30 años

1987 - 2017ribas 30 años

1987 - 2017ribas

Aproximación legal al RGPDXavier Ribas

30 años

1987 - 2017ribas

CONSENTIMIENTO

EIPD - PIA

DPD - DPO

INTERÉS LEGÍTIMO

VIOLACIONES DE DATOS

OTRAS MATERIAS

PUNTOS CLAVEPrioridades a tener en cuenta

1

2

3

4

5

6

30 años

1987 - 2017ribas

Los resultados de este proyecto tendremos que reportarlos al Consejo de Administración debido a la cuantía del riesgo."

Cliente del despacho, 2017

20 M

4%

20 M

30 años

1987 - 2017ribas 30 años

1987 - 2017ribas

CONSENTIMIENTOAntes y después del 25/05/2018

30 años

1987 - 2017ribas

Evolución del consentimientoEl consentimiento antes y después del 25/05/2018

30 años

1987 - 2017ribas

Evolución del consentimientoEl consentimiento antes y después del 25/05/2018

30 años

1987 - 2017ribas 30 años

1987 - 2017ribas

EIPD - PIAEvaluación de impacto

30 años

1987 - 2017ribas

EIPD - PIAEvaluación de impacto

30 años

1987 - 2017ribas

30 años

1987 - 2017ribas

30 años

1987 - 2017ribas

Evaluación de impacto

Fase final

30 años

1987 - 2017ribas

Tratamiento en la nueva LOPDLas evaluaciones de impacto en el anteproyecto de LOPD

Infracción grave (10M)

Artículo 73.r

El tratamiento de datos de carácter personal sin haber llevado a cabo la evaluación del impacto de las

operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea

exigible.

30 años

1987 - 2017ribas 30 años

1987 - 2017ribas

DPODelegado de protección de datos

30 años

1987 - 2017ribas

1. Organismo público

2. Observación a gran escala

3. Categorías especiales a granescala

DPO - DPDSupuestos en los que es obligatoria su designación

15 supuestos.

Prácticamente cualquier empresa que tenga una página web.

Limitación a los tratamientos a gran escala.

1. Volumen de interesados

2. Volumen de datos

3. Ámbito geográfico

Tres únicos supuestos 15 supuestos Tres únicos supuestos

30 años

1987 - 2017ribas

DPO - DPDCualificación

Cualificación del DPD

1. Conocimientos especializados del Derecho

2. Práctica en materia de protección de datos

3. Capacidad para desempeñar las funciones asignadas en el RGPD

4. Certificación voluntaria

30 años

1987 - 2017ribas

DPO - DPDCualificación

Certificación de la AEPD

1. Emitida por entidades de certificación como AENOR.

2. Previa superación de un examen

3. Cinco años de experiencia o 180 horas de formación (Escala de niveles de experiencia inferiores)

30 años

1987 - 2017ribas

DPO - DPDResponsabilidad

Responsabilidad del DPD

1. Obligación de denuncia interna al órgano de administración (Anteproyecto)

2. Posición similar a la del Compliance Officer

3. Diferencia: No puede ser despedido ni sancionado (RGPD y anteproyecto)

30 años

1987 - 2017ribas 30 años

1987 - 2017ribas

INTERÉS LEGÍTIMOProtocolo de actuación

30 años

1987 - 2017ribas

INTERÉS LEGÍTIMOSupuestos

Datos de contacto

1. Personas físicas que presten servicios en una persona jurídica.

2. Datos imprescindibles para su localización profesional

3. Única finalidad de mantener relaciones de cualquier índole con la persona jurídica

