Seminario AGM y Novicell - Protección de datos

Ana García

DESDE EL PUNTO DE VISTA LEGAL

NUEVA LOPDDESDE EL PUNTO DE VISTA

TÉCNICO

Asger Laursen

&

Ana García

DESDE EL PUNTO DE VISTA LEGAL

NUEVA LOPD

Nuevo Reglamento Europeo de Protección de Datos

Ana García Lucero

Quiénes somosAGM Abogados es una firma de asesoríajurídica y financiera que lleva más de 30 añosen el mercado español y que cuenta consedes internacionales en distintoscontinentes.

Está integrado por un equipo de más de 100profesionales entre abogados, economistas ypersonal de apoyo.

Nuestro compromiso con el cliente no selimita a cubrir sus necesidades cuando éstasse producen, sino a prevenirlas.

Asimismo, nuestra vocación multidisciplinarpermite afrontar operaciones que exijan unasesoramiento integral.

En definitiva, en AGM Abogados queremosser aquello que nuestros clientes esperan denosotros. Tenemos vocación de ser undespacho de referencia que ofrece todosaquellos servicios, tanto a nivel nacionalcomo internacional, que contribuyen aasegurar el éxito en las actividades denuestros clientes.

“Nuestramisiónesofrecersolucionesintegradorasprestando

serviciosespecializados”

2www.agmabogados.com

Introducción

2.1.

3.

4.

Índice

Transparenciaeinformaciónalosinteresados:a. Consentimientob. Deber de informar

Derechos:a. Procedimiento para el ejerciciob. Derecho de acceso c. Derecho al olvidod. Limitación del tratamientoe. Portabilidad

RelacionesResponsable-Encargado:a. Obligaciones para encargadosb. Elección del encargadoc. Contenido del contrato de encargo


5.

6.7.

Índice

Medidasderesponsabilidadactiva:a. Análisis de riesgosb. Registro de actividades de tratamientoc. Medidas de seguridad (anonimización)d. Violaciones de protección de datose. Evaluaciones de impactof. Delegado de Protección de Datos


Transferenciasinternacionales

Informacióndeinterésgeneral

El Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016.

Será de aplicación enMAYO 2018 > 2 años periodo de transición > ADAPTACIÓN.

El RGPD es directamente aplicable sin necesidad de transposición à en trámite la nueva LEYORGÁNICA DE PROTECCIÓN DE DATOS.

Dos elementos CLAVE en el RGPD:

1. Principio de responsabilidad proactiva (actitud consciente, diligente y proactiva)¿Qué datos se tratan?¿Con qué finalidad se tratan?¿Qué tipo de tratamiento se lleva a cabo?¿Son adecuadas las medidas de seguridad?

2. Enfoque del riesgo:Análisis del riesgo para los derechos y libertades de las personas


1. Introducción

2. Transparencia e información a los interesados


INEQUÍVOCO: el que se ha prestado mediante una manifestación del interesado o mediante una claraacción afirmativa.

Tiene que ser además EXPLÍCITO en los siguientes casos:Tratamiento de datos sensibles (raza, etnia, religión, afiliación, política, datos genéticos, salud,vida sexual).Adopción de decisiones automatizadas.Transferencias internacionales.

Consentimiento ESPECÍFICO para cada tratamiento.

OBLIGACIONES:Información: concisa, transparente, inteligibley de fácil acceso.Actualizar derechos de los interesados.Incluir información sobre:

Base jurídica del tratamiento.Transferencias internacionales.Datos del Delegado del Protección de datos, si lo hay.Elaboración de perfiles.


a) Consentimiento

RECOMENDACIONES:Revisarformulariosderecogidadeconsentimiento.AdaptacióndelosmismosincluyendoinformaciónrequeridaporelRGPD.

Obligación del RESPONSABLE del tratamiento.

¿CUÁNDO se debe informar?Cuando se obtienen directamente de los interesados > en el momento de recogida.Cuando se obtienen de fuentes de acceso público/cesión legítima > en un plazo razonable:

Antes de 1 mes desde que se obtuvieron los datos.Antes de la 1ª comunicación con el interesado.Antes de la comunicación a otros destinatarios.SALVO:

Comunicación imposible/esfuerzo desproporcionado.Datos de carácter confidencial por un deber legal de secreto.Obligación del RESPONSABLE del tratamiento.

