Citation preview
RGPD empleadosv5SiguienteAnterior
3. Principios del tratamiento 9
4. Consentimiento explícito 11
9. La violación de la seguridad 25
10. Tratamiento de categorías especiales de datos 27
11. Responsabilidad proactiva 28
SiguienteAnterior
Formación Aseguradora GACM © 05/183
El Dueño de los Datos es la Persona Física Los datos personales se
han convertido en el nuevo petróleo del siglo XXI.
Pasamos de la gestión de datos al gobierno de la información.
Las nuevas tecnologías y en concreto, la digitalización, de todos
los ámbitos de la vida tiene un impacto revolucionario sobre
nuestra sociedad, educación, en la política y en la economía.
El Reglamento UE pretende rescatar de forma uniforme en todos los
Estados miembros de la UE, la privacidad digital y eliminar la
vigilancia de masas, manipulación, pérdida de libertad y
espionaje.
1. Introducción
2 3 4 5 6 7 8 9 10 11 121
Jan Philipp Albrecht El proceso legislativo de este Reglamento UE
ha sido largo, iniciándose en 2012 hasta 2016, siendo liderado por
el joven parlamentario europeo del partido verde europeo Jan
Philipp Albrecht. El texto en estado de borrador obtuvo más de
4.000 enmiendas, a resultas de las muchísimas tensiones e
intereses, que genera la gestión de los datos personales y su libre
circulación europea.
Para ampliar más la información sobre la actividad llevada acabo de
Jan Philipp Albrecht, puedes consultar Parlamento Europeo
Eurodiputados, que tienes disponible como recurso del curso.
SiguienteAnterior
Formación Aseguradora GACM © 05/184
El nuevo Reglamento General de Protección de Datos (RGPD) Pretende
consolidar una verdadera cultura de privacidad en nuestro tejido
empresarial con la finalidad de proteger eficientemente los datos
personales de todos los ciudadanos europeos.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,
de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a
la libre circulación de estos datos, está en vigor desde el 25 de
mayo de 2016 (deroga la Directiva 95/46/CE) y será de aplicación
obligatoria en todos los Estados de la UE a partir del 25 de mayo
de 2018, por lo que a partir de este momento rige el RGPD, quedarán
sin efecto la LOPD y su reglamento de desarrollo, RDLOPD. Se
aprobará una nueva LOPD que sustituirá la anterior y que
complementará este nuevo RGPD.
Aplicación del Reglamento El RGPD se aplica a las operaciones
realizadas sobre datos personales de ciudadanos residentes en la UE
efectuadas por un Responsable del tratamiento (RT) o un Encargado
del tratamiento (ET):
• Establecido en la UE, independientemente de que el tratamiento
tenga lugar en la UE o no. • No establecido en la UE, siempre y
cuando las actividades del tratamiento estén relacionadas
con:
o La oferta de bienes o servicios a personas residentes en la UE,
se pague o no por ello. o El control de la conducta de personas, si
tiene lugar en la UE. o No establecido en la UE, pero sea de
aplicación la legislación de un Estado de la UE.
“El RGPD establece las normas relativas a la protección de datos
personales de las personas físicas referentes a su tratamiento y a
la libre circulación de los mismos."
Para ampliar más la información puedes consultar en la Agencia
Española de Protección de Datos (AEPD), el Reglamento General de
Protección de Datos, que tienes disponible como recurso del
curso.
El RGPD no se aplica: • Al tratamiento de datos entre personas
individuales (excepto si alguna de estas
personas realiza el tratamiento para el ejercicio de una actividad
económica). • A las actividades no comprendidas en el ámbito de
aplicación del Derecho de la UE.
1. Introducción
2 3 4 5 6 7 8 9 10 11 121
SiguienteAnterior
Definiciones de los conceptos principales
Datos personales Toda información sobre una persona física
identificada o identificable “el interesado”, se considerará
persona física identificable toda persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante un
identificador, como por ejemplo un nombre, un número de
identificación, datos de localización, un identificador en línea o
uno o varios elementos propios de la identidad física, fisiológica,
genética, psíquica, económica, cultural o social de dicha
persona.
2. Conceptos principales de la protección de datos
Interesado Persona física sometida al tratamiento de sus datos
personales.
Tratamiento Cualquier operación o conjunto de operaciones
realizadas sobre datos personales o conjuntos de datos personales,
ya sea por procedimientos automatizados o no, como la recogida,
registro, organización, estructuración, conservación, adaptación o
modificación, extracción, consulta, utilización, comunicación por
transmisión, difusión o cualquier otra forma de habilitación de
acceso, cotejo o interconexión, limitación, supresión o
destrucción.
1 3 4 5 6 7 8 9 10 11 122
SiguienteAnterior
1. Figuras y roles del tratamiento de datos
Responsable del tratamiento (RT) La persona física o jurídica,
autoridad pública, servicio u otro organismo que,
solo o junto con otros, determine los fines y medios del
tratamiento.
Encargado del tratamiento (ET) Persona física o jurídica, Autoridad
pública, servicio u otro organismo que trate datos personales por
cuenta del RT.
Delegado de protección de datos (DPD) Nueva figura que en su caso
debe designar el RT y el ET para que cumpla con las funciones de
informar y asesorar, supervisar el cumplimiento del RGPD y cooperar
con la autoridad de control. El RT y el ET garantizarán que el DPD
no reciba ninguna instrucción en lo que respecta al desempeño de
dichas funciones, debiendo operar éste de forma
independiente.
Autoridad de control Autoridad pública independiente con la función
de supervisar la aplicación del Reglamento.
2. Conceptos principales de la protección de datos
1 3 4 5 6 7 8 9 10 11 122
SiguienteAnterior
2. Categoría de datos
Datos Básicos Datos personales que no correspondan a categorías
Especiales de datos ni a condenas y delitos Penales. Por ejemplo:
nombre, dirección, email, teléfono, edad, sexo, firma, imagen,
aficiones, patrimonio, datos bancarios, información académica,
profesional, social, comercial, financiera, etc.
