Protección de Datos Personales en la Contratación Mercantil - Máster Asesoría Jurídica de Empresas - PDF
Document Details
Uploaded by Deleted User
Universidad Carlos III de Madrid
2024
Javier Tamayo
Tags
Related
- US Private Sector Privacy Chapter 01 Introduction 01052024 PDF
- US Private Sector Privacy Chapter 01 Introductionv2p1 PDF
- Comprehensive Data Protection and Privacy Training in Uganda PDF
- 10 Core Principles of Privacy PDF
- Presentación Tema 4 - Protección de Datos PDF (A2-2024)
- IST 432 Legal & Regulatory Environment of IST PDF
Summary
This document is a presentation on data protection in commercial contracting. It discusses basic legal concepts and practical application.
Full Transcript
Máster Asesoría Jurídica de Empresas PROTECCIÓN DE DATOS PERSONALES EN LA CONTRATACIÓN MERCANTIL: CONCEPTOS BÁSICOS Y APLICACIÓN PRÁCTICA 11 de noviembre de 2024...
Máster Asesoría Jurídica de Empresas PROTECCIÓN DE DATOS PERSONALES EN LA CONTRATACIÓN MERCANTIL: CONCEPTOS BÁSICOS Y APLICACIÓN PRÁCTICA 11 de noviembre de 2024 JAVIER TAMAYO Abogado Digital & TMT de la Secretaría General de Telefónica Tech Responsable Legal, Regulación y Privacidad de Internet de las Cosas, Blockchain, Inteligencia Artificial & Big Data Oscar Casado Oliva, Director Jurídico y de Privacidad LA PRIVACIDAD COMO PARTE ESENCIAL DE NUESTRAS VIDAS En un mundo cada vez más digitalizado y conectado, todo lo que hacemos deja una huella en forma de datos: cada viaje, momento compartido, pago enviado, celebración, noticia, reacción, desplazamiento y momento de ocio. PETRÓLEO DE LA ECONOMÍA DIGITAL Los datos están haciendo posible la economía digital, pero para tener valor, deben utilizarse y no guardarse bajo llave. El potencial y número de oportunidades que tienen aumentan rápidamente cuando se combinan diferentes tipos de datos procedentes de diversas fuentes LA IMPORTANCIA DE LA PRIVACIDAD COMO USUARIO Si es gratis, el producto eres tú https://www.youtube.com/watch?v=UIbBMmWjBnc LA IMPORTANCIA DE LA PRIVACIDAD COMO SOCIEDAD Vivimos cada vez más preocupados por garantizar nuestra privacidad Fuente: DiariodeSevilla.es 1) App CoronaMadrid (autodiagnóstico) 2) App RadarCovid (contactos estrechos) Fuente: ElIndependiente.com Estudio KPMG, Febrero 2024: Nota de prensa Aquí LA IMPORTANCIA DE LA PRIVACIDAD COMO AUTORIDAD Protección de los derechos de los ciudadanos y aplicación del régimen sancionador en 2022 Artículo Cinco Días, Julio 2022: Aquí LA IMPORTANCIA DE LA PRIVACIDAD COMO AUTORIDAD Evolución tras los primeros 5 años del RGPD (en inglés, GDPR) cumplidos el 25/05/2023 Artículo Cinco Días, Enero 2024: Aquí LA IMPORTANCIA DE LA PRIVACIDAD COMO PROFESIONAL Los profesionales de la privacidad siguen siendo escasos y muy demandados Fuente: Cadiznoticias.es Fuente: Vozpopuli.com Fuente: CincoDias.ElPais.com LA IMPORTANCIA DE LA PRIVACIDAD COMO PROFESIONAL Fuente: http://www.telemadrid.es/programas/telenoticias-1/Delegado-proteccion-datos-profesional-paro-2-2054514583--20181002052806.html GENERAR CONFIANZA EN EL USO DE DATOS: PRIVACIDAD Y SEGURIDAD El crecimiento exponencial de los datos y su utilización precisa de soluciones que garanticen: Seguridad de los datos para garantizar la privacidad Transparencia y acceso a los datos Control a las personas y que se aprovechen de los beneficios de sus datos Elección acerca del uso de sus datos CASO PRÁCTICO 1: TEXTOS LEGALES HABITUALES EN WEB / APP CON CONTRATACIÓN ELECTRÓNICA … CASO PRÁCTICO 1: TEXTOS LEGALES HABITUALES EN WEB / APP CON CONTRATACIÓN ELECTRÓNICA Aviso Legal de la entidad/es titular/es Condiciones de registro o alta de usuario Condiciones de contratación y/o uso (T&Cs) Mecanismos de reclamación / desistimiento (ej. 14 días LGCU) Cláusulas de PD en formularios de recogida de datos Casillas para la recogida de consentimientos (ej. publi, cesiones..) Política de Privacidad general de la web / app Banner, panel de configuración y Política de Cookies Centros de Privacidad y Seguridad (opcional) Copyright y otras informaciones al pie INDICE 01 Conceptos generales y evolución normativa 02 Antecedentes, obligaciones y principios de PD 03 Delegado de Protección de Datos (DPD) 04 Terceros con acceso a datos personales 05 Derechos de los interesados: ARSLOP 06 Conservación de datos: plazos e información 07 Transferencias internacionales de datos 08 Elaboración de Políticas de Privacidad 09 Políticas de Cookies y tratamientos con fines publicitarios 10 Competencia sancionadora CONCLUSIONES Y ACTIVIDAD PRÁCTICA CONCEPTOS GENERALES Y 01 EVOLUCIÓN NORMATIVA EL IMPACTO DE LA DIGITALIZACIÓN EN LA PRIVACIDAD Una nueva forma de trabajar: del tratamiento manual al automatizado TRATAMIENTO MASIVO DE DATOS EN LAS EMPRESAS Clientes Potenciales Usuarios Empleados Proveedores Candidatos Contactos Cosas (IoT) Open Source Otros “Aquellas empresas que no basen sus decisiones en datos, están muertas y lo que es peor, aún no lo saben” ¿QUÉ ES PARA VOSOTROS LA “PRIVACIDAD”? “Derecho a que te dejen en Decidir lo que es público paz” (Louis Brandeis, y privado Magistrado del TS de EEUU en Restringir o permitir 1890) acceso a nuestra Derecho a decidir qué partes información y datos de nuestra esfera vital pueden ser accesibles para otros y controlar la extensión, la manera y el momento de usar esa información. ¿SE REGULA IGUAL EN TODOS LOS PAÍSES? Formas muy diferentes de concebir la privacidad: USA vs. CHINA vs. EUROPA vs. LATAM www.redipd.es PRIVACIDAD COMO “DERECHO FUNDAMENTAL” Arts. 7 y 8 Carta de los Derechos Fundamentales de la UE (2000/C 384/01): Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. El respeto de estas normas quedará sujeto al control de una autoridad independiente. PRIVACIDAD ENTENDIDA EN SENTIDO AMPLIO Artículo 18 de la Constitución Española 1978: 1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. 