Presentación de PowerPoint · seguridad (art. 9 lopd) control independiente (arts. 35 y ss. lopd)...

EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Y EL SECTOR ASEGURADOR

José Luis Piñar Mañas

Catedrático de Derecho Administrativo Delegado de Protección de datos del Consejo General de la

Abogacía Española

Madrid, 24 de abril de 2018

CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

2

PROTECCION DE DATOS:

PRESUPUESTOS

TRATAMIENTO DE DATOS DE CARÁCTER

PERSONAL

PERSONAS FISICAS, INDIVIDUALIZADAS O INDIVIDUALIZABLES

Personas fallecidas, personas jurídicas, tratamiento para uso personal o doméstico

Jose Luis Piñar Mañas

CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

3

PROTECCION DE DATOS COMO DERECHO FUNDAMENTAL

CARTA EUROPEA DE DERECHOS HUMANOS

SSTC 290 y 292/2000

OTRAS NORMAS

PODER DE DISPOSICION

SOBRE LOS PROPIOS DATOS

DE CARÁCTER PERSONAL

DISTINTO DEL DERECHO A LA INTIMIDAD


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

4

PROTECCION DE DATOS COMO DERECHO FUNDAMENTAL PRINCIPIOS

INFORMACION (Art. 5 LOPD)

CONSENTIMIENTO (Arts. 6 y 11 LOPD) FINALIDAD (Art. 4 LOPD)

CALIDAD DEL DATO (Art. 4 LOPD) SEGURIDAD (Art. 9 LOPD)

CONTROL INDEPENDIENTE (Arts. 35 y ss. LOPD)

REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (CAPITULO II)

PROYECTO DE LOPD

(TITULO II)


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

5

MARCO NORMATIVO DE LA PROTECCION DE DATOS EN ESPAÑA

ART. 18.4 CONSTITUCION

ESTATUTOS DE AUTONOMIA LOPD LOPJ

LEY 34/2002 (LSSI) LEY 9/2014 (LGT)

LEYES AUTONOMICAS RD 1720/2007

ESTATUTO DE LA AGENCIA INSTRUCCIONES DE LA AEPD

OTRAS NORMAS SECTORIALES REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UE

NUEVA LOPD


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

6

OTRAS NORMAS SECTORIALES

PROTECCIÓN DE DATOS Y SEGURO

Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de la entidades aseguradoras y reaseguradoras

(art. 99) Ley 26/2006, de 17 de julio, de mediación de seguros y

reaseguros privados (arts. 62 y63)

Ley 50/1980, de 8 de octubre, de Contrato de Seguro


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

ADAPTACIÓN DE LA LEGISLACIÓN ESPAÑOLA

AL RGPD

25 de mayo de 2018

7 Jose Luis Piñar Mañas

CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

Proyecto de nueva Ley Orgánica de Protección de Datos Título I. Disposiciones generales Título II. Principios de protección de datos Título III. Derechos de las personas

CAPITULO I. Transparencia e información CAPITULO II. Ejercicio de los derechos

Título IV. Disposiciones aplicables a tratamientos concretos Título V. Responsable y encargado del tratamiento

CAPITULO I. Disposiciones generales. Medidas de responsabilidad activa. CAPITULO II. Encargado del tratamiento CAPITULO III. Delegado de protección de datos CAPITULO IV. Códigos de conducta y certificación

Título VI. Transferencias internacionales de datos


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

Proyecto de nueva Ley Orgánica de Protección de Datos Título VII. Autoridades de protección de datos

CAPITULO I. La Agencia Española de Protección de Datos SECCIÓN 1ª DISPOSICIONES GENERALES SECCIÓN 2ª POTESTADES DE INVESTIGACIÓN Y PLANES DE AUDITORÍA PREVENTIVA SECCIÓN 3ª OTRAS POTESTADES DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

CAPITULO II. Autoridades autonómicas de protección de datos SECCIÓN 1ª DISPOSICIONES GENERALES SECCIÓN 2ª COORDINACIÓN EN EL MARCO DE LOS PROCEDIMIENTOS ESTABLECIDOS EN EL REGLAMENTO (UE) 2016/679

Título VIII. Procedimientos en caso de reclamaciones tramitadas por la Agencia Española de Protección de Datos Título IX. Régimen sancionador ¿Título X? Disposiciones adicionales Disposiciones transitorias Disposiciones finales


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

• DE LA DIRECTIVA 95/46/CE AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

• Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE: Reglamento general de protección de datos (DOUE L 119, de 4-5-2016).