¿CÓMO informar? > POR CAPASFormularios en papel.Navegación o formularios web.Entrevista telefónica.Registro de aplicaciones móviles, etc.


b) Deber de informar


Epígrafe InformaciónBásica(1ªcapa) Información adicional(2ªcapa)

Responsable Identidad delresponsabledeltratamiento

Datosde contactodelresponsable.

Identidadydatos delrepresentante.

Datosde contactodelDPO.

Finalidad Descripciónsencilladelosfinesdeltratamiento,elaboracióndeperfiles

Descripción ampliadelosfinesdetratamiento.

Plazos/criterios deconservacióndedatos.

Decisionesautomatizadas,perfiles.

Legitimación Base jurídicadeltratamiento Detalle delabasejurídica;obligaciónlegal,interéspúblico,interéslegítimo.

Obligación onodefacilitardatosyconsecuenciasdenohacerlo.

Destinatarios Previsióno nodecesiones Destinatariosocategoríasdedestinatarios.

Previsiónonodetransferenciasatercerospaíses

Adecuación, garantías,situacionesespecíficasaplicablesentercerospaíses.

Derechos Referenciaalejerciciodelosderechos

Derechosdeacceso,rectificación,supresión,portabilidad,limitación,oposición.

Derecho aretirarelconsentimientoprestado.

Derecho areclamarantelaAutoridadcompetente.

Procedencia Fuentedelosdatos(cuandonoprocedendelosinteresados)

Informacióndetallada delorigendelosdatos,inclusosiprocedendefuentespúblicas.

Categorías delosdatosquesetraten.

b) Deber de informar


3. Derechos

Facilitar el ejercicio por medios electrónicos.

Plazo de información al interesado > 1 mes > 2 meses solicitudes complejas.

Tomar medidas para verificar la identidad de quienes ejercitan los derechos.

Colaboración de encargados de tratamiento para atender las respuestas a los ejercicios de losderechos de los interesados.

GRATUITO, salvo:Solicitudes manifiestamente infundadas, excesivas, repetitivas > el responsable podrá cobrar uncanon.


a) Procedimiento para el ejercicio


LOPD RGPDObligación defacilitartodoslosdatosdelosafectados,peronocopiasodocumentos(exceptoenelcasodehistoriaclínica)

Derecho delafectadodeobtenercopiadelosdatosobjetodeltratamiento.

Posibilidaddeaccesoremoto.

Aplicación del derecho de borrado, derecho de cancelación/oposición en el entorno online.

Introducir de medidas técnicas para informar a los afectados de este derecho y del procedimientopara ejercitarlo.

b) Derecho de acceso

c) Derecho al olvido

No utilización de los datos del afectado.

Se puede solicitar cuando:Ejercicio de los derechos de rectificación/oposición, estando la solicitud en trámite.Tratamiento ilícito, pero el interesado se opone al borrado de los datos.Cuando ya no siendo procedentes, el interesado solicite su conservación para la formulación,ejercicio, defensa de reclamaciones.

El responsable sólo los puede tratar:Con el consentimiento de interesado.Para la formulación, el ejercicio o la defensa de las reclamaciones.Para proteger los derechos de otra persona física o jurídica.Por razones de interés público de la UE o de un Estado miembro.


d) Limitación del tratamiento

Derecho avanzado del derecho de acceso > la copia debe proporcionarse en un formato estructurado,de uso común y lectura mecánica.

Los datos se transmiten directamente de un responsable a otro, siempre que ello sea técnicamenteposible.

Sólo puede ejercitarse:Cuando el tratamiento se realiza por medio automatizados.Cuando el tratamiento se base en un consentimiento/contrato.Cuando se trate de datos proporcionados por el propio interesado.


e) Portabilidad


4. Relaciones Responsable-Encargado

Laresponsabilidadsobreeltratamiento>RESPONSABLE.

ProcesosdeCertificación/Adhesiónacódigosdeconducta.

Medidasderesponsabilidadactiva>Obligaciones:Registrodeactividadesdeltratamiento.Determinarlasmedidasdeseguridadaplicablesaltratamientoquerealizan.DesignarunDELEGADODEPROTECCIÓNDEDATOS(DPO)enloscasosprevistos.


a) Obligaciones específicas para los encargados

RECOMENDACIÓN:

Adherirsealoscódigosdeconducta/certificarseantelaautoridadcompetente.Contratassóloconencargadosdeltratamientoadheridos.