2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito. 3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial. 4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. CASO PRÁCTICO 2: DEEPFAKES AUTORIZADOS Suplantación de la imagen (dato personal) usando tecnologías de inteligencia artificial Ley Orgánica 1/1982, de 5 de Fuente: Abc.es mayo, de (Octubre, 2022) protección civil del derecho al honor, a la intimidad Otro ejemplo: personal y familiar Gala Inocente 2021 y a la propia BROMA ALEJANDRO imagen VALVERDE (vigente tras más (ver Video) de 40 años) VS. Normativa de Protección de Datos Personales (primera Ley de 1992 denominada “LORTAD”, hoy “LOPDyGDD” de 2018) CASO PRÁCTICO 2: DEEPFAKES NO AUTORIZADOS Suplantación de la imagen (dato personal) usando tecnologías de inteligencia artificial Fuente: Elpais.com (Septiembre, 2023) NORMATIVA BÁSICA APLICABLE EN ESPAÑA Protección de Datos Personales: RGPD o GDPR: Reglamento (UE) 2016/679, de 27/04, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y que deroga la Directiva 95/46/CE. LOPDyGDD: Ley Orgánica 3/2018, de 5/12, de Protección de Datos Personales y Garantía de Derechos Digitales. Sociedad de la Información, e-Contratación, Telecomunicaciones y otros: ePrivacy: Directiva 2002/58/CE, de 12/07, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. LSSICE: Ley 34/2002, de 11/07, de Servicios de la Sociedad de la Información y de Comercio Electrónico. LGCU: RD Legislativo 1/2007, de 16/11, de Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, modificada por Ley 3/2014, de 27/03. LGTel: Ley 11/2022, de 28/06, General de Telecomunicaciones (art. 66). eIDAS: Reglamento (UE) 910/2024 sobre identificación electrónica y servicios de confianza. RIA: Reglamento (UE) 2024/1689, de 13/06, sobre Inteligencia Artificial. PRINCIPIOS GENERALES DEL RGPD EFECTOS DEL RGPD SOBRE EL DERECHO INTERNO: GRAN INSEGURIDAD JURÍDICA DESDE MAYO DE 2018.. Derogación tácita de las disposiciones vigentes hasta ese momento (LOPD 1999 / RLOPD 2007) que eran “contrarias” al RGPD. Necesidad de desarrollo de disposiciones normativas nacionales: Materias en las que el RGPD requería un desarrollo interno urgente: Autoridad de Supervisión y Procedimientos. Materias en las que el RGPD permitía a los Estados Miembros de la UE introducir especificaciones o clarificaciones (p.ej. edad para consentir)...Y ASÍ HASTA OCTUBRE 2018: APROBACIÓN DEL PROYECTO DE LOPDyGDD.. IMPORTANTE: NECESIDAD DE ADECUACIÓN DE LA NORMATIVA NACIONAL A LA UE PARA GARANTIZAR LA SEGURIDAD JCA. Incluye “Disposición Derogatoria Única” sobre la LOPD y demás normativa nacional de inferior rango. Vídeo completo de la publicación del ex- Director de la AEPD aquí: https://twitter.com/RalloA rtemi/status/1052965437 342924800 LOPDYGDD VIGENTE DESDE DIC. 2018 OBJETIVO: Adaptar el ordenamiento jurídico español al RGPD: Elimina situaciones de incertidumbre en pro del principio de seguridad jca. Complementa al RGPD (p.ej. mantiene en 14 años la edad para que un menor pueda consentir), derogando ahora sí la normativa anterior (LOPD/RLOPD). Limita la info de la 1ª capa a: (i) identidad RT; (ii) fines; y (iii) derechos ARSLOP. Tratamientos específicos: videovigilancia, exclusión publicitaria, denuncias... Sistemas de info crediticia: límite máx. de 5 años antigüedad. Incluye novedosa regulación sobre los datos de personas fallecidas. Profundiza en la función del DPD: resolución amistosa de reclamaciones. Prevé infracciones muy graves, graves y leves. Plazos de prescripción (3 años). ELENCO DE NUEVOS DERECHOS DIGITALES OBJETIVO ADICIONAL: La LOPDyGDD garantizaba “nuevos” derechos digitales a la ciudadanía, algunos pendientes de su desarrollo reglamentario posterior: Neutralidad de Internet Acceso universal a Internet Seguridad y educación digital Protección de menores en Internet Olvido frente a buscadores de Internet, redes sociales y equivalentes Aclaración de informaciones en medios de comunicación digitales Desconexión digital en el ámbito laboral Intimidad frente a dispositivos de videovigilancia / geolocalización en trabajo Portabilidad en servicios de redes sociales y equivalentes Testamento digital PRESENTACIÓN DE LA CARTA DE DERECHOS DIGITALES EN JULIO DE 2021 El presidente Pedro Sánchez presenta la CDD bajo el objetivo “proteger los derechos de los ciudadanos y ciudadanas en la nueva era de Internet y la IA”. “La Carta no tiene Vídeo completo de la carácter normativo, rueda de prensa y sino que su objetivo documentación aquí: es reconocer los novísimos retos de https://www.lamoncloa. gob.es/presidente/activi aplicación e dades/Paginas/2021/140 interpretación que la 721-derechos- adaptación de los digitales.aspx derechos al entorno digital plantea, así Fuente: Ministerio de Asuntos Económicos y como Transformación Digital sugerir principios y políticas referidas a https://youtu.be/DqhHT ellos en el citado unbeXk contexto. […]”. OTRA NORMATIVA COMPLEMENTARIA Normativa sectorial + Resoluciones, Guías e Informes Jurídicos: “Código electrónico de Protección de datos” del BOE: aquí Web de Agencia Española de Protección de Datos (AEPD): www.aepd.es Algunos ejemplos de Guías útiles: RGPD vs. RIA: ¿La historia se repite? Algunas similitudes Objetivo: RIA complementa GDPR en protección de “derechos fundamentales” (privacidad) en sistemas IA. Ámbito de aplicación: Toda la UE y extraterritorial (empresas extranjeras que se dirijan a Europa). Enfoque: Regular tecnologías emergentes y tratamiento de datos (ej. control y evaluaciones de riesgo). Propuesta por la Comisión Europea: Ambos reglamentos fueron propuestos por la Comisión Europea. Consulta Pública: Amplia consulta a interesados, incluyendo ciudadanos, empresas y organizaciones. Aprobación por el Parlamento Europeo y el Consejo: Necesidad de consenso entre los Estados miembros. Adaptación nacional: España debe desarrollar y adaptar su normativa interna para cumplir: RGPD: LOPDyGDD establece un régimen sancionador para las infracciones en PD. RIA: ¿? Se requiere un marco claro para garantizar el cumplimiento y las responsabilidades. Autoridades de supervisión: Creación de organismos nacionales (en RIA, plazo hasta el 02/11/2024): Agencia Española de Protección de Datos (AEPD) para RGPD. Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) para RIA + Sectoriales (CGPJ). VS. ¿QUÉ ES HOY LA “PROTECCIÓN DE DATOS PERSONALES”? Algunas conclusiones: En Europa es un Derecho Fundamental que reconoce a todo ciudadano europeo la facultad de controlar sus datos y de disponer y decidir sobre ellos. Deriva de nuestra Constitución Española que establece que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos. El RGPD y la LOPDyGDD desarrollan y garantizan una serie de derechos a las personas físicas (vs. personas jurídicas) en tanto que son los legítimos titulares de sus datos personales (vs. Reglamento UE 2023/2854 de Data Act) ¿QUÉ ES UN “DATO PERSONAL” SEGÚN EL RGPD? Art. 4: Toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificada toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular, mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Algunos ejemplos: Imagen, Voz, Dirección IP, email, número de matrícula, número de teléfono, dato genético, dato biométrico, firma, localización, tráfico, salud, vida sexual, religión, ideología, etc. ¿QUÉ ES UN “DATO PERSONAL” SEGÚN EL RGPD? Concepto extensivo que lo abarca prácticamente todo EXCEPCIONES AL ÁMBITO DE APLICACIÓN DEL RGPD: TRATAMIENTOS POR PERSONAS FÍSICAS REALIZADOS EN ACTIVIDADES EXCLUSIVAMENTE PERSONALES O DOMÉSTICAS Fuente: Publicación Octubre 2021 https://www.elmundotoday.com/2021/10/la-ley-organica-de-proteccion-de-datos-impedira-a-los-padres-pronunciar-en-voz-alta-el-nombre-de-sus-hijos/ EXCEPCIONES AL ÁMBITO DE APLICACIÓN DEL RGPD: DATOS PERSONALES (RGPD) vs. ANÓNIMOS Y AGREGADOS https://www.youtube.com/watch?v=f85b_hCLUyg OTROS CONCEPTOS BÁSICOS DEL RGPD (I) Afectado o interesado: Persona “física” titular de los datos que sean objeto del tratamiento (Ej.: usuarios, clientes, empleados, candidatos, suscriptores, etc.). Fichero de datos personales: Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica. Tratamiento de datos personales: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. OTROS CONCEPTOS BÁSICOS DEL RGPD (II) Responsable del tratamiento (RT): Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. Importante: Fomento de la figura del Corresponsable. Encargado del tratamiento (ET): Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Responsable del tratamiento. Importante: Existencia de Sub-Encargados y SUB-ETs ulteriores. Tercero: Persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del Responsable del tratamiento, del Encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado. CASO PRÁCTICO 3: Una empresa farmacéutica firma un contrato con una gestoría laboral para que se encargue de la gestión de las nóminas y seguros sociales de sus empleados. En este caso, ¿quién sería el Responsable del tratamiento y quién sería el Encargado del tratamiento? … CASO PRÁCTICO 3: Una empresa farmacéutica firma un contrato con una gestoría laboral para que se encargue de la gestión de las nóminas y seguros sociales de sus empleados. En este caso, ¿quién sería el Responsable del tratamiento y quién sería el Encargado del tratamiento? La empresa farmacéutica sería la que actúa como Responsable del tratamiento de los datos personales de sus empleados, mientras que la gestoría laboral estaría actuando como un Encargado del tratamiento que tratará los datos en nombre y por cuenta de la farmacéutica de conformidad y para los fines del contrato. ANTECEDENTES, 02 OBLIGACIONES Y PRINCIPIOS DE PD 25/05/2018: INICIO DE APLICACIÓN DEL RGPD La revisión de la legislación comunitaria de protección de datos se basó en 6 pilares básicos: 1) Principio de «Accountability»: Responsabilidad proactiva de las empresas. 2) Aplicación a empresas situadas fuera de la UE que tratan datos de ciudadanos comunitarios. 3) Transparencia e información en el momento de la recogida y el posterior tratamiento de los datos. 4) Privacidad por diseño y por defecto, de forma que los criterios de privacidad sean tenidos en cuenta desde el primer momento. 5) Bases legitimadoras para el tratamiento (6): Novedad del interés legítimo vs consentimiento. 6) Nuevos derechos: Pasamos del ARCO al ARSLOP (portabilidad, limitación, supresión..) ¿QUÉ NOVEDADES NOS TRAJO EL RGPD? Busca proteger a ciudadanos europeos (con independencia del prestador del servicio) Documentar tratamientos y procesos ante Autoridad (vs. declaración de ficheros, DS..) Nueva figura del Delegado de Protección de Datos (DPD) Notificar brechas de seguridad de datos (plazo máx. 72 horas) Instaura nuevos Principios basados en: Licitud, lealtad y transparencia: Políticas de Privacidad Responsabilidad activa: Evaluación del Impacto sobre la Privacidad -PIA- Privacidad por diseño y por defecto y minimización de datos: Gobernanza Exactitud, integridad y confidencialidad Multas: Hasta 20MM€ o 4% del volumen de negocio total anual PRINCIPIOS BÁSICOS APLICABLES A LA CONTRATACIÓN (desarrollados por la LOPDyGDD) TRANSPARENCIA E LICITUD DEL RESPONSABILIDAD INFORMACIÓN AL TRATAMIENTO PROACTIVA (art. 24-25 RGPD y 28 LOPDyGDD) AFECTADO (art. 4.11 RGPD y 6 LOPDyGDD, entre otros) (art. 13 RGPD y 11 LOPDyGDD) DEBER DE EXACTITUD DE CONFIDENCIALIDAD LOS DATOS (art. 5.1.f) RGPD y 5 LOPDyGDD) (art. 5.1 d) RGPD y 4 LOPDyGDD) PRINCIPIO DE RESPONSABILIDAD PROACTIVA El RGPD describe este principio como la necesidad de que el Responsable del Tratamiento (RT) aplique medidas técnicas y organizativas apropiadas a fin de garantizar y demostrar que el tratamiento es conforme con el Reglamento. Requiere que las organizaciones analicen qué datos tratan, con qué finalidad/es y qué tipo de actividades llevan a cabo con ellos. A partir de ello, se determinará las medidas más adecuadas para cumplir con el RGPD. Se basa en 3 elementos: Actitud consciente - análisis de riesgos REACTIVO Proactividad – sin “guía-burros” PROACTIVO Deber de diligencia MEDIDAS DE RESPONSABILIDAD PROACTIVA: 1. ANÁLISIS DE RIESGO (PRE-PIA) El RGPD condiciona la adopción de las medidas al grado de riesgo que los tratamientos puedan suponer para los derechos de los interesados. Por ej., cuando suponga un alto riesgo, debe llevarse a cabo lo que se denomina “Evaluaciones de Impacto sobre la Protección de Datos” (EIPD o PIAs). Algunos de los criterios a tener en cuenta por el RT son: (i) tipos de tratamientos; (ii) naturaleza de los datos; (iii) nº de interesados afectados; y (iv) cantidad y variedad de tratamientos que se realizan. Plantéate: ¿se usan tecnologías especialmente invasivas? ¿se tratan datos sensibles? ¿se usan los datos para lo que se recabaron? ¿se tratan grandes volúmenes de datos? ¿se elaboran perfiles para publicidad? ¿se cruzan datos recabados del interesado con fuentes de terceros? MEDIDAS DE RESPONSABILIDAD PROACTIVA: 2. REGISTRO DE ACTIVIDADES DE TRATAMIENTO (RAT) Se debe mantener un registro de actividades de tratamiento que contenga la información establecida por el RGPD en lo que respecta a: Nombre y datos de contacto del RT y, en su caso, DPD Finalidades del tratamiento Categorías de interesados y de datos personales tratados Transferencias internacionales de datos No obligatorio para empresas