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


• Aplicable dos años después (artículo 99): 25 de mayo de 2018

• Los Reglamentos de la Unión Europea tienen un alcance general y son obligatorios en todos sus elementos y directamente aplicables en cada Estado miembro (art. 288 del Tratado de Funcionamiento de la Unión Europea, versión consolidada de 2010)


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

• RELACIÓN ENTRE EL REGLAMENTO Y LAS LEGISLACIONES NACIONALES DE PROTECCIÓN DE DATOS

• EFECTOS DEL REGLAMENTO SOBRE LA LOPD

– Considerando 8

• NUEVA LEY ORGANICA DE PROTECCIÓN DE DATOS


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


REGLAMENTO 173 considerandos; 99 artículos

I.- DISPOSICIONES GENERALES II.- PRINCIPIOS III.- DERECHOS DEL INTERESADO IV.- RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO V.- TRANSFERENCIAS DE DATOS PERSONALES A TERCEROS PAISES U ORGANIZACIONES INTERNACIONALES VI.- AUTORIDADES DE CONTROL INDEPENDIENTES VII.- COOPERACIÓN Y COHERENCIA VIII.- RECURSOS, RESPONSABILIDAD Y SANCIONES IX.- DISPOSICIONES RELATIVAS A SITUACIONES ESPECIFICAS DE TRATAMIENTO X.-ACTOS DELEGADOS Y ACTOS DE EJECUCIÓN XI.- DISPOSICIONES FINALES


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


NUEVO MODELO DE PRIVACIDAD

De la gestión de los datos al gobierno responsable de la información.

Protección de datos más allá del territorio UE

Aproximación a la protección de datos basada en el riesgo

Responsabilidad proactiva(art. 24)

Privacidad desde el diseño (art. 25)

Privacidad por defecto (art. 25)

Registro de las actividades de tratamiento (art. 30)

Nuevo modelo de seguridad (arts. 32-34)


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


NUEVO MODELO DE PRIVACIDAD

Evaluación de impacto a la protección de datos (art. 35)

Delegado de protección de datos (arts. 37-39)

Autorregulación y certificación (arts. 40-43)

Fortalecimiento de la posición de los titulares de los datos

Consentimiento (arts. 4 y 6-8)

Nuevos derechos (olvido –art. 17-, portabilidad –art. 20-)

Derecho a indemnización (art. 82)

Fortalecimiento de las autoridades de protección de datos.

Modelo sancionador más severo


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


Responsabilidad (art. 24)

1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario. 2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos. 3. La adhesión a códigos de conducta o a un mecanismo de certificación podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


Privacidad desde el diseño

(Art. 25.1)

El responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


Privacidad por defecto

(Art. 25.2)

El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


WP 29

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

GUIAS Y HERRAMIENTAS DE LA AEPD

http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:











RGPD: DISPOSICIONES GENERALES

OBJETO • El Reglamento protege el derecho a la protección de datos y • garantiza la libre circulación de datos en la Unión (art. 1). APLICACIÓN MATERIAL • Art. 2 APLICACIÓN TERRITORIAL • Art. 3. • Considerandos 22 a 25. • Ver art. 27 DEFINICIONES • Art. 4


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

21

LOS ACTORES

• TITULARES DE LOS DATOS

• RESPONSABLES Y ENCARGADOS

• TERCEROS

• AUTORIDADES DE PROTECCIÓN DE DATOS

• EUROPA:

– WP 29 (Comité Europeo de Protección de Datos)

– EDPS


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO Corresponsables del tratamiento (art. 26). Representantes de responsables o encargados no establecidos en la Unión (art. 27). Encargado del tratamiento (art. 28)

Contrato Subencargados

PLOPD: Título V Encargado del tratamiento (art. 33) AEPD: Directrices para la elaboración de contratos entre responsables y encargados del tratamiento


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

http://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/directricescontratos.pdf