Categorías Especiales de datos Datos relativos al origen étnico o
racial, opiniones políticas, convicciones religiosas o filosóficas,
afiliación sindical, datos genéticos o biométricos que permitan la
identificación unívoca de una persona, datos relativos a la salud o
a la vida y orientación sexuales.
2. Conceptos principales de la protección de datos
1 3 4 5 6 7 8 9 10 11 122
Condenas y delitos penales Datos relativos a condenas y delitos
penales o medidas de seguridad afines.
Datos de personas vulnerables Datos relativos a menores de 16 años
(13 años previsiblemente en España, puesto que se permite a los
Estados miembros fijar una edad inferior en la horquilla 16-13
años). Datos relativos de personas sujetas a alguna medida de
protección legal ( tutela, protección judicial o análogos).
SiguienteAnterior
Formación Aseguradora GACM © 05/188
Tratamiento de datos de niños La oferta directa de servicios de la
sociedad de la información (e-comerce) a menores de 14 años deberá
obtenerse con el consentimiento de su representante legal. EL RGPD
señala una horquilla de 13 a 16 años, siendo cada estado UE quién
debe decidir. Y hasta disponer de la nueva LOPD resulta de
aplicación el límite de 14 años de conformidad con la vieja LOPD
que sigue parcialmente en vigor. La información del tratamiento
dirigida a un menor deberá facilitarse con un lenguaje claro,
sencillo y adecuado al receptor.
Tratamiento relativos a condenas e infracciones penales El
tratamiento de datos relativos a condenas y delitos penales o
medidas de seguridad afines sólo podrá realizarse si está
fundamentado en la legislación vigente con garantías adecuadas para
los derechos y libertades de los interesados o bajo la supervisión
de poderes públicos. Sólo podrá llevarse un registro completo de
condenas penales, bajo el control de las autoridades
públicas.
Tratamiento de categorías especiales de datos Cómo principio
general está prohibido tratar datos relativos al origen étnico o
racial, opiniones políticas, convicciones religiosas o filosóficas,
afiliación sindical, datos genéticos o biométricos que permitan la
identificación unívoca de una persona, datos relativos a la salud o
a la vida y orientación sexuales. A excepción de que el interesado
haya dado su consentimiento explícito para uno o varios fines
específicos, u a excepción de otras casuísticas que permite el
reglamento, como por ejemplo en cumplimiento de la legislación
laboral, proteger el interés vital del interesado o para el
reconocimiento, ejercicio o defensa de demandas judiciales entre
otras bases que prevé el reglamento.
2. Conceptos principales de la protección de datos
1 3 4 5 6 7 8 9 10 11 122
SiguienteAnterior
Formación Aseguradora GACM © 05/189
Los 6 principios de la protección de datos que establece el RGPD,
deben aplicarse a todo el tratamiento de la información relativa a
una persona física identificada o identificable.
Los datos personales serán tratados con:
1. Licitud, lealtad y transparencia Licitud: equivale a que el
tratamiento tenga una o más de las bases legales que prevé el RGPD
(contrato firmado, obligación legal, consentimiento explícito,
interés legítimo, interés vital y interés público). Lealtad y
transparencia: equivale a que en la recogida de los datos del
interesado, se le debe informar de forma verídica de quién es el
responsable, la finalidad, de la dirección para ejercer los
derechos entre otras informaciones.
2. Limitación de la finalidad Recogidos con fines determinados,
explícitos y legítimos y no tratados posteriormente de manera
incompatible con dichos fines.
3. Minimización de los datos Adecuados, pertinentes y limitados a
lo necesario en relación con los fines para los que son
tratados.
4. Exactitud Actualizados sin demora con respecto a los fines para
los que se tratan.
5. Limitación del plazo de conservación Mantenidos de forma que se
permita la identificación de los interesados durante no más tiempo
del necesario para los fines del tratamiento de los datos
personales.
6. Integridad y confidencialidad Tratados de tal manera que se
garantice una seguridad adecuada de los datos personales. Incluida
la protección contra el tratamiento no autorizado o ilícito y
contra su pérdida, destrucción o daño accidental, mediante la
aplicación de medidas técnicas u organizativas apropiadas.
Los principios de protección de datos Se aplican al tratamiento de
datos, o sea, a cualquier operación realizada sobre datos
personales: recogida, registro, organización, estructuración,
conservación, adaptación o modificación, extracción, consulta,
utilización, comunicación por transmisión, difusión o cualquier
otra forma de habilitación de acceso, cotejo o interconexión,
limitación, supresión o destrucción.
3. Principios del tratamiento
Obligación de Responsabilidad Proactiva Somos responsables del
cumplimiento de los 6 principios y capaces de demostrar el mismo,
frente a la Agencia Española de Protección de datos, Auditorías,
Actividades de supervisión y control.
1 2 4 5 6 7 8 9 10 11 123
SiguienteAnterior
Formación Aseguradora GACM © 05/1810
Licitud Ampliamos la información de Licitud que debemos conocer, ya
que el RPGD dispone que el tratamiento, sólo será lícito cuando se
rija en una o más de las siguientes bases legales:
• El consentimiento explícito para fines específicos y/o. • Un
contrato o precontrato con el interesado y/o. • La necesidad de la
protección de los intereses vitales del interesado u otra persona
física y/o. • Un interés legítimo del Responsable del tratamiento o
terceros, siempre que no prevalezcan los intereses o los derechos y
libertades del
interesado, especialmente si es un niño y/o. • Una procedencia
legítima de archivos de acceso público obtenidos de una fuente
pública o el interesado haya hecho manifiestamente públicos
sus
datos y/o. • Una obligación jurídica a la que esté sujeto el
Responsable del tratamiento y/o. • Un cometido de interés público
fundamentado en la legislación vigente y/o.
