el reglamento europeo de protecciÓn de datos y el ...€¦ · el reglamento europeo de protecciÓn...

© Todos los Derechos Reservados a Legal Compliance S.L

EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y EL PROYECTO DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS

22 de febrero 2018LEGAL COMPLIANCE,S.L.

Elementos críticos y acciones a tener en cuenta por las empresas y organizaciones


Contexto de la Norma

El GRDP tendrá igual impacto que la SoX en el mundo corporativo: Aunque es una norma europea su alcance e impacto es GLOBAL

No es una cuestión de “I.T.”… toda la organización habrá de estar implicada: RRHH, Ventas, Marketing, Finanzas... Y por vez primera no solo los “responsables”, sino también todo el que esté en la cadena (suministradores, vendedores, agentes) tendrán sus propias responsabilidades frente a los datos que utilizan y tratan en cualquier modo.Las sanciones pueden ser de hasta el

4% de la cifra de negocios.

EQUIFAX podría haber sidosancionada en la UE con hasta 106M€ por su reciente pérdida dedatos que afectó a 143 millones deconsumidores.


Qué debo hacer ahora si trato datos personales

Accountability y Gobernanza: demostrar que cumplo

Data security breaches

Realizar un Inventario de actividades con tratamiento

Privacidad por diseño

Revisar los fundamentos legales del uso de los datos

Revisar los avisos legales y las políticas de privacidad

Respetar los derechos de los interesados: portabilidad, derecho al olvido

Garantizar que las medidas de seguridad son proporcionales a los riesgos

Actividades externalizadas: revisar acuerdos con proveedores y tratadoresTransferencias Internacionales: Peligro


¿Tengo datos personales en mi organización que deba proteger ?

• Los datos de los trabajadores y los candidatos.

• Si mis clientes no son particulares, y solo tengo relacionescomerciales con empresas/ empresarios, no tengo datospersonales. No obstante, si cabe la posibilidad de que micliente pueda ser un consumidor final, debo prever estacircunstancia.

• Si mis proveedores son empresas, no tengo datospersonales.

• Los datos de los socios o accionistas.

• Los datos de las personas de contacto de las empresas noquedan incluidos.

• Las imágenes de las cámaras de videovigilancia.


¿Qué principios deben respetar los datos que son objeto de tratamiento?

• Licitud, transparencia y lealtad. Debe quedar claro para qué se recogen los datos, su utilización de forma concisa, fácil y sencilla.

• Finalidad explicita y legítima.

• Adecuado, pertinentes y limitados a lo necesario con los fines. MINIMIZACION DE DATOS.

• Exactos y actualizados

• Durante el tiempo necesario.

• Seguridad.


¿Qué sabemos de la nueva regulación sobre protección de datos?

Qué es responsabilidad proactiva ? Pasamos de una norma que se trataba de no incumplir a un autoexamen. Además debe quedar registro de nuestra responsabilidad.Genera la nueva norma más o menos burocracia ? Depende del grado de organización de la empresa y de su código de conducta, de la labor de las Asociaciones y organizaciones representativas, para ayudar a las PYMES y de la Autoridad de Control, facilitar patrones de conducta que ayuden a un autoexamen eficaz.Se endurece el régimen sancionador? Si y además el Reglamento es ambiguo y será necesario esperar a la aplicación por los jueces/ autoridad de control de los criterios de diligencia y responsabilidad proactiva.Cambia la información a dar a los interesados? Si , sobre todo en el aspecto cualitativo, la información debe ser más clara y fácil de comprender. Iconos normalizados. Mejores prácticas: orientación por capasMás derechos para los interesados? Si , además de los derechos ARCO, el derecho a la limitación del tratamiento, portabilidad de los datos, a decisiones individuales automatizadas.Debo recabar de nuevo el consentimiento? Si el obtenido era tácito sí ahora debe ser expreso, pero no siempre… el interés legítimo es también un medio lícito para tratar datos.


¿Fuga de datos personales…?


Certifique Vd. Que cumple…por favor

I am accountable


El principio de accountability exige…

✓ Evaluación del Impacto en la Privacidad (revisar cualquier actividad

de tratamiento que implique riesgos y las medidas adoptadas para

abordar cuestiones concretas).

✓ Auditorías regulares de los subcontratistas (Procesadores o tratadores

de Datos).

✓ Revisiones y actualizaciones de las políticas corporativas.

✓ Programas de formación y sensibilización para empleados

✓ Nombramiento de un Responsable de la Protección de Datos. (DPO)

✓ Registros de las actividades de tratamiento de datos.


Medidas de Responsabilidad Activas

ANÁLISIS DEL RIESGOI am

accountableIncluso en empresas pequeñas: mínimamente

documentado

REGISTRO DE ACTIVIDADES DE TRATAMIENTO Exentas empresas de -250 trabajadores

PRIVACIDAD POR DEFECTO Y POR DISEÑO


Violaciones de datos /Quiebras de seguridad


EIPD’s


DPO’s


Transferencias Internacionales


¿Y qué pasa si no cumplo?