Ley 26/2006, de 17 de julio, de mediación de seguros y reaseguros privados Artículo 62. Condición de responsable o encargado del tratamiento. 1. A los efectos previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal: a) Los agentes de seguros exclusivos y los operadores de banca-seguros exclusivos tendrán la condición de encargados del tratamiento de la entidad aseguradora con la que hubieran celebrado el correspondiente contrato de agencia, en los términos previstos en esta Ley. b) Los agentes de seguros vinculados y los operadores de banca-seguros vinculados tendrán la condición de encargados del tratamiento de las entidades aseguradoras con las que hubieran celebrado el correspondiente contrato de agencia, en los términos previstos en esta Ley. Cuando el cliente hubiera firmado un contrato de seguro, los agentes de seguros vinculados y los operadores de banca-seguros vinculados deberán tratar los datos del contrato de forma que únicamente puedan ser conocidos por la entidad aseguradora con la que se hubiera celebrado el contrato, sin que puedan tener acceso a dichos datos las restantes entidades aseguradoras por cuenta de las cuales actúen.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


c) Los corredores de seguros y los corredores de reaseguros tendrán la condición de responsables del tratamiento respecto de los datos de las personas que acudan a ellos.

d) Los auxiliares externos a los que se refiere el artículo 8 de esta Ley tendrán la condición de encargados del tratamiento de los agentes o corredores de seguros con los que hubieran celebrado el correspondiente contrato mercantil. En este caso, sólo podrán tratar los datos para los fines previstos en el apartado 1 de dicho artículo 8.

2. En los supuestos previstos en las letras a) y b) del apartado 1 anterior, en el contrato de agencia deberán hacerse constar los extremos previstos en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, y, en particular, la indicación de si el agente de seguros va a celebrar contratos mercantiles con los auxiliares externos, a los que se refiere el artículo 8 de esta Ley.

Del mismo modo, en el supuesto previsto en el apartado 1.d) anterior deberán incluirse en el contrato mercantil celebrado con los auxiliares externos los extremos previstos en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


PRINCIPIOS Principios relativos al tratamiento (art. 5) - Licitud, lealtad, transparencia - Limitación de finalidad - Minimización de datos - Exactitud - Limitación del plazo de conservación - Integridad y confidencialidad - Responsabilidad proactiva Licitud del tratamiento (art. 6) Condiciones para el consentimiento (art. 7): definición: art. 4.11)

Consentimiento del niño en relación con los servicios de la sociedad de la información (art. 8)

Tratamientos de categorías especiales de datos (art. 9) Tratamiento de datos relativos a condenas e infracciones penales (art. 10): garantías adecuadas; control de las autoridades públicas.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


Artículo 6 Licitud del tratamiento 1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


CONSENTIMIENTO

Art. 4. Definiciones:

11. «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

WP 29: Guidelines on Consent under Regulation 2016/679

28 de noviembre de 2017. WP 259


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


(32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


Artículo 7 Condiciones para el consentimiento 1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

4. Al evaluar si el consentimiento se dio libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


(171) La Directiva 95/46/CE debe ser derogada por el presente Reglamento. Todo tratamiento ya iniciado en la fecha de aplicación del presente Reglamento debe ajustarse al presente Reglamento en el plazo de dos años a partir de la fecha de su entrada en vigor. Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento. Las decisiones de la Comisión y las autorizaciones de las autoridades de control basadas en la Directiva 95/46/CE permanecen en vigor hasta que sean modificadas, sustituidas o derogadas.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


Artículo 9 Tratamiento de categorías especiales de datos personales

1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:



b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

…..

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:



h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;

i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

34


INTERÉS LEGÍTIMO

Art. 6.1. f): “el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones”. Considerandos 47 a 49. - WP 29: Dictamen 06/2014, sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE. Adoptado el 9 de abril de 2014. WP 217. - Sentencia del Tribunal de Justicia de 24 de noviembre de 2011, ASNEF y FECEMD, asuntos acumulados C 468/10 y C 469/10


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

35


INTERÉS LEGÍTIMO ALOPD

Artículo 9. Tratamiento de datos amparado por la ley. …. 3. La ley podrá considerar fundado un determinado tratamiento en la concurrencia de un interés legítimo del responsable del tratamiento o de un tercero que prevalece sobre los derechos del afectado, en los términos previstos en el artículo 6.1 f) del Reglamento (UE) 2016/679. En estos supuestos, la ley podrá exigir al responsable la adopción garantías adicionales. Lo dispuesto en el párrafo anterior no impide que el tratamiento de datos personales pueda considerarse lícito al amparo del artículo 6.1 f) del Reglamento (UE) 2016/679, aun cuando no exista una previsión legal específica.