Licitud para tratamientos con fines distintos del inicialmente
informado En este caso, el Reglamento dispone que solo será lícito
si es compatible con el fin inicial y existe una relación entre: •
Las finalidades del tratamiento. • El entorno del Responsable del
tratamiento y los interesados. • La categoría de datos. • Las
posibles consecuencias para el interesado. • La protección de datos
(cifrado, seudonimización, etc.).
3. Principios del tratamiento
1 2 4 5 6 7 8 9 10 11 123
El consentimiento explícito para fines específicos Ejemplo
práctico: Un cliente de la aseguradora contrata una póliza, además
y nos da el consentimiento explícito para tratar sus datos en
acciones comerciales intragrupo. Bases legales de licitud del
tratamiento: • Con respecto al tratamiento de datos en la gestión
del siniestro de la póliza, la base legal es el contrato (la
póliza). • Con respecto al tratamiento de datos con fines
comerciales, la base legal es el consentimiento explícito.
Cuando la base legal sea la obtención del consentimiento explícito
en el RGPD a diferencia de la LOPD, donde el consentimiento podía
ser tácito, el RGPD requiere una
declaración o acción positiva del interesado que indique su
conformidad con el tratamiento.
SiguienteAnterior
Requisitos del consentimiento Los requisitos para que un
consentimiento sea considerado válido son:
Información específica El consentimiento debe ser estar basado en
información adecuada (Firma de Cláusula de RGPD y/o grabación de
locución). No es aceptable el consentimiento genérico sin
especificar el propósito exacto de la finalidad del
tratamiento.
Momento El consentimiento debe darse después de la información y
antes de que comience el tratamiento.
Elección activa El consentimiento debe darse mediante un acto
afirmativo claro que refleje una manifestación de voluntad libre,
específica, informada, e inequívoca del interesado de aceptar el
tratamiento de datos de carácter personal que le conciernen, como
una declaración por escrito, inclusive por medios electrónicos, o
una declaración verbal grabada.
Libremente otorgado El consentimiento sólo será válido si el
interesado está en condiciones de ejercer una elección real y no
hay riesgo de engaño, intimidación, coacción o consecuencias
negativas importantes si el interesado no da su
consentimiento.
Condiciones del consentimiento Las condiciones para que un
consentimiento sea considerado válido son:
• El Responsable del tratamiento asumirá la prueba del
consentimiento. Si éste se realiza por escrito, deberá distinguirse
claramente de otros asuntos.
• El consentimiento no será lícito si se condiciona a una
prestación de servicios sin ser necesario para su realización. • El
Responsable del tratamiento informará al interesado, antes de dar
su consentimiento, que tiene derecho a retirarlo en cualquier
momento sin
que afecte al tratamiento efectuado hasta entonces. • Debe ser tan
fácil retirar como dar el consentimiento. • Los consentimientos que
infrinjan parcialmente el Reglamento serán considerados
nulos.
4. Consentimiento explícito
1 2 3 5 6 7 8 9 10 11 124
SiguienteAnterior
Formación Aseguradora GACM © 05/1812
La información del tratamiento (principio número 1) Antes de
recabar los datos del interesado se debe informar.
El principio fundamental de un tratamiento es la lealtad y
transparencia con el interesado. Aplicando este principio, el RGPD
dispone que se deberá facilitar la información del tratamiento de
forma concisa, transparente, inteligible y de fácil acceso, con un
lenguaje claro y sencillo, especialmente si va dirigida a
niños.
A diferencia de la LOPD, que la información del tratamiento se
reflejaba en una cláusula diminuta ahora el RGPD nos obliga a ser
más transparentes, lo que quiere decir que el interesado debe estar
claramente informado del tratamiento ampliándose la información
obligatoria. La información se podrá facilitar por escrito o por
medios electrónicos, inclusive oralmente si lo solicita el
interesado.
5. La información del tratamiento
1 2 3 4 6 7 8 9 10 11 125
Por lo que estamos obligados a verificar que en nuestra actividad,
cuando se recaban datos por vez primera con una finalidad, se
cumple con la obligación de informar (firma y/o grabación de
locución de cláusula) y además la información incluye los nuevos
requisitos del tratamiento.
SiguienteAnterior
Formación Aseguradora GACM © 05/1813
• Información detallada del origen de los datos, incluso si
proceden de fuentes de acceso público.
• Categoría de datos que se traten.
Contenido de la información al interesado El Responsable del
tratamiento deberá facilitar, como mínimo, la siguiente
información. Se puede distinguir entre una información básica
(primer nivel) y una información adicional (segundo nivel):
5. La información del tratamiento
1 2 3 4 6 7 8 9 10 11 125
Identidad del Responsable del tratamiento.
Epígrafe Información básica 1ª capa, resumida
Información adicional 2ª capa, detallada
• Datos de contacto del Responsable de tratamiento. (RT) Identidad
y datos de contacto del responsable.
• Datos de contacto del Delegado de protección de datos (DPD) si
existe.
Descripción sencilla de los fines del tratamiento, incluso
elaboración de perfiles.
• Descripción ampliada de los fines del tratamiento. • Plazos o
criterios de conservación de los datos. • Decisiones automatizadas,
perfiles y lógica aplicada.
Base jurídica del tratamiento. • Detalle de la base jurídica del
tratamiento, en los casos de obligación
legal, interés público o interés legítimo. • Obligación o no, de
facilitar datos y consecuencias de no hacerlo.
Previsión o no de cesiones. Previsión de transferencias o no, a
terceros
países.
situaciones específicas aplicables.
Referencia al ejercicio de derechos. • Cómo ejercer los derechos de
acceso, rectificación, supresión y
portabilidad de los datos, y la limitación u oposición a su
tratamiento. • Derecho a retirar el consentimiento prestado.
