Professional Documents
Culture Documents
Protección de Datos
Colaboran:
Introducción
Constitución Española
Capítulo II. De los Derechos y Libertades
Sección I. De los derechos fundamentales y las libertades
públicas
ARTÍCULO 18.4
LOPD
Ley 15/1999, de 13 de diciembre, de Protección de Datos de
carácter personal
Proyecto LOPD
RLOPD
Real Decreto 1720/2007, de 21 de diciembre, que aprueba el
Reglamento de desarrollo de la LOPD
Art. 2 RGPD
Excepciones:
Actividad no comprendida en el Derecho de la UE
Instituciones, órganos de la UE (¡Ojo! Administraciones Públicas de los
estados miembros no están exceptuadas – art. 4 7): definición de
responsable)
Política exterior y seguridad común
Actividades exclusivamente personales o domésticas
Fines de prevención, investigación, detección o enjuiciamiento de
infracciones penales, protección y prevención frente a las amenazas a la
seguridad pública
Persona jurídica (considerando 14 RGPD)
Art. 3 RGPD
- O, en su defecto:
Art. 4 RGPD
Encargado:
Subencargado:
Autoridad de Control
ART. 5 RGPD
• Informar
• Limitar la Finalidad
• Revisar los datos solicitados
• Establecer procedimientos para garantizar la exactitud
• Determinar los plazos de conservación
• Establecer medidas para garantizar una seguridad adecuada
• Custodia de las evidencias
Art. 24 RGPD
Privacy by design
Incorporada Ciclo de
en el Diseño Vida
Privacidad Visibilidad y
por Defecto Transparencia
Respeto
Proactivo, privacidad
PbDesign
no reactivo interesado
Posibilidad de
Certificación (art. 42
RGPD)
Consentimiento Considerando 32
• Por escrito
• Por medios electrónicos
• Por una declaración verbal.
• Marcando una casilla en un sitio web.
Consentimiento explícito:
¿Explícito?
Ficheros de solvencia:
Regla general:
Informar al titular de los datos
Información básica
Identificación del Responsable
Finalidad
Legitimación
Destinatarios
Derechos de acceso, rectificación y supresión
Referencia a la información adicional
¿Dónde ubicamos la
segunda capa?
Segunda capa
Información adicional
Datos de contacto, identidad y datos de contacto del representante, datos de
contacto del DPO.
Descripción ampliada de los fines del tratamiento, plazos o criterios de
conservación
Detalle de la base jurídica del tratamiento, de la obligación de facilitar los
datos y de las consecuencias de no hacerlo.
Destinatarios o categorías de destinatarios.
Decisiones de adecuación, BCRs o situaciones para la previsión de
Transferencias a terceros países.
Como ejercer los derechos de acceso, rectificación, supresión, portabilidad,
limitación u oposición, derecho a retirar el consentimiento y derecho a
reclamar ante la Autoridad de Control.
AENOR DPD 1 v1 33
33 2018 Urbetec Abogados
Información
ARTS. 13 y 14 RGPD
Excepciones:
Deber de Información
Deber de Información
Tratamientos específicos
Art. 14 Proyecto: Sistemas de
información crediticia
Ficheros de solvencia:
• Información previa a la inclusión. 39 RLOPD
• Notificación de la deuda. 30 días. Notificación
individualizada por deuda. 40 RLOPD
AENOR DPD 1 v1 37
37 2018 Urbetec Abogados
Categorías especiales de datos
• Mayores de 16.
Considerando 82
El registro de actividades
Documentación obligatoria:
Art. 30 RGPD
Registro de categorías de datos
¿Cómo atendemos
las solicitudes de
ejercicio de estos
derechos?
Acceso
Rectificación
Supresión y olvido
Limitación del tratamiento
Portabilidad de los datos
Oposición
Art. 15 RGPD
Derecho de Acceso
Art. 15 RGPD
Derecho de Acceso
El Responsable:
- Innecesarios
- El interesado retire consentimiento
- Oposición
- Hayan sido tratado ilícitamente
- El cumplimiento de una obligación legal
- Recogidos en virtud de una oferta de servicios de la sociedad de la
información a menores
Tratamiento basado en
El consentimiento
En un contrato
No es aplicable:
Los datos de terceros facilitados por el interesado
Los datos del interesado facilitados por terceros
- Mercadotécnica directa
- Efectos históricos,
estadísticos o científicos
- Prevención del Fraude
Derecho al Olvido
Art. 17 RGPD
Caso Google
Derecho al olvido
Metaetiqueta “noindex”
Robot TXT.