LOPD RGPDDiligencia debidaenlaseleccióndeencargadosdetratamiento.

ElResponsabledeberáadoptarmedidasapropiadasquegaranticeypuedademostrarqueeltratamientoserealiceconformeal RGPD.

b) Elección del encargado del tratamiento

Formalización del encargo en:Contrato.Acto Jurídico.

CONTENIDOmínimo del contrato:Objeto, duración, naturaleza y finalidad del tratamiento.Tipos de datos personales y categorías de los interesados.Tratamiento de datos por parte del encargado siguiendo instrucciones del responsable.Condiciones para dar autorización/consentimiento a subcontrataciones.Asistencia mutua para el ejercicio de los derechos de los interesados.Deber de confidencialidad.Medidas de seguridad.Destino de los datos al finalizar la prestación > supresión.


c) Contenido del contrato de encargo


5. Medidas de responsabilidad activa

Valoración del riesgo de los tratamientos que realicen.

El análisis variará en función de:Los tipos de tratamientos.La naturaleza de los datos.El número de interesados afectados.La cantidad y variedad de tratamientos que en una misma organización se lleven a cabo.

Grandes organizaciones.Organizaciones de menor tamaño y tratamientos de poca complejidad:

Análisis documentado.Ranking de riesgo:

¿Se tratan datos sensibles? SÍ < NO¿Se tratan datos de un gran número de personas? SÍ < NO¿Se realiza elaboración de perfiles? SÍ < NO¿Se cruzan datos con otros disponibles en otras fuentes? SÍ < NO¿Se pretenden utilizar los datos para varias finalidades? SÍ < NO¿Análisis masivo de datos (big data)? SÍ < NO¿Utilización de técnicas invasivas de la privacidad (videovigilancia, geolocalización, etc.)? SÍ < NO


a) Análisis de riesgos

Similar a la información que se comunica actualmente a la AEPD mediante la comunicación deficheros.

Exentas empresas con menos de 250 trabajadores, salvo que:El tratamiento entrañe un riesgo para los derechos y libertades de los interesados y no seaocasional.Datos especialmente protegidos.Datos relativos a condenas e infracciones penales.

Registro de operaciones de tratamiento:Nombre y datos de contacto del Responsable y DPO.Finalidades del tratamiento.Descripción de las categorías de interesados.Transferencias internacionales de datos.


b) Registro de actividades de tratamientos

Aplicación de las medidas desde el inicio del tratamiento.

El actual Documento de Seguridad puede seguir siendo útil, si tras realizar el análisis de riesgos seconcluye que las medidas de seguridad contempladas en el mismo son apropiadas.

Medidas técnicas y organizativas teniendo en cuenta:El coste de la técnica.Los costes de aplicación.La naturaleza, el contexto y los fines del tratamiento.Los riesgos para los derechos y libertades.

Aplicación de los principios ya conocidos:Datos necesarios.Cantidad de los datos.Calidad de los datos.Extensión del tratamiento.Periodo de conservación.

PROCESOS DE ANONIMIZACIÓN /SEUDONIMIZACIÓN de los datos.


c) Medidas de seguridad

Todo incidente que ocasione: la destrucción, pérdida o alteración accidental o ilícita de datospersonales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso noautorizados a dichos datos. Ejemplos:

La pérdida de un ordenador portátil.El acceso no automatizado a una base de datos por personal no autorizado.Borrado accidental de datos.

Notificación a la autoridad competente > plazo > 72 horas.

Incluir en la notificación:La naturaleza de la violación.Categorías de los datos e interesados afectados.Medidas correctivas.Medidas para minimizar efectos negativos.Cuando afecte a los derechos y libertades de los afectados > notificación también a ellos.


d) Notificación de violaciones de protección de datos


Para tratamientos de alto riesgo.

Se pueden realizar consultas a la AEPD, que puede dar recomendaciones o limitar el tratamiento.

Supuestos de alto riesgo:La AEPD elaborará listados sobre supuestos de tratamiento de alto riesgo.Elaboración de perfiles sobre cuya base se tomen decisiones jurídicas.Tratamientos a gran escala de datos personales:

Volumen absoluto de datos en relación a una determinada población.Volumen de datos y variedad de datos.Duración y permanencia de la actividad del tratamiento.La extensión geográfica de la actividad del tratamiento.

e) Evaluación de impacto


Persona con cualificaciones profesionales en materia jurídica y tecnológica (proceso de Certificaciónestablecido por la AEPD > la Certificación no es un requisito indispensable para el acceso a laprofesión).