de < 250 empleados (salvo actividad de riesgo). MEDIDAS DE RESPONSABILIDAD PROACTIVA: 3. PRIVACIDAD DESDE EL DISEÑO (I) Fuente: Tabla de Principios de PbD definidos por Ann Cavoukian. Guía AEPD sobre Privacidad desde el Diseño, Oct 2019. MEDIDAS DE RESPONSABILIDAD PROACTIVA: 3. PRIVACIDAD DESDE EL DISEÑO (II) Aseguramiento de la privacidad y seguridad: Toma en consideración de aspectos relativos a la protección de datos desde el momento en que se diseña un tratamiento, producto o servicio que afecta a datos personales. Minimización de datos: Adoptar medidas que garanticen que sólo se tratan los datos necesarios, teniendo en cuenta aspectos como: (i) la cantidad; (ii) extensión o elasticidad de las finalidades; y (iii) tiempo de conservación. Privacidad por defecto: cuando sea de aplicación al producto o servicio concreto, garantizar que se establece por defecto el máximo grado o nivel de privacidad para el interesado. CASO PRÁCTICO 4: Imagina que quieres crear un nuevo servicio gratuito de suscripción a una newsletter online, ¿crees que sería necesario solicitar para el registro a dicho servicio el NIF y dirección postal del interesado? … ¿y en el el caso de que dicho servicio fuese de pago? … CASO PRÁCTICO 4: Imagina que quieres crear un nuevo servicio gratuito de suscripción a una newsletter online, ¿crees que sería necesario solicitar para el registro a dicho servicio el NIF y dirección postal del interesado? No, ya que sólo es necesario conocer su dirección de correo electrónico para la prestación del servicio de envío de newsletters. ¿y en el caso de que dicho servicio fuese de pago? Probablemente sí sería necesario dado que se requiere una dirección de facturación para la emisión de la factura al interesado. MEDIDAS DE RESPONSABILIDAD PROACTIVA: 4. MEDIDAS DE SEGURIDAD RLOPD VS. RGPD (Dic. 2007-Dic. 2018) (Dic. 2018-Actualidad) Determinaba con todo detalle las Sólo prevé deberá contarse con medidas de seguridad que debía medidas técnicas y organizativas aplicarse (soporte papel no apropiadas para garantizar un nivel automatizado vs. automatizado). de seguridad adecuados en función Basadas exclusivamente en la de los riesgos detectados en el tipología de los datos (nivel básico, análisis previo. medio y alto). A día de hoy, no es un Más variables: Coste, fines del criterio suficiente ni existen niveles. tratamiento, volumen riesgos, etc. MEDIDAS DE RESPONSABILIDAD PROACTIVA: 5. NOTIFICACIÓN DE BRECHAS DE SEGURIDAD (I) El RGPD define las “violaciones de seguridad de datos” como todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, a la comunicación o acceso no autorizado a dichos datos. Ejemplos: Pérdida de un ordenador portátil o un USB con datos personales El acceso no autorizado a BBDDs de una organización Borrado o cesión accidental de datos personales Documentación en papel con datos personales accesibles por terceros MEDIDAS DE RESPONSABILIDAD PROACTIVA: 5. NOTIFICACIÓN DE BRECHAS DE SEGURIDAD (II) El RT debe documentar todas las violaciones de seguridad y notificarlas “sin dilación indebida” a la AEPD, a menos que sea improbable que las mismas supongan un riesgo para los derechos de los interesados. Dentro de las 72 horas siguientes a que el RT tenga constancia de ella, debe informarse a esta Autoridad acerca de: La naturaleza de la violación Categorías de datos y de interesados afectados Medidas adoptadas para solventar la violación Medidas aplicadas para paliar los efectos negativos sobre interesados En su caso, notificación enviada a interesados para que tomen medidas MEDIDAS DE RESPONSABILIDAD PROACTIVA: 5. NOTIFICACIÓN DE BRECHAS DE SEGURIDAD (III) Se considera que existe constancia de la brecha cuando hay certeza de que se ha producido y el RT tiene conocimiento suficiente de su naturaleza y alcance. La mera sospecha de que ha existido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación. La información puede proporcionarse a la AEPD de forma escalonada cuando no sea posible hacerlo en el mismo momento de la notificación y esté justificado por las circunstancias del caso. PRINCIPIO DE TRANSPARENCIA E INFORMACIÓN AL INTERESADO: 1. CLÁUSULAS Y POLÍTICAS DE PRIVACIDAD Debe informarse al interesado del tratamiento de sus datos de forma concisa, transparente, legible y de fácil acceso, con un lenguaje claro y sencillo. Se permite facilitar la información por capas, teniendo en cuenta: Se deberán evitar fórmulas especialmente farragosas (ojo abogados). Las cláusulas de PD deberán ser claras y accesibles: 1er nivel de información básica: identificación del RT, finalidades del tratamiento, base jurídica y cómo ejercitar derechos ARSLOP. 2do nivel a la “Política de Privacidad” completa o info adicional cuando sea necesario (identificación de terceros cesionarios, transferencias internacionales de datos, etc.). PRINCIPIO DE TRANSPARENCIA E INFORMACIÓN AL INTERESADO: 2. DEBER DE INFORMACIÓN El RGPD incorpora la obligación de comunicar al interesado: «Base jurídica» del tratamiento (interés legítimo vs. consentimiento) «Intereses legítimos» perseguidos en que se fundamentan los tratamientos Plazo de conservación de los datos tratados Derecho a retirar el consentimiento (opt-out) en cualquier momento Derecho a presentar reclamación ante la Autoridad de control Nuevos derechos (ej. limitación y portabilidad de los datos) y otros CASO PRÁCTICO 5: INFORMAR CON CENTROS DE PRIVACIDAD Y SEGURIDAD https://www.telefonica.com/es/centro-global-de-transparencia/privacidad/politica-global-de-privacidad/ PRINCIPIO DE LICITUD DEL TRATAMIENTO: 1. BASE LEGITIMADORA El tratamiento de datos necesita apoyarse en una base legitimadora válida: 1. Consentimiento del interesado conforme al RGPD 2. Relación contractual existente 3. Obligación legal del RT 4. Intereses legítimos prevalentes del RT o de terceros a los que se comunican los datos. 