• Las sanciones han aumentado considerablemente

• La doble via , Autoridad de Control y Judicial (ya sea civil, penal o administrativa) y la posibilidad de instar la acción bien en el lugar de residencia del responsable o del encargado o bien en el lugar de residencia del interesado, pueden complicar la construcción de una doctrina jurisprudencial uniforme, al menos a corto plazo y ello conllevará INSEGURIDAD JURIDICA.

• La Adhesión a Códigos de Conducta Sectoriales o las Certificaciones, así como las Consultas a la Autoridad de Control, son , sin duda, herramientas que pueden contribuir a que las empresas demuestren su DILIGENCIA en la materia.


Comparativa régimen sancionadorNORMATIVASANCIONES

LOPD :establece un mínimo y un máximo

REPD:Establece el máximo y modula la misma teniendo en cuenta distintas agravantes y atenuantes

LEVE 900€ a 400.000€ No se establece

GRAVE 40.001 a 300.000 € Hasta 10.000.000.€ o en caso de empresas el 2% del volumen de negocio anual anterior , lo que resulte mayor

MUY GRAVE 300.001 a 600.000 € Hasta 20.000.000.€ o en caso de empresas el 4% del volumen de negocio anual anterior , lo que resulte mayor


La imposición de la sanción debe ser en cada caso, efectiva, proporcional y disuasoria…

¿Qué se tendrá en cuenta?✓ La naturaleza, gravedad y duración de la infracción..✓ La intencionalidad o negligencia: AUTORREGLUACION✓ Medidas adoptadas para paliar los daños.✓ Medidas técnicas y organizativas adoptadas: AUTORREGULACION✓ Reincidencia.✓ Cooperación con la Autoridad de Control✓ Categorías de datos afectados✓ Cómo conoció la Autoridad de Control la Infracción.✓ Si hubo medidas coercitivas previas✓ Adhesión a Códigos de Conducta o mecanismos de certificación.✓ CUALQUIER OTRO FACTOR AGRAVANTE O ATENUANTE APLICABLE A

LAS CIRCUNSTANCIAS DEL CASO…..(sic)


PROYECTO DE LEY ORGÁNICA EN ESPAÑA

Implementa el RGPD

Se supone que entrará en vigor el 25 de mayo

No hay prácticamente diferencias con el Reglamento.

ATENCION COMPLIANCE:

Art. 24 Canales de Denuncia en empresas

Art. 34 Delegado de Protección de Datos


CANALES DE DENUNCIA

✓ TRATAMIENTO LÍCITO

✓ ACCESO RESTRINGIDO A CONTROL INTERNO Y

COMPLIANCE

✓ SI PUEDE HABER MEDIDAS DISCIPLINARIAS TAMBIÉN PUEDE

ACCEDER RRHH

✓ GARANTIZAR LA CONFIDENCIALIDAD DEL DENUNCIANTE

✓ CONSERVAR LOS DATOS POR EL TIEMPO EXCLUSIVO QUE

DURE LA INVESTIGACIÓN

✓ BORRARLOS A LOS TRES MESES A MENOS QUE SE

CONTINÚE LA INVESTIGACIÓN


¿Cómo ayudamos?

① Solicitamos información sobre su actividad, los tipos dedatos que trata y las actividades o tratamientos querealiza.

② Analizamos su adecuación a la LOPD actual paraaprovechar sinergias para la adaptación al nuevoReglamento.

③ Recabamos información sobre si existe transferenciainternacional de datos.

④ Recabamos información de los departamentos de laorganización para delimitar las actividades detratamiento que realizan en cada uno de ellos.


Sobre la Información facilitada….

✓ Verificamos la base legitimadora de los tratamientos: consentimiento, interéslegítimo.

✓ Revisamos las clausulas informativas que tiene su documentación y laadaptamos.

✓ Revisamos y adaptamos los contratos con los encargados de tratamiento yvaloramos la idoneidad del mismo.

✓ Establecemos el procedimiento para garantizar a los interesados el ejerciciode sus derechos.

✓ Verificamos si procede realizar la evaluación de impacto.

✓ Establecemos el procedimiento a seguir para diseñar las medidas deseguridad.

✓ Revisamos la adecuación de la transferencia internacional de datos a lanueva regulación.

✓ Recomendamos o no la designación de un Delegado de Protección deDatos.

✓ Informamos y formamos al personal.


Gracias

Consultas:

[email protected]@legalcompliancespain.com

mailto:[email protected]

mailto:[email protected]

el reglamento europeo de protecciÓn de datos y el ...€¦ · el reglamento europeo de protecciÓn...

Documents