Alta Calidad
Educativa
Bonificable
para empresas
Plataforma
Interactiva
Flexibilidad
Horaria
En este programa desarrollaremos el nuevo reglamento europeo de protección de datos (RGPD). Para entender este nuevo reglamento, debemos saber que el RGPD es una norma directamente aplicable que no requiere de normas internas. Agrupa las diferentes iniciativas que la Agencia Española de Protección de Datos ha puesto en marcha sobre el RGPD.
El RGPD contiene muchos conceptos, principios y mecanismos. Por tanto, será una buena base para que se pueda llevar a cabo una correcta aplicación del nuevo reglamento.
En un primer momento habrá que ahondar en las bases de legitimación para el tratamiento de datos. Se establecerán las bases jurídicas, la transparencia e información a los interesados, así como sus derechos.
A continuación, el RGPD establece una serie de medidas que los responsables para garantizar que el tratamiento de los datos se ajusta a la normativa y al reglamento.
Por último, se debe hacer hincapié en el cumplimiento de informar: cuándo, quién, dónde y cómo informar.
El nuevo Reglamento General de Protección de Datos (RGPD)
El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y será aplicable a partir de mayo de 2018. En este periodo transitorio y aun cuando siguen vigentes las disposiciones de la Directiva 95/46 y las correspondientes normas nacionales de desarrollo, los responsables y encargados de tratamiento deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del RGPD en el momento en que sea de aplicación.
El RGPD es una norma directamente aplicable. No requiere de normas internas de trasposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o aplicación. Por ello, los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales, como venía sucediendo hasta ahora con la Directiva 95/46. No obstante, la ley que sustituirá a la actual Ley Orgánica de Protección de Datos (LOPD) sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.
El RGPD contiene muchos conceptos, principios y mecanismos similares a los establecidos por la Directiva 95/46 y por las normas nacionales que la aplican. Por ello, las organizaciones que en la actualidad cumplen adecuadamente con la LOPD española tienen una buena base de partida para evolucionar hacia una correcta aplicación del nuevo Reglamento.
Sin embargo, el RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.
Bases de legitimación para el tratamiento de datos
El RGPD mantiene el principio recogido en la Directiva 95/46 de que todo tratamiento de datos necesita apoyarse en una base que lo legitime. También recoge las mismas bases jurídicas que contenía la Directiva y que reproduce la LOPD:
- Consentimiento.
- Relación contractual.
- Intereses vitales del interesado o de otras personas.
- Obligación legal para el responsable.
- Interés público o ejercicio de poderes públicos.
- Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
El consentimiento en la Protección de Datos
El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. A diferencia del Reglamento de Desarrollo de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción.
Se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito:
- Tratamiento de datos sensibles.
- Adopción de decisiones automatizadas.
- Transferencias internacionales.
El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado. Por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación.
Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD. Es decir, mediante una manifestación o acción afirmativa.
Qué es un encargado del tratamiento de datos y cuál es su función principal
El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste.
Los tipos de encargado del tratamiento y las formas en que se regulará su relación pueden ser tan variados como los tipos de servicios que puedan suponer acceso a datos personales. Así, podemos encontrar servicios cuyo objeto principal es el tratamiento de datos personales. Por ejemplo, una empresa o entidad pública que ofrece un servicio de alojamiento de información en sus servidores.
Y otros, que tratan datos personales sólo como consecuencia de la actividad que presta por cuenta del responsable del tratamiento. Por ejemplo, el gestor de un servicio público municipal.
Pese a que la definición puede parecer clara, en la práctica se dan multitud de situaciones donde puede ser difícil deslindar cuándo estamos frente a un encargado o a un responsable del tratamiento. Para facilitar esta distinción, debemos tener en cuenta que corresponde al responsable decidir sobre la finalidad y los usos de la información.
Por otro lado, el encargado del tratamiento debe cumplir con las instrucciones de quien le encomienda un determinado servicio. Tiene que respetar el correcto tratamiento de los datos personales a los que pueda tener acceso como consecuencia de la prestación de este servicio.
Cuando y quién debe informar del tratamiento de datos
La obligación de informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos recae sobre el Responsable del Tratamiento.
La información se debe poner a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro, si es que los datos se obtienen directamente del interesado.
Otro caso es cuando los datos no se obtienen del propio interesado, por proceder de alguna cesión legítima o de fuentes de acceso público. En esta situación, el Responsable informará a las personas interesadas dentro de un plazo razonable. Pero en cualquier caso antes:
- de un mes desde que se obtuvieron los datos personales.
- o en la primera comunicación con el interesado.
- de que los datos, en su caso, se hayan comunicado a otros destinatarios.
Esta obligación se debe cumplir sin necesidad de requerimiento alguno. El responsable deberá poder acreditar con posterioridad que la obligación de informar ha sido satisfecha.
Dónde y cómo informar del tratamiento de datos
Los procedimientos de recogida de información pueden ser muy variados. En consecuencia, los modos de informar a las personas interesadas deben adaptarse a las circunstancias de cada uno de los medios empleados para la recopilación o registro de los datos. Algunas de las formas más habituales de recogida de datos y a través de los cuales hay que informar pueden ser:
- Formularios en papel.
- Navegación o formularios Web.
- Datos de actividad personal.
- Entrevista telefónica.
- Registro de aplicaciones móviles.
- Datos de sensores (IoT).
Por otra parte, las comunicaciones al interesado sobre datos ya disponibles, o tratamientos adicionales, pueden hacerse llegar por otros medios. Estos son los siguientes:
- Correo postal.
- Mensajería electrónica.
- Notificaciones emergentes en servicios y aplicaciones.
Las características de cada uno de los medios varían en cuanto a extensión, disponibilidad de espacio, legibilidad, posibilidad de vincular informaciones, etc. En cualquier caso, la información a las personas interesadas debe proporcionarse:
- Con un lenguaje claro y sencillo.
- De forma concisa, transparente, inteligible y de fácil acceso.
- Conocer las bases de legitimación para el tratamiento de datos.
- Analizar la transparencia e información a los interesados y sus derechos en el ámbito de la protección de datos.
- Aprender las distintas medidas de responsabilidad activa: tratamientos de datos a menores y transferencias internacionales.
- Comprender el cumplimiento del deber de informar: obligación de informar.
Aquellas personas que querian obtener un conocimiento riguroso de la nueva normativa de protección de datos.
Expertos que esten interesados en conocer todos los derechos que les da el Reglamento sobre el trato y privacidad de sus datos personales.
Tema 1. Bases de legitimación para el tratamiento de datos.
- Introducción.
- Bases de legitimación para el tratamiento de datos.
- Transparencia e información a los interesados.
- Derechos.
- Relaciones responsable-encargado.
Tema 2. Medidas de responsabilidad activa.
- Medidas.
- Transferencias internacionales.
- Tratamientos de datos de menores. El RGPD.
- Lista de verificación.
Tema 3. Cumplimiento del deber de informar.
- Cambios del RGPD sobre el deber de informar.
- La obligación de informar.
- Información por capas.
Tema 4. Directrices para la elaboración de contratos para tratamiento de datos.
- El encargado del tratamiento en el reglamento general de proteccio?n de datos (RGPD).
- Partes del acuerdo.
- Ejemplo de cláusulas contractuales.
Actividades complementarias obligatorias.