Fuente de los datos, cuando no proceden del interesado.
Responsable del tratamiento.
Finalidad del tratamiento.
Legitimación del tratamiento.
Formación Aseguradora GACM © 05/1814
Comunicación de la información al interesado La información del
tratamiento se deberá facilitar en el momento de la obtención de
los datos, no siendo necesario volver a hacerlo una vez el
interesado haya sido informado, siempre que sean utilizados para la
misma finalidad para la que se recabaron.
5. La información del tratamiento
1 2 3 4 6 7 8 9 10 11 125
La información deberá ser concisa, transparente, inteligible y de
fácil acceso, con un lenguaje claro y sencillo y se facilitará por
escrito o por medios electrónicos, inclusive verbalmente si lo
solicita el interesado.
No será necesario comunicar la información al interesado: Cuando el
tratamiento sea una obligación legal del Responsable del
tratamiento, por ejemplo, la obtención de datos para la emisión de
facturas.
SiguienteAnterior
6. Los derechos del interesado
1 2 3 4 5 7 8 9 10 11 126
Ejercicio de los derechos del interesado El interesado (persona
física) siempre el propietario de sus datos personales. El
interesado debe tener el control de sus propios datos. A estos
efectos se le reconocen unos derechos cuyo ejercicio debe ser
posible. Por ello dentro de la información obligada, se incluye la
forma de ejercer los derechos por parte del interesado.
Los derechos que el Reglamento atribuye al interesado son:
Acceso a los datos
Rectificación de los datos
Supresión de los datos
Portabilidad de los datos
A interponer un recurso judicial
A indemnización y responsabilidad
El Responsable del tratamiento deberá responder las solicitudes del
interesado sin demora injustificada y como máximo en el plazo de un
mes, y tendrá que explicar sus motivos en caso de que no
atenderlas.
En la generalidad de nuestras cláusula o locuciones informativas,
indicamos a los interesados que pueden ejercer estos derechos por
correo postal a Horizon Sant Cugat, o bien a la dirección de correo
electrónico lopd@gacm.es.
A priori la gestión de estos ejercicios se lleva a cabo por el
Servicio de Atención y Defensa del Cliente del Grupo GACM
España.
SiguienteAnterior
Formación Aseguradora GACM © 05/1816
Derecho de acceso El interesado tendrá derecho a obtener del
responsable del tratamiento confirmación de si se están tratando o
no datos personales que le conciernen y, en tal caso, derecho de
acceso a los datos personales y a la información relativa a: fines
de tratamiento, categoría de datos, plazos previstos de
conservación y demás según se tasan en el tratamiento.
6. Los derechos del interesado
1 2 3 4 5 7 8 9 10 11 126
Derecho de rectificación El interesado tiene derecho, además de
rectificar los datos inexactos, a que se completen los datos
personales incompletos, inclusive mediante una declaración
adicional.
Derecho de supresión (Derecho al olvido) El interesado tiene el
derecho a la supresión de los datos personales sin dilación
indebida cuando concurra alguno de los supuestos contemplados. Como
el tratamiento ilícito de datos, o cuando haya desaparecido la
finalidad que motivó el tratamiento o recogida. No obstante, se
regulan unas excepciones en las que no procederá este derecho. Como
el cumplimiento de una obligación legal, o para la formulación,
ejercicio o defensa de reclamaciones. El Derecho al olvido (nuevo
derecho), es una subespecie nueva del Derecho de supresión que
atañe al canal digital.
SiguienteAnterior
Formación Aseguradora GACM © 05/1817
Derecho a la portabilidad de los datos (Nuevo derecho) El
interesado podrá recibir sus datos personales facilitados en un
formato estructurado, de uso común y lectura mecánica, y poder
transmitirlos a otro Responsable, siempre que sea técnicamente
posible. De igual forma el interesado tendrá derecho, a que los
datos se transmitan directamente de Responsable a Responsable,
cuando sea técnicamente posible.
6. Los derechos del interesado
1 2 3 4 5 7 8 9 10 11 126
Derecho a la limitación del tratamiento (Nuevo derecho) El
interesado tiene derecho a: • Solicitar al Responsable que suspenda
un tratamiento concreto en los
casos que prevé el reglamento. Por ejemplo si se impugna la
exactitud de los datos y mientras se verifica dicha exactitud por
el Responsable. O cuando se haya ejercido el derecho de oposición
al tratamiento de datos, mientras se verifica si los motivos
legítimos del Responsable prevalecen sobre el interesado.
• Todo interesado que haya obtenido la limitación del tratamiento,
será informado por Responsable antes del levantamiento de dicha
limitación.
SiguienteAnterior
Formación Aseguradora GACM © 05/1818
Derecho a presentar una reclamación (denuncia) ante la Autoridad de
control El interesado tendrá derecho a estar informado por el
Responsable de que puede presentar una reclamación ante la
Autoridad de control, si considera que el tratamiento de sus datos
personales no se ajusta a lo dispuesto en el Reglamento.
6. Los derechos del interesado
1 2 3 4 5 7 8 9 10 11 126
Derecho a indemnización (Nuevo derecho)
y responsabilidad Además de tener el derecho a presentar la
reclamación, toda persona que haya sufrido daños y perjuicios
materiales o inmateriales como consecuencia de una infracción del
presente Reglamento tendrá derecho a recibir del Responsable o el
Encargado del tratamiento una indemnización por los daños y
perjuicios sufridos.
El Responsable o Encargado del tratamiento estará exento de
responsabilidad si demuestra que no es en modo alguno responsable
del hecho que haya causado los daños y perjuicios.
Derecho de oposición El interesado podrá oponerse al tratamiento de
datos personales: • Cuando por motivos relacionados con su
situación personal, debe cesar
el tratamiento de sus datos salvo que se acredite un interés
legítimo, o sea necesario para el ejercicio o defensa de
reclamaciones.