PLOPD Desaparece del PLOPD. Dictamen del Consejo de Estado. STJUE ASNEF


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

36


ALOPD Artículo 10. Categorías especiales de datos. 1. A los efectos del artículo 9.2 a) del Reglamento (UE) 2016/679, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. 2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2. del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad. En particular, la ley podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, y de los seguros de asistencia sanitaria.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

37


PLOPD Artículo 9. Categorías especiales de datos. 1. A los efectos del artículo 9.2 a) del Reglamento (UE) 2016/679, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679, cuando así proceda. 2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2. del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad. En particular, la ley podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, y de los seguros de asistencia sanitaria. o la ejecución de un contrato de seguro del que el afectado sea parte.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

38


Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.

Artículo 99. Protección de datos de carácter personal.

1. Las entidades aseguradoras podrán tratar los datos de los tomadores, asegurados, beneficiarios o terceros perjudicados, así como de sus derechohabientes sin necesidad de contar con su consentimiento a los solos efectos de garantizar el pleno desenvolvimiento del contrato de seguro y el cumplimiento de las obligaciones establecidas en esta Ley y en sus disposiciones de desarrollo. El tratamiento de los datos de las personas antes indicadas para cualquier finalidad distinta de las especificadas en el párrafo anterior deberá contar con el consentimiento específico de los interesados.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

39


2. Las entidades aseguradoras podrán tratar sin consentimiento del interesado los datos relacionados con su salud en los siguientes supuestos:

a) Para la determinación de la asistencia sanitaria que hubiera debido facilitarse al perjudicado, así como la indemnización que en su caso procediera, cuando las mismas hayan de ser satisfechas por la entidad.

b) Para el adecuado abono a los prestadores sanitarios o el reintegro al asegurado o sus beneficiarios de los gastos de asistencia sanitaria que se hubieran llevado a cabo en el ámbito de un contrato de seguro de asistencia sanitaria.

El tratamiento de los datos se limitará en estos casos a aquellos que resulten imprescindibles para el abono de la indemnización o la prestación derivada del contrato de seguro. Los datos no podrán ser objeto de tratamiento para ninguna otra finalidad, sin perjuicio de las obligaciones de información establecidas en esta Ley.

Las entidades aseguradoras deberán informar al asegurado, beneficiario o al tercero perjudicado acerca del tratamiento y, en su caso, de la cesión de los datos de salud, en los términos previstos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal salvo que, tratándose de seguros colectivos, tal obligación sea asumida contractualmente por el tomador.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

40


3. Las entidades aseguradoras que formen parte de un grupo a los efectos previstos en el título V podrán intercambiar, sin necesidad de contar con el consentimiento del interesado, los datos de carácter personal que resulten necesarios para el cumplimiento de las obligaciones de supervisión establecidas en esta Ley. Los datos no podrán utilizarse para ninguna otra finalidad si no se contase con el consentimiento específico del interesado para ello (VER CONSIDERANDO 48 RGPD). 4. Las entidades aseguradoras, o en su caso, reaseguradoras, podrán comunicar a sus entidades reaseguradoras, sin consentimiento del tomador del seguro, asegurado, beneficiario o tercero perjudicado, los datos que sean estrictamente necesarios para la celebración del contrato de reaseguro en los términos previstos en el artículo 77 de la Ley 50/1980, de 8 de octubre, de Contrato de Seguro o la realización de las operaciones conexas, entendiéndose por tales la realización de estudios estadísticos o actuariales, análisis de riesgos o investigaciones para sus clientes, así como cualquier otra actividad relacionada o derivada de la actividad reaseguradora. La cesión de dichos datos para cualquier finalidad distinta de las establecidas en el párrafo anterior requerirá el consentimiento del interesado.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

41


5. Las entidades que desarrollasen por cuenta de entidades aseguradoras actividades objeto de externalización tendrán la consideración de encargadas del tratamiento, debiendo sujetarse al régimen previsto para las mismas en la Ley Orgánica 15/1999, de 13 de diciembre, y su normativa de desarrollo.