30 años

1987 - 2017ribas

INTERÉS LEGÍTIMOTratamientos declarados lícitos por ley

Datos de empresarios individuales

1. Tratamiento referido a su condición de empresarios.

2. Tratamiento no dirigido a entablar una relación con los mismos como personas físicas.

30 años

1987 - 2017ribas

INTERÉS LEGÍTIMOTratamientos declarados lícitos por ley

Datos hechos manifiestamente públicos por el afectado

1. Fuentes de acceso público.

2. Redes sociales - No las menciona.

3. Deber de información - Dificultad para cumplirlo

4. Salvo en el caso de menores de edad y discapacitados con medidas de apoyo.

30 años

1987 - 2017ribas

INTERÉS LEGÍTIMOTratamientos declarados lícitos por ley

Videovigilancia

1. Finalidad de preservar la seguridad de personas, bienes e instalaciones.

2. Imágenes de la vía pública: sólo en la medida en que resulte imprescindible.

3. Extensión superior en el caso de bienes o instalaciones estratégicas e infraestructuras de transporte.

4. Supresión de los datos en el plazo de un mes.

5. Salvo para acreditar la comisión de actos contra la integridad de personas, bienes o instalaciones.

6. No será de aplicación la obligación de bloqueo.

7. Deber de información mediante dispositivo informativo + hojas a disposición de los afectados.

8. Tratamiento para funciones de control de trabajadores según artículo 20.3 ET, previa información.

30 años

1987 - 2017ribas

INTERÉS LEGÍTIMOTratamientos declarados lícitos por ley

Canales de denuncia

1. Posibilidad de presentar denuncias anónimas.

2. Información obligatoria de la existencia de estos canales.

3. Acceso limitado al personal de Compliance durante la fase de investigación.

4. Acceso limitado al personal de RRHH en el caso de medidas disciplinarias.

5. Medidas orientadas a preservar la confidencialidad de los datos.

6. Conservación de los datos durante el tiempo imprescindible para la investigación.

7. En tres meses: supresión o cambio de entorno para continuar la investigación. (Innecesario)

8. No será de aplicación la obligación de bloqueo.

30 años

1987 - 2017ribas

INTERÉS LEGÍTIMOTratamientos declarados lícitos por ley

Operaciones mercantiles

1. Modificación de la estructura societaria.

2. Aportación o transmisión de negocio o rama de actividad.

3. Tratamientos necesarios para el buen fin de la operación.

4. Y para garantizar la continuidad en la prestación de los servicios.

30 años

1987 - 2017ribas

INTERÉS LEGÍTIMOProtocolo de actuación

30 años

1987 - 2017ribas 30 años

1987 - 2017ribas

VIOLACIONES DE DATOSProtocolo de actuación

30 años

1987 - 2017ribas

CONFIRMACIÓN DE LA VIOLACIÓNDiferencia entre incidente y violación de la seguridad

=Security breach Data breach

30 años

1987 - 2017ribas

CONFIRMACIÓN DE LA VIOLACIÓNDiferencia entre incidente y violación de la seguridad

=Incidente de seguridad

Violación de la

seguridad de

los datos personales

30 años

1987 - 2017ribas

Incidentes de seguridadProtocolo de actuación

30 años

1987 - 2017ribas

Evaluación de la violación de datosProtocolo de actuación

30 años

1987 - 2017ribas

TIPOS DE VIOLACIONES DE SEGURIDADComprobación del tipo de violación de seguridad que se ha producido

VALORACIÓN DEL TIPO DE VIOLACIÓN DE LA SEGURIDAD

VIOLACIÓN DE LA CONFIDENCIALIDAD Comunicación o acceso no autorizados a los datos

VIOLACIÓN DE LA DISPONIBILIDAD Pérdida de acceso o destrucción de los datos

VIOLACIÓN DE LA INTEGRIDAD Alteración no autorizada de los datos

30 años

1987 - 2017ribas

NOTIFICACIÓNCuándo hay que notificar la brecha de seguridad

30 años

1987 - 2017ribas 30 años

1987 - 2017ribas

OTRAS MATERIASPrevistas para la nueva LOPD

30 años

1987 - 2017ribas

Prioridad 1: prevenir infracciones muy gravesInfracciones más relevantes con sanciones de hasta 20 millones

Vulneración de los principios básicos

Tratamiento ilícito

Consentimiento inválido

Finalidad distinta

Tratamiento inadecuado de datos sensibles

Omisión del deber de información

Vulneración del deber de confidencialidad

Respuesta inadecuada al ejercicio de derechos

Transferencia a un tercer país sin garantías

Incumplimiento de la obligación de bloqueo

30 años

1987 - 2017ribas

Prioridad 2: prevenir infracciones gravesInfracciones más relevantes con sanciones de hasta 10 millones

Tratamiento inadecuado datos de menores

Medidas técnicas y organizativas inadecuadas

Contratación de ET sin garantías suficientes

Subcontratación de ET sin autorización

Inexistencia de registro de tratamientos

No realización de la evaluación del impacto

No notificación de una violación de datos

No designación de un DPO

Apoyo insuficiente al DPO

Otras infracciones graves

30 años

1987 - 2017ribas36 ©️ Ribas y Asociados 2010 - 2017

Prioridad 3: AccountabilityResponsabilidad proactiva y evidencias de cumplimiento

30 años

1987 - 2017ribas