5. Interés público o ejercicio de poderes públicos 6. Intereses vitales del interesado o de otras personas Hay que informar de la misma al interesado cuando se recaban sus datos, (p.ej. detallando los intereses legítimos para el tratamiento, en su caso). PRINCIPIO DE LICITUD DEL TRATAMIENTO: 2. TRATAMIENTOS BASADOS EN EL CONSENTIMIENTO Debe ser libre e inequívoco: manifestación libre del interesado o mediante una clara acción afirmativa. Ojo con colectivos vulnerables (ej. menores) Puede ser explícito o implícito: Debe ser explícito cuando (i) se recabe en el marco de tratamiento de datos sensibles, (ii) impliquen transferencias internacionales fuera del EEE, o bien (iii) la adopción de decisiones automatizadas. En el resto de casos, es suficiente con que se deduzca de la acción del interesado. A diferencia del derogado RLOPD, el RGPD no admite formas de consentimiento tácito por omisión. TERREMOTO EN EL SECTOR EN 2018: ¿CÓMO ME ADAPTO AL RGPD? Requisitos asociados a la obtención del consentimiento: ¿Mediante una declaración o una clara acción afirmativa? (no se admiten consentimientos tácitos ni casillas premarcadas) Consentimiento de menores regula una horquilla de 13-16 años (hoy >14) Deber de información previa para que el consentimiento sea válido. Principales riesgos y retos: Comunicaciones comerciales no consentidas Contratación irregular o fraudulenta Ficheros de solvencia patrimonial Entidades de recobro de deudas Avances tecnológicos: IA, IoT, BigData, Cloud.. 03 DELEGADO DE PROTECCIÓN DE DATOS (DPD) DELEGADO DE PROTECCIÓN DE DATOS (I) Porque no todos los héroes llevan capa Sus datos de contacto deben hacerse públicos y comunicarse a la AEPD como Autoridad de Supervisión. Figura obligatoria en ciertos sectores (art. 37 RGPD), entre otros: las Autoridades y organismos públicos, así como RTs y ETs que realicen operaciones que requieran una observación habitual y sistemática de interesados o el tratamiento de datos sensibles a “gran escala”. Se nombra atendiendo a sus cualificaciones profesionales, su conocimiento de la legislación y la práctica de la protección de datos. No se exige una titulación técnica o legal pero es posible obtener la Certificación de DPD. DELEGADO DE PROTECCIÓN DE DATOS (II) El RT debe facilitarle los recursos necesarios para el desempeño de sus funciones y el mantenimiento de su conocimientos. No podrá ser destituido ni sancionado por la compañía por desempeñar sus funciones (salvo dolo o negligencia grave) y rendirá cuentas directamente «al más alto nivel jerárquico». Entre otras funciones, se deberá encargar de: Informar y asesorar a la compañía y a los empleados. Supervisar el cumplimiento de la normativa y de las políticas internas. Asignación de responsabilidades, concienciación, auditoría y formación del personal que interviene en el tratamiento de datos personales. Revisión y atención a reclamaciones planteadas por interesados. Cooperar con la AEPD y ser su punto de contacto. NOVEDADES DE LA LOPDYGDD SOBRE EL DPD Especifica las entidades que deberán designarlo obligatoriamente: Empresas de seguridad privada Centros docentes y Universidades públicas y privadas Entidades que exploten o presten servicios de comunicaciones electrónicas Prestadores de servicios de SI que elaboren a gran escala perfiles de usuarios Distribuidores y comercializadores de energía eléctrica y gas natural Entidades responsables de ficheros comunes de solvencia Entidades que desarrollen actividades de publicidad que elaboren perfiles Centros sanitarios obligados al mantenimiento de historias clínicas Entidades de crédito y establecimientos financieros Entidades aseguradoras y aseguradoras Empresas de servicios de inversión Colegios profesionales y sus consejos generales Otros como federaciones deportivas de menores y operadores de juego. ¿ES REALMENTE IMPORTANTE TENER UN DPD? (fomento de cultura de la privacidad para evitar sanciones de hasta 20MM€ + daño reputacional) Fuente: Fuente: Expansion.com Confilegal.com (Jun. 2020) (Nov. 2020) Fuente: VozPopuli.com (Nov. 2020) ¿CÓMO SABER SI SE HA DESIGNADO YA UN DPD? Consulta al Registro oficial de DPDs inscritos en la AEPD por CIF o denominación: https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/consultaDPD.jsf;jsessionid=4ZrUUQGlNTW4ucv9Iz8WC0aU Fuente: AEPD (Enero 2023) TERCEROS CON 04 ACCESO A DATOS PERSONALES CONCEPTO DE ENCARGADO DEL TRATAMIENTO Persona física o jurídica, pública o privada, u órgano administrativo que trate datos personales por cuenta del RT, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Por tanto, no se considerará cesión el acceso por un tercero a los datos cuando sea necesario para la prestación de servicios al RT tales como: Gestión contable, fiscal y de nóminas. Empresa externa de mantenimiento informático y hosting. Empresa de logística para el envío de pedidos contratados a distancia. Distribuidores/agentes de productos y servicios en tiendas. Otros. CONSIDERACIONES GENERALES SOBRE LOS ETs La responsabilidad última sobre el tratamiento de datos personales es del RT, que es quien determina la existencia del mismo y su finalidad. En cuanto a la selección del ET, el RGPD establece que el RT deberá estar en condiciones de demostrar que el tratamiento de los datos se realiza siempre conforme al RGPD: se deberá elegir aquél que ofrezca garantías suficientes (p.ej. acreditación mediante adhesión a códigos de conducta o certificaciones). Los ETs por su parte tienen sus propias obligaciones establecidas en el RGPD y, por tanto, tampoco se limitan al Contrato de PS. A modo de ejemplo: Mantener un registro de actividades de tratamiento (RAT como ET) Determinar las medidas de seguridad para los tratamientos que realizan Designar a un DPD cuando sea preciso CONTENIDO MÍNIMO DEL CONTRATO DE ET Se debe suscribir siempre un contrato o acto jurídico por escrito o en alguna otra forma que permita acreditar su celebración y contenido entre el RT y el ET. Contenido mínimo del Contrato de ET -DPA en inglés- conforme al RGPD (art. 28): Objeto, duración, naturaleza y finalidad del tratamiento. Tipos de datos personales y categorías de interesados. Obligación del ET de tratar los datos personales únicamente siguiendo instrucciones documentadas del RT. Condiciones para que el RT pueda dar su autorización previa a las subcontrataciones por parte del ET con SubETs. Asistencia al responsable en la atención al ejercicio de derechos de interesados y prestar colaboración/apoyo en la elaboración del EIPD/PIA por el RT. CASO PRÁCTICO 6: CONTRATACIÓN TELEFÓNICA DERECHOS DE LOS 05 INTERESADOS: ARSLOP ¿QUÉ DERECHOS TIENEN LOS INTERESADOS SOBRE SUS DATOS PERSONALES? Antes del RGPD ya se exigía al RT el disponer de procedimientos que permitiesen, de forma sencilla y gratuita, determinados derechos de los interesados (p.ej. usuarios, clientes, empleados, candidatos, etc.): ACCESO ACCESO RECTIFICACIÓN GDPR ARSLOP ARCO (datos