6. En los supuestos de cesión de cartera previstos en esta Ley, así como en los de transformación, fusión o escisión de entidades aseguradoras a los que la misma se refiere, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

42


7. Las entidades aseguradoras podrán establecer ficheros comunes que contengan datos de carácter personal para la liquidación de siniestros y la colaboración estadístico actuarial con la finalidad de permitir la tarificación y selección de riesgos y la elaboración de estudios de técnica aseguradora. La cesión de los citados datos no requerirá el consentimiento previo del afectado, pero sí la comunicación a éste de la posible cesión de sus datos personales a ficheros comunes para los fines señalados, con expresa indicación del responsable, para que se puedan ejercitar los derechos de acceso, rectificación, cancelación y oposición previstos en la ley. También podrán establecerse ficheros comunes cuya finalidad sea prevenir el fraude en el seguro sin que sea necesario el consentimiento del afectado. No obstante, será necesaria en estos casos la comunicación al afectado, en la primera introducción de sus datos, de quién sea el responsable del fichero y de las formas de ejercicio de los derechos de acceso, rectificación, cancelación y oposición. En todo caso, los datos relativos a la salud sólo podrán ser objeto de tratamiento con el consentimiento expreso del afectado.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

43


8. En la información que habrá de facilitarse al tomador del seguro conforme al artículo 96 deberá igualmente incorporarse la que, en relación con el tratamiento de sus datos personales, establece el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre.

9. Las entidades aseguradoras deberán proceder en el plazo de diez días a la cancelación de los datos que les hubieran sido facilitados con anterioridad a la celebración de un contrato si el mismo no llegara a celebrarse, a menos que contasen con el consentimiento específico del interesado que deberá ser expreso si se tratase de datos relacionados con la salud.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

44


DERECHOS DE LOS INTERESADOS

ACCESO (Art. 15 LOPD)

RECTIFICACION (Art. 16 LOPD)

CANCELACION (Art. 16 LOPD)

OPOSICION (Arts. 6.4, 17 y 30.4 LOPD)

(Arts. 23 a 36 del Reglamento)

(RGPD, Capítulo III)

DERECHO AL OLVIDO

DERECHO A LA PORTABILIDAD

(Arts. 17 y 20 RGPD)

PLOPD: Título III


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


DERECHOS DEL INTERESADO Ejercicio manifiestamente infundado o excesivo (art. 12.5).

Transparencia (información). Art. 12, 13 y 14 (incluido información sobre plazo de conservación)

Acceso (art. 15) (incluidas las garantías en caso de transferencias; derecho a obtener una copia: art. 15.3)

Rectificación (art. 16)

Supresión (art. 17)

Limitación del tratamiento (art. 18)

Obligación de notificación (art. 19).

Derecho a la portabilidad (art. 20)

Derecho de oposición (art. 21)

Decisiones individualizadas (art. 22)


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


Artículo 12 Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado

Artículo 13 Información que deberá facilitarse cuando los datos personales se obtengan del interesado

Artículo 14 Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado

WP 29: Guidelines on transparency under Regulation 2016/679. WP 260

AEPD: Guía para el cumplimiento del deber de informar


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

http://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/modeloclausulainformativa.pdf





PLOPD Artículo 11. Transparencia e información al afectado.

1. Cuando los datos de carácter personal sean obtenidos del afectado a través de redes de comunicaciones electrónicas o en el marco de la prestación de un servicio de la sociedad de la información, así como en aquellos otros supuestos expresamente establecidos por la ley o cuando así lo autorice la Agencia Española de Protección de Datos, el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica para acceder fácilmente a la restante información.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


2. La información básica a la que se refiere el apartado anterior deberá contener al menos: a) La identidad del responsable del tratamiento o de su representante, en su caso. b) La finalidad del tratamiento. c) El modo en que el afectado podrá ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679. Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que pudieran producir efectos jurídicos sobre él o afectarle significativamente. 3. Cuando los datos de carácter personal no hubieran sido obtenidos del afectado el responsable podrá dar cumplimiento al deber de información establecido en el artículo 14 del Reglamento (UE) 2016/679 facilitando a aquél la información básica señalada en el apartado anterior, indicándole una dirección electrónica para acceder fácilmente a la restante información. En estos supuestos, la información básica incluirá también: a) Las categorías de datos objeto de tratamiento. b) Las fuentes de la que procedieran los datos.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


Derecho de supresión (Derecho al olvido)

art. 17

• Sin dilación indebida; ante el responsable (STJUE 13-5-2014)

• Circunstancias en las que se tiene derecho al olvido

• El editor debe informar a los buscadores.

• Excepciones

• Art. 85 del Reglamento


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


Derecho a la portabilidad (art. 20)

1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

a) el tratamiento esté basado en el consentimiento o en un contrato, y b) el tratamiento se efectúe por medios automatizados.