• Cuando el tratamiento tenga por objeto la mercadotecnia
(marketing) directa, los datos dejarán de ser tratados para dichos
fines.
SiguienteAnterior
Formación Aseguradora GACM © 05/1819
1. Delegado de protección de datos El Delegado de protección de
datos (DPD), es la persona encargada de:
• Informar y asesorar al RT o al ET ya los empleados que se ocupen
del tratamiento de las obligaciones que les incumben. • Supervisar
el cumplimiento del reglamento. • Asesorar en las evaluaciones de
impacto del tratamiento. • Cooperar y actuar cómo interlocutor con
la autoridad de control.
Y debe desempeñar sus funciones en atención a los riesgos asociados
a las operaciones de tratamiento. Podrá informar directamente al
más alto nivel de dirección del Responsable o Encargado del
tratamiento
Los interesados: Podrán contactar con el DPD para tratar los
asuntos que les afecten relativos al tratamiento de sus datos y al
ejercicio de los derechos que les confiere el Reglamento.
7. La responsabilidad del tratamiento
1 2 3 4 5 6 8 9 10 11 127
Roles definidos por el RGPD 1. Delegado de protección de datos
(DPD, figura nueva) 2. Responsable de tratamiento (RT) 3. Encargado
del tratamiento (ET) 4. Corresponsables del tratamiento (Figura
nueva)
SiguienteAnterior
Formación Aseguradora GACM © 05/1820
2. Responsable del tratamiento (RT) Es la persona física o
jurídica, autoridad pública, servicio u otro organismo que, solo o
junto con otros, que determina los fines y medios del tratamiento.
El Responsable del tratamiento deberá, antes y durante el
tratamiento:
• Implementar medidas técnicas y organizativas apropiadas para
garantizar y demostrar el cumplimiento del Reglamento.
Teniendo en cuenta: • La naturaleza, ámbito, contexto y fines del
tratamiento. • Los riesgos para los derechos y libertades de los
interesados. • El tipo de organización. • Aplicar medidas de
protección de datos proporcionadas en relación con las actividades
del tratamiento. • Formalizar mediante un contrato el encargo del
tratamiento (Prestación de servicios con el ET). Este contrato debe
incluir los apartados que el
RGPD estable como obligatorios.
Protección de datos desde el diseño y por defecto El Responsable
del tratamiento deberá garantizar desde el diseño y por defecto,
antes y durante el tratamiento la aplicación efectiva de los
principios de protección de datos a todos datos personales
tratados, así como al plazo de conservación y a su
accesibilidad:
• Que el tratamiento se realice para fines específicos, recogidos
con fines determinados, explícitos y legítimos y no tratados
posteriormente de manera incompatible con dichos fines.
• La minimización de datos, siendo adecuados, pertinentes y
limitados a lo necesario en relación con los fines para los que son
tratados • La exactitud, confidencialidad, integridad, seguridad
física y supresión de los datos. • La protección de los derechos
del interesado. • Que los datos no sean accesibles, sin la
intervención humana, a un número indeterminado de personas. • La
aplicación de los resultados de la evaluación de impacto. • El
Responsable del tratamiento podrá utilizar los mecanismos de
certificación, establecidos en el Reglamento para demostrar la
protección de los
datos desde el diseño y por defecto.
7. La responsabilidad del tratamiento
1 2 3 4 5 6 8 9 10 11 127
Para ampliar más la información puedes consultar en la Agencia
Española de Protección de Datos (AEPD), la Guía del RGPD para
Responsables de Tratamiento, que tienes disponible como recurso del
curso.
SiguienteAnterior
Formación Aseguradora GACM © 05/1821
3. Encargados del tratamiento (ET) Es la persona física o jurídica,
autoridad pública, servicio u otro organismo que trate datos
personales por cuenta del Responsable del tratamiento.
El RT debe elegir un ET que aporte las suficientes garantías de
cumplir con sus obligaciones y poder acreditar que esta elección es
correcta. El ET debe :
• Implementar políticas técnicas y organizativas apropiadas para
cumplir el Reglamento. • Proteger los derechos del interesado. •
Aplicar las medidas de seguridad que establece el Reglamento. •
Debe cumplir las obligaciones asumidas en el contrato que ha
suscrito con el RT y en su caso
las legales.
Si un encargado del tratamiento infringe el presente Reglamento al
determinar los fines y medios del tratamiento, será considerado
responsable del tratamiento con respecto a dicho tratamiento.
El Responsable y/o Encargado del tratamiento garantizarán que las
Personas autorizadas para tratar datos personales se hayan
comprometido a respetar la confidencialidad, mediante:
• Acuerdos de confidencialidad. • Una obligación legal de
confidencialidad.
Así por ejemplo, los empleados del Grupo deberán suscribir un anexo
al contrato laboral, que actualice la cláusula de LOPD y
confidencialidad a los nuevos requisitos del RGPD. Del mismo modo,
los contratos de colaboración también deberán ser actualizados por
el anexo oportuno.
7. La responsabilidad del tratamiento
1 2 3 4 5 6 8 9 10 11 127
Siempre que actuemos cómo RT o ET en una prestación de servicio o
colaboración, debe mediar una cláusula de protección de datos y
confidencialidad firmada por las partes. Y ésta, debe cumplir con
los contenidos que le exige el RGPD.
SiguienteAnterior
4. Corresponsable del tratamiento Cuando dos o más responsables
determinan conjuntamente los objetivos y los medios del tratamiento
son considerados Corresponsables del tratamiento.
Los corresponsables fijan de modo transparente y de mutuo acuerdo
sus responsabilidades respectivas en el cumplimiento de las
obligaciones impuestas por el presente RGPD que regularán mediante
un contrato.
