciertos tratamientos
por ejemplo, edad mínima para validez de consentimiento de menores o condiciones de tratamiento de datos sensibles para fines de investigación científica o fines estadísticos
5Agencia Española de Protección de Datos
Actuaciones normativas
• Futura Ley Orgánica de Protección de Datos, actualmente en tramitación
• Deroga y reemplaza actual LOPD • Incluye adaptaciones para aplicación de
disposiciones generales del RGPD • Especifica condiciones de tratamiento para algunos
sectores (por ejemplo, información de solvencia patrimonial)
• Normas sectoriales deberán atender al impacto del RGPD en los correspondientes ámbitos
• Importancia de aprovechar la oportunidad que ofrece la adaptación al RGPD para actualizar condiciones de tratamiento en determinados sectores (por ejemplo, investigación sanitaria, prevención del fraude,…)
6Agencia Española de Protección de Datos
Medidas de adaptación
• Identificación precisa de las finalidades y la base jurídica de los tratamientos que se llevan a cabo
• Obligación derivada de • Cumplimiento de principio de legalidad• Necesidad de informar a interesados• Inclusión en Registro de Actividades de
Tratamiento
• Caso de datos objeto de especial protección (datos sensibles)
7Agencia Española de Protección de Datos
Medidas de adaptación
• Interés público y ejercicio de poderes públicos establecidos en ley (formal) Posibilidad de especificar condiciones de tratamiento
•Nueva definición del consentimiento «inequívoco» Fin del consentimiento «por inacción» o «tácito»
•La inaplicabilidad del criterio del interés legítimo a las «autoridades públicas en el ejercicio de sus funciones»
•No excluiría interés legítimo de terceros
8Agencia Española de Protección de Datos
Medidas de adaptación
Adaptar a las exigencias del RGPD la informaciónque se ofrece a los interesados cuando se recogen sus datos
• El RGPD obliga a proporcionar más información que la que requiere actualmente la LOPD
• Exige que se ofrezca de forma concisa, transparente, inteligible y de fácil acceso
• Revisión de formularios e impresos para solicitar datos de los ciudadanos en situaciones como solicitudes de prestaciones sociales, convocatorias de subvenciones, inscripción para procesos selectivos…
• Opción de información por capas
9Agencia Española de Protección de Datos
Medidas de adaptación
Establecer mecanismos que faciliten a los afectados el ejercicio de sus derechos según el RGPD
• Esto incluye medios electrónicos• El RGPD introduce los nuevos derechos a la
portabilidad de los datos y a la limitación del tratamiento, que requieren medios específicos para su ejercicio y tramitación
• Cuando los medios para el ejercicio de derechos sean electrónicos (a través de correos electrónicos, páginas web, etc.) la verificación de la identidad del afectado es un elemento clave
• Procedimientos internos para atender al ejercicio de derechos en plazos previstos por RGPD
10Agencia Española de Protección de Datos
Medidas de adaptación
Adecuar los futuros contratos con encargados de tratamiento a las previsiones del RGPD
Régimen transitorio en APLOPD para contratos vigentes hasta vencimiento, cuatro años o renovación
• Diligencia debida en la elección del encargado de tratamiento
• Relación entre responsables y encargados deberá formalizarse mediante un contrato o un acto jurídico que vincule al encargado
• En el ámbito público, frecuente que el instrumento sea una norma que regule el papel de un órgano administrativo como encargado
• En los dos casos el instrumento de relación debe incluir el contenido que prevé el RGPD, que es más amplio que el que prevé la normativa española
11Agencia Española de Protección de Datos
Medidas de adaptación
Implantar Registro de Actividades de Tratamiento• Desaparece la obligación de notificar a la
autoridad de protección de datos los nuevos ficheros (tratamientos)
• Desaparecerá igualmente la obligación de iniciarlos tratamientos mediante una disposición general
• El RGPD establece que todos los responsables y encargados tendrán que mantener un Registro de Actividades de Tratamiento y prevé un contenido mínimo para ese Registro
• Registro podrá organizarse sobre la base de las informaciones ya proporcionadas en las notificaciones de los ficheros existentes
12Agencia Española de Protección de Datos
Medidas de adaptación
Llevar a cabo un análisis del riesgo para los derechos y libertades de los ciudadanos de todos los tratamientos de datos que se desarrollen o de los que se inicien en el futuro
• Obligaciones del RGPD para responsables y encargados se aplicarán en función del riesgo que los tratamientos conlleven para los derechos y libertades de los ciudadanos
• La implantación de esas medidas sólo puede hacerse si se basa en un análisis de riesgo previo
• En el ámbito público se dispone de metodologías y herramientas de análisis de riesgos (MAGERIT, PILAR) para la seguridad de la información que están siendo actualizadas para adaptarlas al RGPD
13Agencia Española de Protección de Datos
Medidas de adaptación
Revisar las medidas de seguridad de la información que se aplican a los tratamientos a la luz de los resultados del análisis de riesgo
• El actual Reglamento de la LOPD prevé un listado cerrado de medidas de seguridad según tipos de datos tratados
• El RGPD establece que responsables y encargados deberán valorar qué medidas de seguridad aplican en función de los riesgos de los tratamientos
• Deberá modificarse el Esquema Nacional de Seguridad, que ahora se remite en este aspecto al Reglamento LOPD, para incluir medidas adaptadas al RGPD
14Agencia Española de Protección de Datos
Medidas de adaptación
Establecer mecanismos para identificar con rapidez la existencia de violaciones de seguridad de los datos y reaccionar ante ellas
• Definición amplia de «violación de seguridad»• Necesidad de evaluar el riesgo para los
derechos y libertades de los afectados • Notificación a las autoridades de protección
de datos y, si fuera necesario, a los interesados
• Contenido mínimo establecido en RGPD• Registro de incidentes de seguridad
15Agencia Española de Protección de Datos
Medidas de adaptación
Realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) en tratamientos que supongan un alto riesgo para los derechos y libertades de los interesados
• El RGPD hace obligatoria la EIPD para tratamientos de alto riesgo
• El RGPD establece tres supuestos de alto riesgo y obliga a que las autoridades nacionales de supervisión adopten listas de categorías de tratamientos de alto riesgo
• EIPD no necesaria cuando tratamiento se base en ley que ya la incorpore como parte de evaluación de impacto general
16Agencia Española de Protección de Datos
Medidas de adaptación
Designar un Delegado de Protección de Datos
• El RGPD hace obligatoria la figura del DPD en las autoridades y organismos públicos
• Podrá designarse un único DPD para varias autoridades u organismos dependiendo de tamaño y características
17Agencia Española de Protección de Datos
Medidas de adaptación Necesidad de adaptar los instrumentos de transferencia internacional de datos personales a las previsiones del RGPD
• El RGPD mantiene el modelo de transferencias internacionales ya existente
• Generalización de instrumentos de garantía sin autorización previa y adición de nuevos instrumentos Instrumentos jurídicamente vinculantes y exigibles entre autoridades y organismos públicos
• Autorización para transferencias basadas en acuerdos no jurídicamente vinculantes
• Autorizaciones existentes siguen vigentes hasta modificación, sustitución o derogación