2. Al ejercer su derecho a la portabilidad de los datos el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

ART. 29 WP: Directrices sobre el derecho a la portabilidad de los datos Adoptadas el 13 de diciembre de 2016 . Revisadas por última vez y adoptadas el 5 de

abril de 2017 WP 242 rev.01


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


Derecho a la portabilidad PLOPD

Artículo 17. Derecho a la portabilidad. El derecho a la portabilidad se ejercerá de acuerdo con lo establecido en el artículo 20 del Reglamento (UE) 2016/679.

ALOPD

Artículo 27. Derecho a la portabilidad. 1. El derecho a la portabilidad regulado en el artículo 20 del Reglamento (UE) 2016/679 podrá ejercerse por el afectado respecto de los datos que hubiera facilitado al responsable del tratamiento y de los que se deriven directamente del uso por aquél de los servicios prestados por el responsable. 2. El derecho a la portabilidad no se extenderá a los datos que el responsable hubiere inferido a partir de aquellos a los que se refiere el apartado anterior. En todo caso, el afectado podrá ejercer respecto de estos datos los restantes derechos enumerados en este capítulo, particularmente el derecho de acceso contemplado en el artículo 15 del Reglamento (UE) 2016/679.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


PLOPD BLOQUEO DE LOS DATOS

Artículo 32. Bloqueo de los datos. 1. El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión. 2. Los datos bloqueados quedarán a disposición exclusiva de los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de las mismas. 3. Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior. 4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus respectivas competencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo, en los supuestos en que, atendida la naturaleza de los datos o el hecho de que se refieran a un número particularmente elevado de afectados, su mera conservación, incluso bloqueados, pudiera generar un riesgo elevado para los derechos de los afectados, así como en aquellos casos en los que la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO DE LA CONCRECION DE LAS MEDIDAS DE SEGURIDAD (RD.

1720/2007) A LA SEGURIDAD BASADA EN EL RIESGO Y EN LA RESPONSABILIDAD PROACTIVA

RGPD: Art. 30

- Del responsable - Del encargado - Por escrito - A disposición de la Autoridad de Control - No es obligatorio para ninguna empresa ni organización que emplee

a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


SEGURIDAD DE LOS DATOS

Art. 5. Principios.

1. Los datos personales serán:

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


Artículo 32 Seguridad del tratamiento 1.Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad,

disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. 3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo. 4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD

Art. 4. 12) «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos; Notificación de violaciones de seguridad a la autoridad de control (art. 33)

- En todo caso. - Sin dilación: a ser posible, antes de 72 horas - El encargado debe notificar al responsable (art. 33.2)

Notificación de violaciones de seguridad al interesado (art. 34) - Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas - Excepciones (34.3)

Guidelines on Personal data breach notification under Regulation 2016/679 Adopted on 3

October 2017 WP250


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS Art. 35

Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.

Asesoramiento del DPO Supuestos en los que es obligatoria Contenido mínimo Valor de los códigos de conducta

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is

“likely to result in a high risk” for the purposes of Regulation 2016/679 Adopted on 4 April 2017 As last Revised and Adopted on 4 October 2017

WP 248 rev.01


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


CONSULTA PREVIA

Art. 36

- El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.

- Consulta a las Autoridades en los procesos normativos

- Los Estados miembros podrán obligar a los responsables del tratamiento a consultar a la autoridad de control y a recabar su autorización previa en relación con el tratamiento por un responsable en el ejercicio de una misión realizada en interés público, en particular el tratamiento en relación con la protección social y la salud pública.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


DELEGADO DE PROTECCIÓN DE DATOS

- Supuestos en los que es posible (u obligatorio) su nombramiento (art. 37).

- Régimen (art. 37)

- Posición (art. 38)

- Funciones (art. 39)


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


Designación del DPO. Art. 37

1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales

2. Delegados de grupos empresariales. 3.Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


4.En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un DPO o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El DPO podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados. 5.El delegado de protección de datos será designado atendiendo a - sus cualidades profesionales y, - en particular, a sus conocimientos especializados del Derecho y - la práctica en materia de protección de datos y - a su capacidad para desempeñar las funciones indicadas en el artículo 39. 6.El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios. 7.El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


Designación del DPO

PLOPD

Artículo 34. Designación de un delegado de protección de datos.