Historia Clínica:
• El acceso a la Historia Clínica debe garantizar el respeto a los
derechos del paciente, de terceros y del personal médico (reserva
de anotaciones subjetivas)
• El paciente tiene derecho de acceso y copia. El centro sanitario
regulará el procedimiento.
Ejercicio de derechos
Tratamientos específicos
Ficheros de solvencia:
• Si la solicitud se dirige al titular del fichero común, este debe comunicar todos los
datos (evaluaciones y apreciaciones de los 6 últimos meses)
• Si se dirige a otra entidad, se informará sobre todos los datos disponibles y sobre la
identidad del titular del fichero común
• Rectificación o cancelación
• 7 días para respuesta de la entidad (o mod. Cautelar)
• 10 días para resolución si se ejercita ante la entidad
Videovigilancia:
• No afectación a derechos de terceros. Emisión certificado Art. 5.2
Inst.1/2006
AENOR DPD 1 v1 62
62 2018 Urbetec Abogados
Encargado del tratamiento
Art. 4 8) RGPD
Art. 28 RGPD
• Compromiso de confidencialidad
Posibilidad de subcontratación
Art. 79 RGPD
Responsables:
Responsabilidad in eligendo
Responsabilidad in vigilando
Art. 44 RGPD
Principio general:
Las TID solo podrán tener lugar si el responsable o el
encargado cumplen con las condiciones exigidas en el
RGPD
Con autorización:
• Cláusulas contractuales entre responsable o encargado e importador
• Disposiciones en acuerdos administrativos
ART. 42 RGPD
No limita la responsabilidad
ART. 42 RGPD
Proceso de certificación
Art. 40 RGPD
Elaboración y aprobación
Responsable de supervisar y
coordinar el cumplimiento
normativo en Protección de Datos
dentro de la organización
Art. 37 RGPD
Obligación de designar:
DPO independiente
Funciones DPO no planteen conflictos de intereses
• Supervisar
• Coordinación e Interlocución:
- Solicitudes de autorización
- Consulta previas
Conocimientos legales
Certificaciones / Acreditaciones
Algunas cuestiones:
¿Ubicación?
¿Externalización?
¿Responsabilidad?
Art. 83 RGPD
Art. 83 RGPD
Art. 84 RGPD
Art. 58 RGPD
Advertencia
Amonestación
RGPD – ART. 83
Mejora continua
97 AENOR DPD 1 v1 2018 Urbetec Abogados
Riesgos
Riesgo: “Efecto de la incertidumbre en los objetivos”
Comunicación
Art. 24 RGPD
- Medidas de seguridad
Revisadas, actualizadas y auditadas periódicamente.
- Procedimientos y políticas,
- Designación de responsabilidades
- Control de cumplimiento de proveedores
- Evaluaciones de impacto
- Autorización o consulta previa a la autoridad de control
- Nombramiento del delegado de protección de datos
Notificación violaciones de
seguridad
Notificaciones de violaciones de
ART. 33 RGPD
seguridad
Notificaciones de violaciones de
ART. 33 RGPD
seguridad
- Naturaleza de la violación
- Categorías de datos
- Número de interesados
- Número aproximado de registros de datos afectados
- Identidad y contacto del DPO
- Consecuencias
- Medidas correctivas adoptadas o propuestas mitigadoras
Notificaciones de violaciones de
ART. 34 RGPD
seguridad
- Naturaleza de la violación
- Identidad DPO
- Medidas adoptadas y/o propuestas
- Indicación de los atenuantes
¿Se pueden
evitar?
AENOR DPD 1 v1 113 2018 Urbetec Abogados
Fase de Custodia
Fase de Custodia
Tratamiento y Comunicación y
Custodia Accesos a
Datos
Recogida Finalización
Accountability
Privacy by Design/Default Sistema de Gestión
Evaluación de Impacto
DPO
AENOR DPD 1 v1 115 2018 Urbetec Abogados
Fase de Custodia
El Principio de Seguridad
Seguridad
¿de que?
Seguridad de la Información
Respuesta:
Desarrollo e implantación de
estrategias para evitar un ataque.