personales) RECTIFICACIÓN SUPRESIÓN vs. LIMITACIÓN DATA ACT CANCELACIÓN (datos no personales -IoT-) OPOSICIÓN OPOSICIÓN PORTABILIDAD PREVISIONES GENERALES Los responsables deben facilitar a los interesados el ejercicio de sus derechos, debiendo contar para ello con procedimientos visibles, accesibles y sencillos. Se debe permitir la posibilidad de presentar las solicitudes por medios electrónicos, especialmente cuanto el tratamiento se realice por éstos. El ejercicio de los derechos es gratuito para el interesado. Excepción: posibilidad de cobrar un “canon” compensatorio por el coste de su tramitación (no podrá implicar ingreso adicional), cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente por repetitivas. Se deberá informar de las actuaciones realizadas al interesado en el plazo de 1 mes. Por razón de su complejidad, podrá ampliarse por 1 mes adicional. SOLICITUD DE DERECHOS ARSLOP Son personalísimos: Sólo pueden ser ejercitados por el afectado, el representante legal y/o el representante voluntario del afectado. Son independientes: No puede entenderse que el ejercicio de uno de ellos sea requisito previo para el ejercicio de otro. Sin formalismos: Se debe atender aunque no se hubiese utilizado el procedimiento / formulario habilitado (sí acreditando identidad). Son gratuitos: Su ejercicio no puede suponer un ingreso adicional para el RT (p.ej. no podemos exigir cartas certificadas, llamadas a STA ni similares). CASO PRÁCTICO 7: ACCESO A GRABACIONES Ejercicio de derecho de acceso a datos personales de imágenes y matrícula La matrícula de un vehículo es un dato personal y pedir las imágenes de las cámaras de vigilancia de un parking para cerciorarse de que el vehículo no ha sufrido daños mientras ha estado en las instalaciones forma parte del derecho de acceso. Si el Responsable considera que el acceso a dichas grabaciones puede afectar a las imágenes de terceros, se deberán adoptar las medidas necesarias para anonimizar los datos de estos. El Responsable no acredita haber atendido lo solicitado por la parte reclamante, remitiéndole la preceptiva respuesta. Fuente: Economist & Jurist (Septiembre, 2023) Resolución AEPD: Aquí. 06 CONSERVACIÓN DE DATOS INFO A CONSERVAR LEGALMENTE Y PLAZOS Criterios a tener en cuenta: Finalidad: Analizar caso por caso si los datos continúan siendo útiles para la finalidad para la que se recogieron o ya son innecesarios. Si es posible la disociación o anonimización: Analizar si es necesario guardar los datos identificativos de los interesados o si podemos guardarlos disociados o anóninos cumpliendo la misma finalidad. Ver Guía AEPD sobre anonimización. Plazos legales de prescripción de acciones: Debe almacenarse, al menos, mientras se nos pudiesen exigir de responsabilidad legal/fiscal. PLAZOS: ALGUNOS EJEMPLOS PRÁCTICOS FORMA DE CONSERVACIÓN Cómo conservar la documentación acreditativa: El RT podrá escanear la documentación recibida en soporte papel a efectos de conservarla únicamente en soporte digital. Se debe garantizar que en dicha automatización no ha mediado alteración alguna de los soportes digitales. La documentación original en papel que contenga datos personales se deberá destruir de forma confidencial (p.ej. contenedores habilitados para su recogida por empresa de destrucción de documentos). ANONIMIZACIÓN FINALIZADO EL PERIODO DE CONSERVACIÓN Fuente: Voz Populi Nov., 2020. Ejemplo “Smart Steps”: https://www.y outube.com/ watch?v=RrW 0c_6svJw 07 TRANSFERENCIAS INTERNACIONALES TID: CONCEPTO Y REQUISITOS (I) Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del RF establecido en territorio español. Regla general: Los datos solo podrán ser comunicados fuera del EEE: 1) A países, territorios o entidades sobre los que la Comisión de las Comunidades Europeas haya adoptado una decisión declarando que garantiza un nivel de protección adecuado. 2) Cuando se ofrezca garantías adecuadas sobre la protección que los datos recibirán en su destino: sin necesidad de autorización expresa de AEPD. TID: CONCEPTO Y REQUISITOS (II) Excepciones que permiten transferir los datos sin ofrecer garantías de protección adecuadas son, entre otras (art. 49 RGPD): Que el interesado haya dado explícitamente su consentimiento, tras haber sido informado de los posibles riesgos para él; Que la transferencia sea necesaria para la celebración o ejecución de un contrato entre el interesado y el RT o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado; Que sea necesaria para satisfacer intereses legítimos imperiosos del RT, no sea repetitiva y afecta a un nº limitado de interesados. Que sea necesaria por razones importantes de interés público; para el ejercicio o la defensa de reclamaciones; para proteger los intereses vitales del interesado o de otras personas; … TID BASADAS EN UNA DECISIÓN DE ADECUACIÓN Fuente: Web de la AEPD. Noviembre, 2024. EVOLUCIÓN TEMPORAL DE LA NORMATIVA DE TIDs A USA Adopción Anulación Adopción Aprobación Primeras Entrada Anulación Adopción Acuerdo Acuerdo Acuerdo RGPD adhesiones en vigor Acuerdo Data Privacy Safe Harbor Safe Harbor Privacy Shield Privacy Shield RGPD Privacy Shield Framework -DPF- 07/2000 10/2015 02/2016 04/2016 08/2016 05/2018 07/2020 07/2023 Sentencia Caso Schrems I Sentencia Caso Schrems II (STJUE Case C-362/14) (STJUE Case C-311/18) Novedades 2021: Directrices del EDPB sobre medidas suplementarias y aprobación en Junio de 2021 de las nuevas Cláusulas Contractuales Tipo (SCC) por la CE ¿HABRÁ UNA SENTENCIA SCHREMS III QUE ANULE EL DPF? Más info en: https://noyb.eu/en/european-commission-gives- eu-us-data-transfers-third-round-cjeu TID MEDIANTE “GARANTÍAS ADECUADAS” Se deberá ofrecer garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas. Las garantías adecuadas podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por: Cláusulas contractuales tipo o SCCs de protección de datos adoptadas por la Comisión. Ver más info y Decisión 2021/914 aquí. Normas corporativas vinculantes o BCRs (art. 47 RGPD). Ver registro aquí. Código de conducta (art. 40 RGPD) junto con compromisos vinculantes. Un mecanismo de certificación. ELABORACIÓN DE 08 POLÍTICAS DE PRIVACIDAD RECOMENDACIONES PARA ELABORAR LA POLÍTICA Información a proporcionar al interesado con carácter general: Identidad y datos de contacto del RT y, en su caso, de su representante Contacto del Delegado de Protección de Datos Finalidades para las que se van a