1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


Posición del DPO: art. 38

- Participar de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

- Con recursos necesarios para el desempeño de sus funciones. - No puede recibir ninguna instrucción en lo que respecta al

desempeño de dichas funciones. No será destituido ni sancionado por desempeñar sus funciones. Rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

- Los interesados podrán ponerse en contacto con el delegado de protección de datos.

- Obligación de mantener secreto o confidencialidad. - Podrá desempeñar otras funciones y cometidos que no den lugar a

conflicto de intereses.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


Funciones del DPO: art. 39

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento.

b) supervisar el cumplimiento de la normativa de protección de datos, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.

d) cooperar con la autoridad de control;

e) actuar como punto de contacto de la autoridad de control.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:



Art. 29 WP: Directrices sobre los delegados de protección de datos

(DPD)

Adoptadas el 13 de diciembre de 2016. Revisadas por última vez y adoptadas el 5 de abril de 2017

WP 243 rev.01


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:



PLOPD Arts. 34 a 37. Art. 37: Intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos. 1. Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos será posible, con carácter previo a la presentación de reclamaciones contra aquéllos ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, que el afectado se dirija al delegado de protección de datos de la entidad contra la que se reclame. En este caso, el delegado de protección de datos comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación. 2. Cuando el afectado presente una reclamación ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, sin haber hecho uso de la posibilidad a la que se refiere el apartado anterior, aquéllas podrán remitir la reclamación al delegado de protección de datos a fin de que por el mismo se dé respuesta a la misma en el plazo de un mes. Si transcurrido dicho plazo el delegado de protección de datos no hubiera comunicado a la autoridad de protección de datos competente la respuesta dada a la reclamación, dicha autoridad continuará el procedimiento con arreglo a lo establecido en el Título VII de esta ley orgánica y en sus normas de desarrollo.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


CODIGOS DE CONDUCTA

(arts. 40-41)

- Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del Reglamento, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas.

- Las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento podrán elaborar códigos de conducta o modificar o ampliar dichos códigos con objeto de especificar la aplicación del Reglamento


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


CODIGOS DE CONDUCTA

Régimen

Contenido

Alcance

Supervisión:

- Autoridad de control

- Organismo acreditado por la autoridad de control (régimen de la acreditación: art. 41)

PLOPD

Artículo 38: Códigos de conducta


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


CERTIFICACIÓN (arts. 42-43)

- Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el Reglamento en las operaciones de tratamiento de los responsables y los encargados. Se tendrán en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas.

- Voluntaria - Máximo tres años - Organismo de certificación

- Debe estar acreditado - Régimen


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


TRANSFERENCIAS DE DATOS PERSONALES A TERCEROS PAISES U ORGANIZACIONES INTERNACIONALES

(Arts. 44-50)

Principio general

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el mismo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


Transferencias basadas en una decisión de adecuación (art. 45) (las decisiones adoptadas en virtud de la Directiva 95/46/CE permanecerán en vigor).

Transferencias mediante garantías adecuadas (art. 46)

Normas corporativas vinculantes (art. 47)

Transferencias o comunicaciones no autorizadas por el Derecho de la Unión (art. 48)

Excepciones para situaciones específicas (art. 49)

Cooperación internacional en el ámbito de la protección de datos personales (art. 50)


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


PLOPD

Artículo 40. Régimen de las transferencias internacionales de datos.

Artículo 41. Supuestos de adopción por la Agencia Española de Protección de Datos.

Artículo 42. Supuestos sometidos a autorización previa de la Agencia Española de Protección de Datos.

Artículo 43. Supuestos sometidos a información previa a la autoridad de protección de datos competente.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


AUTORIDADES DE CONTROL INDEPENDIENTES

(arts. 51-59)

• INDEPENDENCIA

• COMPETENCIAS, FUNCIONES Y PODERES

• Las autoridades de control no serán competentes para controlar las operaciones de tratamiento efectuadas por los tribunales en el ejercicio de su función judicial.