Independientemente de los términos del acuerdo, los interesados
podrán ejercer los derechos que les reconoce el presente Reglamento
frente a, y en contra de, cada uno de los responsables.
Registro de actividades del tratamiento (RAT) El Responsable y/o
Encargado del tratamiento tendrán la obligación de llevar un
Registro de actividades del tratamiento (RAT), cuando en el
tratamiento de datos concurra en alguna de las siguientes
condiciones:
• Empleen a un mínimo de 250 personas. • Pueda suponer un riesgo
para los derechos y libertades del interesado
y no tenga un carácter ocasional. • Se traten categorías especiales
de datos. • Se traten datos relativos a condenas y delitos
penales.
7. La responsabilidad del tratamiento
1 2 3 4 5 6 8 9 10 11 127
El RAT debe estar constantemente actualizado, incorporando todas
las actividades con datos personales de las empresas, y ofrecer una
fotografía en tiempo real de los flujos de tratamiento de datos,
que ha de quedar a disposición de la Autoridad de control.
SiguienteAnterior
Formación Aseguradora GACM © 05/1823
La seguridad del tratamiento El RGPD establece el Principio de
Integridad y Confidencialidad, disponiendo que los datos sean:
“tratados de tal manera que se garantice una seguridad adecuada de
los datos personales, incluida la protección contra el tratamiento
no autorizado o ilícito y contra su pérdida, destrucción o daño
accidental, mediante la aplicación de medidas técnicas u
organizativas apropiadas”.
Responsabilidad • Acuerdos de confidencialidad con el Personal
autorizado. • Contratos con los Encargados del tratamiento. •
Acuerdos con los Corresponsables del tratamiento. • Contratos con
los Destinatarios de los datos.
Estructura técnica • Ejecución de los derechos de los interesados.
• Protección de datos desde diseño y por defecto. • Análisis de los
riesgos del tratamiento. • Evaluación de impacto (si existen
riesgos). • Resolución de violaciones de la seguridad.
Estructura organizativa • Acceso a equipos y redes informáticas. •
Acceso a categorías especiales de datos (si existen). • Protección
de equipos y redes informáticas. • Copias de respaldo. • Transporte
y transmisión de datos. • Transferencias internacionales (si
existen). • Destrucción de datos.
La política de seguridad a implementar, debe aplicar las siguientes
medidas en los ámbitos de:
8. La seguridad del tratamiento
1 2 3 4 5 6 7 9 10 11 128
SiguienteAnterior
Formación Aseguradora GACM © 05/1824
Política de seguridad La política de seguridad deberá garantizar la
implantación de medidas adecuadas para la protección de los
derechos y libertades de los interesados. Para evaluar el nivel de
seguridad a implantar, se tendrán en cuenta los riesgos que pueda
tener el tratamiento como consecuencia de:
El Responsable o Encargado del tratamiento podrán utilizar la
adhesión a los Códigos de conducta o mecanismos de Certificación
establecidos en el RGPD para demostrar la implantación de las
medidas de seguridad.
8. La seguridad del tratamiento
1 2 3 4 5 6 7 9 10 11 128
La destrucción accidental o ilícita de datos.
La pérdida, alteración o comunicación no autorizada.
El acceso a los datos cuando sean transmitidos, conservados u
objeto de algún otro tipo de tratamiento.
SiguienteAnterior
Formación Aseguradora GACM © 05/1825
La violación de seguridad de los datos personales Es un nuevo
concepto del RGPD, que queda sujeto a un procedimiento o trámite de
obligado cumplimiento.
Toda violación de la seguridad que ocasione la destrucción, pérdida
o alteración accidental o ilícita de datos personales transmitidos,
conservados o tratados de otra forma, o la comunicación o acceso no
autorizados a dichos datos que pueda producirse en cualquier fase
del tratamiento: obtención, acceso, intervención, transmisión,
conservación o supresión de datos, genera las siguientes
obligaciones para el RT y/o el ET:
Deben tomar suficientes medidas para prevenir daños o perjuicios a
interesados o terceros en el transcurso del tratamiento de datos,
como:
También obliga al Responsable a notificar dichas violaciones a la
Autoridad de control en un máximo de 72 horas e incluso a
comunicarlas a los interesados afectados si se prevé que la
incidencia pueda entrañar un alto riesgo para sus derechos y
libertades.
9. La violación de seguridad
1 2 3 4 5 6 7 8 10 11 129
• La pérdida de control sobre sus datos personales. • La
restricción de sus derechos. • Discriminación. • Usurpación de
identidad. • Pérdidas financieras. • Reversión no autorizada de la
seudonimización. • Daño para la reputación. • Pérdida de
confidencialidad de datos sujetos al secreto profesional. • O
cualquier otro perjuicio económico o social significativo para la
persona física.
Por ello cualquier empleado / colaborador que tenga conocimiento
que se ha producido una violación de seguridad por cualquier
motivo, sea intencionado o accidental, tiene el deber de informar
de ello a su Responsable y DPO, para proteger de esta forma
los
derechos y libertades de las personas física y minimizar el riesgo
de sanción y el riesgo reputacional del Grupo.
SiguienteAnterior
Formación Aseguradora GACM © 05/1826
Casos y ejemplos de posibles violaciones de la seguridad de los
datos personales Se puede producir una violación de la seguridad
cuando, por cualquier motivo, sea intencionado o no, se vulnere la
seguridad de los datos o se prevea que pueda entrañar un alto
riesgo para los derechos y libertades de las personas
físicas.
Violación de datos • Acceso a datos no autorizado: • Encargo del
tratamiento sin el contrato correspondiente. • Acceso
indiscriminado a impresoras, fotocopiadoras, etc. • Acceso a
información confidencial no autorizada: nóminas,
currículums, embargos, video vigilancia, etc. • Acceso no
autorizado a los sistemas informáticos.