tratar los datos por categorías Base legitimadora del tratamiento asociada a cada finalidad Destinatarios de los datos recogidos por categorías Información sobre la cesión de datos: requisito legal o contractual Información sobre la transferencia internacional de los datos, en su caso Plazo de conservación de los datos o criterios para determinarlo Derechos del interesado sobre sus datos y forma de ejercitarlos Derecho a presentar una reclamación ante la Autoridad de Control Información sobre la existencia de decisiones automatizadas (perfilado) RECOMENDACIONES PARA RECABAR EL CONSENTIMIENTO Debe ser un acto afirmativo claro: ni silencio ni casillas premarcadas (opt-in) Debe distinguirse de los demás asuntos y no obstaculizar el uso del servicio Información a proporcionar para que el consentimiento sea válido: Identidad del Responsable del Tratamiento La finalidad del tratamiento para la que se solicita el consentimiento Categorías de datos que van a recogerse y utilizarse para dicho fin Info sobre el uso de datos para decisiones automatizadas, en su caso Info sobre los posibles riesgos de la transferencia internacional, en su caso Derecho a retirar el consentimiento en cualquier momento (opt-out) RECOMENDACIONES PARA PRESENTAR LA INFORMACIÓN A la hora de brindar la información al interesado, ésta debe ser: Previa a la recogida de datos Concisa, transparente y de fácil acceso Por capas: facilitar información básica + info adicional Con un lenguaje claro y sencillo Con un tamaño de letra que no dificulte la lectura A través de la página web y, como buena práctica, por email “El objetivo final es que el interesado pueda tomar decisiones informadas sobre la utilización de sus datos personales” LEGAL DESIGN: ¿POLÍTICAS DE PRIVACIDAD POR ICONOS? Art. 12.7 RGPD: La información que deberá facilitarse a los interesados podrá transmitirse en una combinación de iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. https://consentcommons.com/ CASO PRÁCTICO 9: Si en el momento de recogida de los datos personales del interesado le informamos de que los mismos podrán ser tratados, además de para la prestación del servicio o producto solicitado, para “mejorar la experiencia como usuario”, ¿consideras que la finalidad del tratamiento está definida? … CASO PRÁCTICO 9: Si en el momento de recogida de los datos personales del interesado le informamos de que los mismos podrán ser tratados, además de para la prestación del servicio o producto solicitado, para “mejorar la experiencia como usuario”, ¿consideras que la finalidad del tratamiento está definida? No, dicha finalidad es demasiado genérica y, por tanto, podría considerarse que la información proporcionada al interesado resulta insuficiente. Debemos ser lo más específicos posibles atendiendo a lo exigido al principio de limitación de la finalidad del tratamiento. CASO PRÁCTICO 10: Si en nuestra política de privacidad informamos a los interesados de que sus datos personales podrán ser tratados “hasta que exista un interés mutuo”, ¿consideras que estaríamos informando de los plazos o criterios de conservación de los datos personales? … CASO PRÁCTICO 10: Si en nuestra política de privacidad informamos a los interesados de que sus datos personales podrán ser tratados “hasta que exista un interés mutuo”, ¿consideras que estaríamos informando de los plazos o criterios de conservación de los datos personales? No, dado que el interesado no puede conocer con cierto grado de aproximación el tiempo que el responsable conservará los datos personales. POLÍTICAS DE COOKIES Y 09 TRATAMIENTOS CON FINES PUBLICITARIOS ¿QUÉ PASARÍA SI LA VIDA REAL FUERA COMO LA VIDA DIGITAL? https://www.youtube.com/watch?v=pxWcNhR_Jp8 ¿QUÉ DICE LA LSSI RESPECTO A LAS COOKIES? ART. 22 LSSICE Uso de cookies (dispositivos de recuperación y almacenamiento de datos): - Debe informarse de forma clara y completa (por capas) sobre su utilización: el RT, los fines del tratamiento y demás info conforme al RGPD. - Se permite a condición de que los destinatarios hayan dado su consentimiento, previa la información anterior. - Exceptuadas: Cookies de índole técnica o necesarias para prestar el servicio solicitado por el usuario no requieren consentimiento. Novedad: Guía de Cookies AEPD, actualizada en Jul. 2023. “Los nuevos criterios deberán implementarse, a más tardar, el 11 de enero de 2024” (había 6 meses para la adaptación). CASO PRÁCTICO 11: REQUISITOS PARA UN CONSENTIMIENTO VÁLIDO (I) Información 1º Capa: Es necesario proporcionar al usuario toda la información de manera completa y fácilmente accesible y entendible. En la primera capa, es necesario informar al usuario al menos sobre: Identidad del RT El uso de cookies no exceptuadas Sus finalidades Si son propias o de terceros (o ambas) La acción que implica el consentimiento, cómo revocarlo o no otorgarlo y el enlace a la segunda capa CASO PRÁCTICO 11: REQUISITOS PARA UN CONSENTIMIENTO VÁLIDO (II) Información 2ª Capa: Debe incluirse mayor información sobre qué son las cookies y mayor detalle sobre cada grupo de cookies por finalidad, así como su duración. En caso de que existan cookies de terceros, es necesario mencionar específicamente los terceros en esta segunda capa. CASO PRÁCTICO 11: REQUISITOS PARA UN CONSENTIMIENTO VÁLIDO (III) Información 3ª Capa: En la tercera capa o Política de Cookies, se informará al usuario de manera mucho más detallada sobre el uso de cookies, qué son y para que se utilizan, incluyendo las cookies específicas que se usan en el sitio, sus categorías (propias o de terceros, sesión o persistentes, etc.), como revocar el consentimiento, etc.. 1. ¿Qué son y cómo funcionan las cookies? 2. ¿Qué tipos de cookies existen? Propias y de terceros De sesión y permanentes Necesarias o técnicas, analíticas, de personalización, de publicidad y de redes sociales 3. ¿Qué cookies utilizamos? 4. ¿Cómo configurar las cookies o deshabilitarlas? 5. ¿Cuánto tiempo se conservan las cookies? 6. ¿Implican transferencias internacionales de datos? 