Comunicación de la designación a la AEPD.

Contrato laboral/mercantil. Jornada completa/parcial.

Requisitos de sus funciones:Total autonomía en el ejercicio de sus funciones.Relación directa con el órgano de Administración.

Obligatorio para:Autoridades y organismos públicos.Tratamientos que requieran observación sistemática y habitual a gran escala.Tratamientos a gran escala de datos sensibles.

f) Delegado de Protección de Datos (DPO)


Los datos sólo pueden ser comunicados fuera del espacio Económico Europeo:

A países o sectores específicos previamente autorizados por la Comisión.Cuando se garanticen medidas de protección adecuadas en el destino.Cuando aunque el país no sea seguro, se realice de forma puntual y no suponga perjuicio para elafectado, y se realice en virtud de un interés legítimo del responsable.

6. Transferencias internacionales

ContactoBARCELONAPau Clarís,139- 08009Tel.:[email protected]

MADRIDPaseodelaCastellana,114- 28046Tel.:[email protected]

SHANGHAICrystalCenturyPlaza– Room17A567WeihaiRoad- 200041WeChat:[email protected]

SABADELLC/delSol,217,Local- 08201Tel.:[email protected]

PARÍS27,rueDumontd’Urville- 75116Tel.:[email protected]

OficinaderepresentaciónMéxicoDF


AnaGarcíaLuceroAbogadaáreaDerechoMercantil–

[email protected]

www.agmabogados.com

Síguenosycompartetuopinión@AGMAbogados

AGMAbogados,S.L.Despachodeabogadosyeconomistas.MiembrosdelgrupointernacionaldeabogadosLAWROPE.

NUEVA LOPDDESDE EL PUNTO DE VISTA

TÉCNICO

Asger Laursen

LOPD =

GDPR (General Data Protection Regulation)

RIGHT

DUTY “A duty to obtain and process personal data fairly and lawfully”

Everyone has the right to respect for his private and family life, his home and his correspondence.

RET PLIGTTRUST

GDPR IS ABOUT ONE THING:

INDIVIDUAL (Data Subject)

DATA CONTROLLER (You)

DATA PROCESSOR (Google etc.)

COLLECTED MOVED STORED LOADED PROCESSED

WHEN PERSONAL DATA IS…

WHAT IS PERSONAL DATA?

WHAT IS PERSONAL DATA?

"Personal data" means any information relating to an identified or identifiable natural person ("data subject"); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person.

USER STORY DATA A-Z

B2B LEAD: GDPR WHITEPAPER

B2B LEAD: GDPR WHITEPAPER

B2B LEAD STRANGER VISITOR LEAD CUSTOMER

User Story Sees a social media post Visits our blogpost about GDPR

Downloads the whitepaper, receives a newsletter and attends a seminar

-

Systemer / Processor

- -

Data - • IP Addresse • Timestamp • Behavior • Company name*

• Name • E-mail • Company • Titel • Phonenumber

…

GDPR - • Data processor agreement

• Consent

• Informativ Consent • Policies (access) • Right to be forgotten • Storing • Justification • Consequence-analysis

•

-

CRM

B2C USER STORIES

User Story: New customer registers for an insurance product and submits required information

Externally Internally

CRM

3. Party

Employees

Services

ERP

Consent/Agreement Data processing agreement Policies Technical Data Protection responsibility

COLLECTED MOVED STORED LOADED PROCESSED

WHEN PERSONAL DATA IS…

CRM

Services

ERP


Externally Internally 3. Party

EmployeesConsent/Agreement Data processing agreement Policies Technical Data Protection responsibility