Afectan a multitud de factores.
Ciberseguridad
“Protección de activos de información, a través del tratamiento de amenazas
que ponen en riesgo la información que es procesada, almacenada y
transportada por los sistemas de información que se encuentran
interconectados”. (ISACA)
WannaCry
Fragmento de 'software' que 'secuestra' los archivos
de una computadora para posteriormente pedir su
'rescate' a los usuarios a cambio de una suma de
dinero. Varias empresas, hospitales e incluso
entidades gubernamentales paralizaron parcial o
totalmente sus operaciones tras haber sido infectadas
El método es muy simple: envían una petición al servidor memcached con la dirección IP de la
víctima, y el servidor automáticamente responde a esa dirección IP. Como estos servidores son
más potentes y usan mejores redes que un ordenador zombie, estos ataques pueden ser
devastadores.
Este es uno de los golpes con los que Anonymous ha logrado un mayor relumbrón
mediático, y en cuyo intento de esclarecimiento, han participado desde la Interpol al
FBI.
Prospección
de riesgos
Responsabilidad
proactiva
x Sistema
declarativo ACS
Obligación de resultado
Licitud
Lealtad
Transparencia
INTEGRIDAD Y Limitación de la
CONFIDENCIALIDAD finalidad
Exactitud
RGPD
Factores a considerar:
Tecnología disponible
Costes de aplicación
Naturaleza
Alcance
Contexto
Finalidades del tratamiento
Probabilidad y gravedad de los riesgos
para derechos y libertades
¿Qué es?
Identificación de Riesgos
ACTIVO
ACTIVO
ACTIVO
ACTIVO VALOR
VALOR
VALOR
VALOR VULNERABILIDAD
VULNERABILIDAD
VULNERABILIDADAMENAZA
VULNERABILIDAD AMENAZA
AMENAZA IMPACTO
IMPACTO
IMPACTO PERDIDA
PERDIDA
PERDIDA RIESGO
RIESGO
CASA
CASA
CASA
CASA 100.000€
100.000€
100.000€
100.000€ FUEGO
FUEGO
FUEGO
FUEGO CAMPO
CAMPO
CAMPO CADA
CADA DIEZ
CADA DIEZ AÑOS
DIEZ AÑOS (1/10)
AÑOS (1/10)
(1/10) 30.000€
30.000€
30.000€ 3.000€/Año
3.000€/Año
• Seudonimización y cifrado
• Confidencialidad, integridad, disponibilidad y resiliencia
permanente de los sistemas y servicios de tratamientos
• Rapidez de restauración de disponibilidad y acceso a datos
• Proceso de verificación, evaluación y valoración regular de la
eficacia (del sistema de gestión)
Otros medios:
- Otros sellos
- Auditorías externas
- Contratación de servicios acreditados
- Evidencias de cumplimiento adecuadamente recogidas
y custodiadas
UNE 71505:2013
Sistema de gestión de evidencias electrónicas
Objetivos:
Evaluación de Impacto
Evaluación de Impacto?
Tratamiento que suponga un alto riesgo para la vulneración de
derechos y libertades de los interesados.
En particular:
Contenido mínimo:
ART. 35 RGPD
- Descripción sistemática de las
operaciones del tratamiento
- Descripción de los fines
- Evaluación de la necesidad y
proporcionalidad de las operaciones con
respecto de la finalidad
- Evaluación de los riesgos
- Medidas previstas
Otros estándares de
Seguridad
ISO 27000
No será de aplicación a las Administraciones Públicas en las actividades que desarrollen en régimen de
derecho privado
Contenido
• Anexo I: Criterios de valoración del nivel de seguridad
• Anexo II: Medidas de Seguridad
• Anexo III: Auditoría de Seguridad
Alcance
• Administración General del Estado
• Administraciones de las Comunidades Autónomas
• Entidades que integran la Administración Local
• Entidades de derecho público vinculadas o dependientes de las
AAPP
• Excluidos - Sistemas que manejan información clasificada
Responsabilidad
Responsabilidades derivadas del incumplimiento del ENS - las que correspondan a cada
caso concreto, según dispuesto en la Ley 30/1992, de 26 de noviembre, de Régimen
Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común,
sustituida por la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de
las Administraciones Públicas a partir del 2 de octubre de 2016
LOPD / RLOPD