7. Actualización de la Política ¿QUÉ DICE LA LSSICE RESPECTO A LA PUBLI? Envío de comunicaciones comerciales electrónicas: - Se prohíbe su envío (i) ocultando la identidad del remitente y (ii) cuando no hubieran sido solicitadas o expresamente autorizadas. - Excepción: Se permite cuando exista una relación contractual previa con el interesado y las comunicaciones publicitarias se refieran productos y servicios de la propia empresa similares a los contratados. - Deberán ser claramente identificables como tales y, en su caso, las condiciones aplicables a la/s oferta/s deberán ser accesibles. - En todo caso, en cada comunicación deberá ofrecerse un procedimiento sencillo y gratuito para oponerse. También a la elaboración de perfiles. Ejemplo: Incorporación de casillas sin premarcar en los contratos. Importante: Diferenciar entre una comunicación publicitaria vs. de servicio. 10 COMPETENCIA SANCIONADORA AUTORIDADES DE PROTECCIÓN DE DATOS Las Autoridades de protección de datos tienen el deber de supervisión activa previsto en el RGPD, debiendo en consecuencia analizar y, cuando proceda, sancionar los procesos que supongan un riesgo para la PD de interesados. A la AEPD le corresponde tradicionalmente el control del cumplimiento de la legislación y ejercicio de la potestad sancionadora en España: - Posibilidad de apercibimiento/advertencia y medidas correctoras. - Potestad discrecional de aplicar criterios de graduación de sanciones: intencionalidad, reincidencia, naturaleza y cuantía de los perjuicios causados, así como beneficios obtenidos por la infracción entre otros. - Con el RGPD pasamos de multas máx. de 600K€ a 20MM€ o 4% de volumen de negocio (vs. nuevo RIA prevé multas máx. 35MM€ o 7%) ¿EN QUÉ ACTIVIDADES TIENE UN MAYOR IMPACTO? Todas las empresas deben cumplir la normativa, pero las actividades de mayor “riesgo” de ser sancionadas son tradicionalmente aquellas que implican tratamiento de datos a gran escala, tecnologías invasivas y/o de datos sensibles. POR IMPORTE GLOBAL DE SANCIONES 2023: Fuente: Memorias Anuales de la AEPD POR NUMERO DE SANCIONES EN 2023: Fuente: Memorias Anuales de la AEPD GRADUACIÓN DE MULTAS ADMINISTRATIVAS Cada Autoridad de control garantizará la imposición de multas conforme al RGPD -ventanilla única-, las cuales deberán ser efectivas, proporcionadas y disuasorias atendiendo al caso individual: Ver https://www.aepd.es/publicaciones-y-resoluciones (PS) Algunos de los criterios a tener en cuenta (art. 83 RGPD): Naturaleza, gravedad y duración de la infracción, en función de su alcance, número de afectados y perjuicios sufridos. Intencionalidad o negligencia de la infracción. Adopción de medidas para paliar los perjuicios de los interesados. Grado de responsabilidad del RT/ET, a la vista de las medidas aplicadas Cooperación con Autoridad, beneficios obtenidos, códigos de conducta.. MEDIDAS CORRECTIVAS DE LA LOPDYGDD Establece que también podrán tenerse en cuenta los siguientes criterios de graduación de la sanción en caso de infracción: El carácter continuado de la infracción La vinculación de la actividad del infractor con tratamiento de datos Los beneficios obtenidos por la comisión de la infracción La posibilidad de que la conducta del interesado haya podido influir La existencia de un proceso de fusión por absorción posterior a la comisión La afectación o no a los derechos de los menores Disponer, cuando no fuere obligatorio, de un DPD Someterse a resolución alternativa de conflictos: Mediación Web recomendada para revisar sanciones en la UE: www.enforcementtracker.com CONCLUSIONES Y ACTIVIDAD PRÁCTICA HERRAMIENTAS DE UTILIDAD PARA ABOGADOS Recursos gratuitos de la AEPD: “Hoja de ruta básica” para aplicación de la normativa”: aquí “Facilita RGPD” (ayuda para empresas con tratamientos de datos de escaso riesgo): aquí “Facilita EMPRENDE” (apoyo a emprendedores y startups con componente innovador): aquí “Evalúa Riesgo RGPD” (identificar factores de riesgo): aquí “Comunica-Brecha GDPR” (valoración de la obligación de reportar brechas de seguridad): aquí ACTIVIDAD 1: TRATAMIENTOS ASOCIADOS A OPERACIONES MERCANTILES (M&A) Entre las novedades más significativas de la LOPDyGDD se encuentra también su art. 21 que va en la misma línea del RGPD en relación con el tratamiento de datos para M&A: “Salvo prueba en contrario, se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios […]. ASPECTOS A REVISAR EN OPERACIONES DE M&A Análisis del cumplimiento GDPR en “Due Diligence” por Auditores externos (ET) … ASPECTOS A REVISAR EN OPERACIONES DE M&A Análisis del cumplimiento GDPR en “Due Diligence” por Auditores externos (ET) Elaboración de la Relación de Actividades del Tratamiento (RAT) Nombramiento del Delegado de Protección de Datos (DPD), en su caso Definición de un Modelo de Gobernanza en Privacidad Realización de Informes de Evaluación de Impacto -PIA- de tratamientos de tratamientos que puedan suponer un impacto crítico en la privacidad de los interesados Suscripción de los Contratos de Encargado del tratamiento con aquellos proveedores que requieran de acceso a datos personales para la prestación de sus servicios Implementación del procedimiento de ejercicio de derechos RGPD Establecimiento de medidas de seguridad y notificación de brechas En su caso, último Informe de Auditoría (no obligatorio) donde figure las no conformidades detectadas y, en su caso, las medidas adoptadas para su subsanación Relación de procedimientos abiertos, en su caso, por la Autoridad de control: (i) tutelas de derechos por la no atención adecuada de las solicitudes de los interesados y (ii) inspecciones y procedimientos sancionadores en curso y/o archivados. ACTIVIDAD 2: CONTRATACIÓN ONLINE IMAGINAD QUE FORMÁIS PARTE DEL EQUIPO JURÍDICO Y DE PRIVACIDAD DE UN GRAN BANCO QUE OPERA FUNDAMENTALMENTE PARA JÓVENES POR INTERNET… …Y LOS COMPAÑEROS DEL EQUIPO COMERCIAL OS SOLICITAN LOS “TEXTOS LEGALES” QUE DEBERÍAN INCORPORAR EN LA NUEVA WEB QUE INCLUIRÁ ADEMÁS UN FORMULARIO DE RECOGIDA DE DATOS DE INTERESADOS EN CONTRATAR SU NUEVO PRODUCTO: “CUENTA JÓVEN” A. EJEMPLO AEPD SOBRE INFORMACIÓN DE 1ª CAPA: Fuente: Guía AEPD https://www.aepd.es/media/ guias/guia-modelo-clausula- informativa.pdf B. EJEMPLO AEPD SOBRE INFORMACIÓN DE 2ª CAPA EN PÁGINA WEB: 1. INFORMACIÓN DEL RESPONSABLE B. EJEMPLO AEPD SOBRE INFORMACIÓN DE 2ª CAPA EN PÁGINA WEB: 2. FINALIDAD DEL TRATAMIENTO B. EJEMPLO AEPD SOBRE INFORMACIÓN DE 2ª CAPA EN PÁGINA WEB: 3. LEGITIMIDAD DEL TRATAMIENTO B. EJEMPLO AEPD SOBRE INFORMACIÓN DE 2ª CAPA EN PÁGINA WEB: 4. DESTINATARIOS DE LOS DATOS B. EJEMPLO AEPD SOBRE INFORMACIÓN DE 2ª CAPA EN PÁGINA WEB: 5. DERECHOS DEL INTERESADO B. EJEMPLO AEPD SOBRE INFORMACIÓN DE 2ª CAPA EN PÁGINA WEB: 6. PROCEDENCIA DE LOS DATOS Q&A ¡MUCHAS GRACIAS! @JavTamayo