Comunicación de datos no autorizada • Transmisión ilícita de datos
a un Destinatario. • Vulneración del secreto profesional. •
Publicación de imágenes sin autorización del interesado. • Envío de
correos electrónicos masivos sin ocultar los
destinatarios (copia oculta). • Transferencia internacional de
datos sin estar sujeta a una
Decisión de suficiencia de la UE o Garantías adecuadas de
protección de datos.
Alteración de datos • Modificación de datos malintencionado. •
Falsificación de datos. • Recuperación ineficaz de copias de
respaldo. Pérdida de información
• Extravío u olvido de soportes. • Robo o sustracción de
información. • Desinstalación de aplicaciones informáticas. • Por
causas del transporte. • Reorganización de la empresa.
Destrucción de datos • No usar destructora de papel o de soportes
digitales. • Incendio, inundación u otras causas ajenas a la
empresa.
En cualquiera de los casos nombrados anteriormente, se pueden
producir violaciones de datos por la ausencia de medidas de
seguridad:
• Antivirus, antispam, antimalware, antiransomware, fireware,
cifrado, seudonimización, etc. • Identificación y autentificación
para acceder a los sistemas informáticos. • Mecanismos de seguridad
para acceder al mobiliario o a departamentos con datos personales.
• Disposición de datos a la vista de personas no autorizadas
(recepción, monitores, mesas, etc.).
9. La violación de seguridad
1 2 3 4 5 6 7 8 10 11 129
SiguienteAnterior
Prohibición para tratar categorías especiales de datos El
Reglamento dispone expresamente la prohibición de tratar datos que
revelen:
No se aplica la prohibición en los siguientes casos previstos en el
RGPD Como excepción a la prohibición expuesta anteriormente, el
reglamento permite tratar categorías especiales de datos
cuando:
• El interesado haya dado su consentimiento explícito para fines
específicos (excepto si está prohibido por la legislación vigente).
• Es necesario para proteger los intereses vitales del interesado,
cuando esté incapacitado para dar su consentimiento. • El
tratamiento lo realiza legítimamente una organización sin ánimo de
lucro, con finalidad política, filosófica, religiosa o sindical con
relación a sus
fines. • El interesado ha hecho manifiestamente públicos sus
datos.
O cuando el tratamiento esté fundamentado en la legislación
vigente:
• Bajo la responsabilidad de personas sujetas a la obligación del
secreto profesional. • Para fines de asistencia sanitaria o social,
medicina preventiva o laboral o diagnóstico médico, incluida la
evaluación de la capacidad laboral del
trabajador. • Para procedimientos judiciales. • Es necesario para
cumplir la legislación laboral, o la de seguridad o protección
social o la de convenios colectivos. • Es necesario por razones de
interés público en el ámbito de la salud pública o la asistencia
sanitaria. • Es necesario para fines de archivo en interés público
en investigaciones científicas, históricas o estadísticas.
10. Tratamiento de categorías especiales de datos
1 2 3 4 5 6 7 8 9 11 1210
• Origen étnico o racial.• Origen étnico o racial.
• Opiniones políticas.• Opiniones políticas.
• Afiliación sindical.• Afiliación sindical.
• Datos genéticos.• Datos genéticos.
• Datos biométricos que permitan la identificación unívoca de una
persona.• Datos biométricos que permitan la identificación unívoca
de una persona.
• Datos relativos a la salud.• Datos relativos a la salud.
• Datos relativos a la vida y orientación sexuales.• Datos
relativos a la vida y orientación sexuales.
SiguienteAnterior
Formación Aseguradora GACM © 05/1828
El Principio de Responsabilidad Proactiva Este principio supone que
el Responsable del tratamiento aplique medidas técnicas y
organizativas apropiadas a fin de garantizar y poder demostrar que
el tratamiento es conforme con el RGPD.
Es decir, deben analizar qué datos tratan, con qué finalidad y qué
operaciones de tratamiento realizan. A partir de ese análisis,
deben adoptar las medidas recogidas en el RGPD, que deben ser
adecuadas para su cumplimiento, y deben poder demostrarlo ante
interesados y autoridades supervisoras.
Ello obliga a las empresas a tener una actitud proactiva, diligente
y consciente en los tratamientos de datos personales que
efectúen.
11. Responsabilidad proactiva
1 2 3 4 5 6 7 8 9 10 1211
La persona física es la propietaria de sus datos personales y
siempre debe poner tener el control sobre esos datos.
Desde cualquier actividad de tratamiento que tenga lugar en el seno
del Grupo GACM España o por parte de un colaborador, debe cumplir
con el RGPD siguiendo en primer término los 6 principios relativos
al tratamiento, operando
siempre desde la Responsabilidad proactiva:
• Licitud, lealtad e transparencia.• Licitud, lealtad e
transparencia.
• Limitación de la finalidad.• Limitación de la finalidad.
• Minimización de datos.• Minimización de datos.
• Exactitud de los datos.• Exactitud de los datos.
• Limitación del plazo de conservación.• Limitación del plazo de
conservación.
• Integridad y confidencialidad.• Integridad y
confidencialidad.
SiguienteAnterior
Formación Aseguradora GACM © 05/1829
Autoridad de control El RGPD define a la Autoridad de control, como
la autoridad pública independiente establecida por un Estado
miembro, que supervisará la aplicación del Reglamento con el fin de
proteger los derechos y las libertades fundamentales de las
personas físicas en lo que respecta al tratamiento de sus datos
personales y a facilitar la libre circulación de datos personales
en la UE. En España actualmente, es la Agencia Española de
Protección de Datos (AEPD).
Funciones de la Autoridad de control
Funciones que afectan al interesado
• Facilitar información al interesado de los derechos que le otorga
el Reglamento. • Facilitar la presentación de reclamaciones
mediante formularios por vía electrónica u otros medios de
comunicación. • Resolver las reclamaciones presentadas por un
interesado.