• La autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento será competente para actuar como autoridad de control principal para el tratamiento transfronterizo realizado por parte de dicho responsable o encargado


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


COOPERACIÓN Y COHERENCIA (Arts. 60-67)

Autoridad de control principal: la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento será competente para actuar como autoridad de control principal para el tratamiento transfronterizo realizado por parte de dicho responsable o encargado (art. 56). Autoridad de control interesada (art. 4.22): la autoridad de control a la que afecta el tratamiento de datos personales debido a que: • a) el responsable o el encargado del tratamiento está establecido

en el territorio del Estado miembro de esa autoridad de control; • b) los interesados que residen en el Estado miembro de esa

autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento, o

• c) se ha presentado una reclamación ante esa autoridad de control;


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


PLOPD

TÍTULO VII. Autoridades de protección de datos CAPÍTULO I. La Agencia Española de Protección de Datos

SECCIÓN 1.ª DISPOSICIONES GENERALES Artículo 44. Disposiciones generales. Artículo 45. Régimen jurídico. Artículo 46. Régimen económico presupuestario y de personal. Artículo 47. Funciones y potestades de la Agencia Española de Protección de Datos. Artículo 48. El Presidente de la Agencia Española de Protección de Datos. Artículo 49. Consejo Consultivo de la Agencia. Artículo 50. Publicidad.

SECCIÓN 2.ª POTESTADES DE INVESTIGACIÓN Y PLANES DE AUDITORÍA PREVENTIVA Artículo 51. Ámbito y personal competente. Artículo 52. Deber de colaboración. Artículo 53. Alcance de la actividad de investigación. Artículo 54. Planes de auditoría preventiva.

SECCIÓN 3.ª OTRAS POTESTADES DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Artículo 55. Potestades de regulación. Circulares de la Agencia Española de Protección de Datos. Artículo 56. Acción exterior.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


CAPÍTULO II. Autoridades autonómicas de protección de datos

SECCIÓN 1.ª DISPOSICIONES GENERALES Artículo 57. Autoridades autonómicas de protección de datos.

Artículo 58. Cooperación institucional.

Artículo 59. Tratamientos contrarios al Reglamento (UE) 2016/679 y la presente ley orgánica.

SECCIÓN 2.ª COORDINACIÓN EN EL MARCO DE LOS PROCEDIMIENTOS ESTABLECIDOS EN EL REGLAMENTO (UE) 2016/679

Artículo 60. Coordinación en caso de emisión de dictamen por el Comité Europeo de Protección de Datos.

Artículo 61. Intervención en caso de tratamientos transfronterizos.

Artículo 62. Coordinación en caso de resolución de conflictos por el Comité Europeo de Protección de Datos.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


COMITÉ EUROPEO DE PROTECCIÓN DE DATOS

(Arts. 68 a 76)

Composición

Independencia

Funciones

Funcionamiento

Presidente

Secretaría (EDPS)


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


DERECHO A INDEMNIZACIÓN Y RESPONSABILIDAD

(art. 82)

Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


REGIMEN SANCIONADOR Poderes correctivos de las autoridades de control (art. 58.2) Multas: - Circunstancias concurrentes (art. 83.2 y 3) - Cuantía de las multas (art. 83.4, 5 y 6)

- Hasta 10.000.000 € o, tratándose de empresas, hasta 2% volumen de negocio total anual global

- Hasta 20.000.000 € o, tratándose de empresas, 4 % volumen de negocio total anual global

- Posible multa a las AAPP (art. 83.7): decisión de cada Estado

Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679

3 de octubre de 2017 WP 253


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:


REGIMEN SANCIONADOR

PLOPD

TÍTULO IX. Régimen sancionador

Artículo 70. Sujetos responsables.

Artículo 71. Infracciones.

Artículo 72. Infracciones consideradas muy graves.

Artículo 73. Infracciones consideradas graves.

Artículo 74. Infracciones consideradas leves.

Artículo 75. Interrupción de la prescripción.

Artículo 76. Sanciones y medidas correctivas.

Artículo 77. Régimen aplicable a determinadas categorías

de responsables o encargados del tratamiento.

Artículo 78. Prescripción de las sanciones.


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

José Luis Piñar Mañas http://www.editorialreus.es/libros/reglamento-general-de-proteccion-de-datos/9788429019360/


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

MUCHAS GRACIAS

[email protected]

[email protected]

©José Luis Piñar Mañas. Permitida la cita indicando la fuente


CO

PIA

AU

TO

RIZ

AD

A P

AR

A:

mailto:[email protected]

mailto:[email protected]

Date post:	03-Oct-2018
Category:	Documents
Upload:	dodat
View:	213 times
Download:	0 times

Presentación de PowerPoint · seguridad (art. 9 lopd) control independiente (arts. 35 y ss. lopd)...

Documents