CRM

Services

ERPSubmits history of health and payment

information

Send to CRM

Saved in CRM

Presented to account manager

Send to Gateway

Payment Service

Created In ERP




CRM

Services

ERPSubmits history of health and payment

information

Send to CRM

Saved in CRM

Presented to account manager

Send to Gateway

Payment Service

Created In ERP




B2C User Story: PRIVACY By DESIGN

User Story: Client reports incident/damage and sends information to be processed

CRM

Receptionist

Finds contact information

Recipient

Forwards

Sends mail

Account Manager

Creates case in CRM system


User Story: Kunde anmelder skade og indsender oplysninger til Trust Forsikring

Eksternt Internt

CRM

3. part

Reception

Finder kontaktoplysninger

Modtager

Forwarder

Sender mail

Sagsbehandler

Opretter skade

User Story: Kunde anmelder skade og indsender oplysninger til Trust Forsikring

Eksternt Internt

CRM

3. part

Reception

Finder kontaktoplysninger

Modtager

Forwarder

Sender mail

Sagsbehandler

Opretter skade

CRM

Case Worker

Finds Incident Form

Sends to CRM

Case is created in the system

Notification to employee

Fills in information


User Story: Client reports incident/damage and sends information to be processed

B2C USER STORY RIGHT TO BE FORGOTTEN/ DATA PORTABILITY


CRM

3. part

Case Worker

User Story: Client wants to execute her right to be forgotten, or to have her data with her.

ERP


CRM

3. part

Case Worker

ERP

User Story: Client wants to execute her right to be forgotten, or to have her data with her.

Can be withheld payment

Can be a manual process

Does also mean 3. party

HOW TO GET STARTED

ANCHOR PLANNING EXECUTE EVALUATE

4 STEPS

ANCHORPurpose: Identify your role under GDRP Have a clear sense of: • Which personal data are you using? • Who has access to personal data? • Where and how is personal data stored? • When is personal data deleted? • How is personal data deleted? ...

Identify your need for working with personal data and map it to the how it is used in the organization today.

Identify the tasks and measures which needs to be taken and carried out.

Format: Workshop with stakeholder, and interviews with key personnel in the organization.

Result: Report of findings and overview of tasks needed to be carried out.

Scope: 15-20 hours*

ANCHOR

WE HAVE MADE IT EASY…

PLANNINGPurpose: Identify and give the needed mandate to the team driving the and fulfilling the tasks.

Allocate resources both internally and externally.

Identify a Change Agent across the organization.

Planning and estimation of the roadmap ahead and have the critical path defined and identified.

Format: Workshop

Result: A planned project with clear milestones. A team with clearly defined roles and responsibility in regard to driving and fulfilling the tasks in the project. A clear overview of the time, ressources and money needed to complete to project

Scope: 10 - 15 Hours*

EXECUTEPurpose: • Establish and create documentation and policies. • Review legal texts concerning personal data • Data Processor Agreements • Internal policies • Internal documentation, consequence analysis, justification, processes • Operational procedures for how to delete or port data • Operational procedures for what to do in case of data breach. • Consent and information • IT-architecture overview of how and where personal data is stored and moved

around. • Internal education • Audit • New security measures • Passwords and user accounts • Review of current business design • Create contact forms • Data washing - getting rid of personal data not used or not obtained with the right

consent. • Flow for collecting consent from existing users/clients

Result: Measurable and tangible artifacts and solutions, bringing the company in compliance with GDPR

Scope: Very individual - estimated in the planning phase.

EVALUERINGPurpose: Evaluation of the ended project.

Identification of any missing tasks.

Planning the next revisit of the Anchor step. • Motivated or triggered by: • Changes in the organization • Changes in GDPR. • Changes in the IT landscape

• New software etc. • Changes to the way the organization uses personal data.

Format: Workshop og audit

Result: Sign off on compliance process

Scope: 10 Hours*

ANCHOR PLANNING EXECUTE EVALUATE

4 STEPS

START TODAY!

KICK START - PACKAGE

• Anchor step light • Website audit • Flow of data from and to the website • Legal audit on privacy copy/text • Identification of todos

Result: Action plan and tasks needed to be carried out regarding the website.

SUMMED UP1. Appoint a Change Agent to take charge of the process. 2. Start asking yourself the right questions:

1. Why, which, who, when, what 3. Follow the flow of data in your organization

1. Collecting, Moving, Storing, Loading and Processing 4. Document

1. Responsibility| Processing| Policies| Procedures 5. Make a emergency procedure

1. What do we do if data is lost (breached/stolen) 6. Do recurring evaluation 7. Remember it is about the freedom and rights of the individual 8. Make a choice about what you want to handle yourself or need help to from us 9. Ask us how to get started if you are still in doubt!.

GRACIAS!@asgerlaursen [email protected]

Data & Analytics

Seminario AGM y Novicell - Protección de datos