Funciones que afectan al Responsable y al Encargado del
tratamiento
• Recibir las notificaciones de violaciones de seguridad del
Responsable del tratamiento y, si procede, exigir su comunicación
al interesado. • Adoptar cláusulas contractuales tipo de protección
de datos, para la formalización de contratos entre el Responsable y
el Encargado del
tratamiento. • Realizar transferencias internacionales de datos
mediante garantías adecuadas. • Autorizar las cláusulas
contractuales establecidas entre el Responsable del tratamiento,
Encargado del tratamiento o Destinatarios para realizar
transferencias internacionales de datos. • Elaborar y mantener una
lista de los tipos de tratamiento que requieren una evaluación de
impacto y de los detalles que se deben incluir en su
documentación. • Asesorar al Responsable o al Encargado del
tratamiento del procedimiento para realizar una consulta previa a
la Autoridad de control y, cuando
ésta se haya producido y no sea conforme al Reglamento,
comunicárselo por escrito en un plazo máximo de 8 semanas.
12. La Autoridad de control
1 2 3 4 5 6 7 8 9 10 11 12
SiguienteAnterior
Formación Aseguradora GACM © 05/1830
Sanciones Cada Autoridad de control podrá imponer multas
administrativas al Responsable y al Encargado del tratamiento o, si
lo hubiere, al representante de estos, por infringir el Reglamento
garantizando que serán efectivas, proporcionadas y
disuasorias.
Las multas administrativas se impondrán en función de las
circunstancias de cada caso individual, teniendo en cuenta las
facultades investigadoras y correctoras conferidas a la Autoridad
de control.
Valoración de las sanciones La decisión de la Autoridad de control
para imponer una multa administrativa y calcular su importe tendrá
en cuenta:
• La naturaleza, gravedad y duración de la infracción en relación
con el fin del tratamiento. • El número de interesados afectados. •
El nivel de los perjuicios sufridos por los interesados. • La
intencionalidad o negligencia de la infracción. • Las categorías de
datos afectados por la infracción. • El grado de responsabilidad
del Responsable o Encargado del tratamiento. • La reiteración de
infracciones del Responsable o Encargado del tratamiento. • Las
medidas tomadas por el Responsable o Encargado del tratamiento para
paliar los perjuicios sufridos por los interesados. • El grado de
cooperación con la Autoridad de control con el fin de remediar la
infracción y mitigar sus posibles efectos adversos. • La forma en
que la Autoridad de control ha tenido conocimiento de la infracción
(si se ha notificado, o en la medida que se ha hecho). • El
cumplimiento de las medidas ordenadas previamente por la Autoridad
de control contra el Responsable o Encargado del tratamiento
en
relación con el mismo asunto. • La adhesión a códigos de conducta o
a mecanismos de certificación aprobados por la Autoridad de
control. • Otros factores agravantes o atenuantes aplicables a las
circunstancias del caso, como los beneficios financieros obtenidos
o las pérdidas evitadas
por la infracción.
12. La Autoridad de control
1 2 3 4 5 6 7 8 9 10 11 12
SiguienteAnterior
Formación Aseguradora GACM © 05/1831
Importe de las sanciones 1) Multa administrativa con un máximo del
importe más elevado entre 10.000.000 € y el 2% del volumen de
negocio total anual global del ejercicio
financiero anterior, para las infracciones de las siguientes
disposiciones del Reglamento:
• Condiciones aplicables al consentimiento del menor en relación
con los servicios de la sociedad de la información.
• Tratamientos que no requieren identificación. • Encargados del
tratamiento. • Corresponsables del tratamiento. • Tratamientos bajo
la autoridad del Responsable y del Encargado del
tratamiento. • Representantes de los Responsable del tratamiento no
establecidos en la UE. • Registro de las actividades del
tratamiento. • Protección de datos desde el diseño y por defecto. •
Seguridad del tratamiento. • Evaluación de impacto relativa a la
protección de datos.
• Consultas previas. • Notificación de una violación de seguridad a
la Autoridad de control. • Comunicación de una violación de
seguridad al interesado. • Garantías de certificación. • Organismos
y procedimientos de certificación. • Designación del DPO. •
Funciones del DPO. • Poderes del DPO. • Cooperación con la
Autoridad de control.
12. La Autoridad de control
1 2 3 4 5 6 7 8 9 10 11 12
SiguienteAnterior
Formación Aseguradora GACM © 05/1832
Importe de las sanciones 2) Multa administrativa con un máximo del
importe más elevado entre 20.000.000 € y el 4% del volumen de
negocio total anual global del ejercicio
financiero anterior, para las infracciones de las siguientes
disposiciones del Reglamento:
• Principios relativos al tratamiento de datos personales. •
Licitud del tratamiento. • Condiciones para el consentimiento. •
Tratamiento de categorías especiales de datos personales. •
Transferencias de datos personales a terceros países u
organizaciones
internacionales. • Disposiciones relativas a situaciones
específicas de tratamiento de datos. • Derechos del interesado. •
No facilitar el acceso a la Autoridad de control para ejercer sus
facultades
investigadoras. • El incumplimiento de un requerimiento de la
Autoridad de control.
El importe total de las multas para unas mismas operaciones de
tratamiento que incumplan diversas disposiciones del Reglamento, no
podrá superar la cantidad prevista para los incumplimientos más
graves de dichas operaciones. Cada Estado de la UE podrá establecer
normas sobre la imposición de multas administrativas a las
Autoridades y Organismos públicos establecidos en dicho
Estado.
12. La Autoridad de control
1 2 3 4 5 6 7 8 9 10 11 12
SiguienteAnterior
Formación Aseguradora GACM © 05/1833
Ya has finalizado el curso Reglamento General de Protección de
Datos
Gracias por tu tiempo
1º Cierra esta aplicación
3º Realiza el cuestionario correspondiente