Nueva LOPD-RGPD en las Entidades Locales. ENS...

©Renato Aquilino Pujol - 2017

Nueva LOPD-RGPD en lasEntidades Locales.

ENS como referencia enSeguridad. Alicante, 12 de diciembre de 2017


Contexto normativo del RGPD

DIPALC – RGPD - ENS

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abrilde 2016, relativo a la protección de las personas físicas en lo que respecta altratamiento de sus datos personales y a la libre circulación de estos datos.




Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abrilde 2016, relativo a la protección de las personas físicas en lo que respecta altratamiento de sus datos personales y a la libre circulación de estos datos.

Nueva Ley Orgánica de Protección de Datos de Carácter Personal (LOPD-RE)

Proyecto aprobado en CM de 10/11/2017 Pasa a trámite parlamentario Entrada en vigor el 25 de mayo de 2018




Nueva Ley Orgánica de Protección de Datos de Carácter Personal (LOPD-RGPD)

Deroga la legislación actual, con excepciones.

Infracciones penales, excepciones derechos ARCO


Fundamentos del RGPD

• DEFINICIONES BÁSICAS. A04 RGPD.

DATOS PERSONALES

Toda información sobre una persona física identificada o identificable («el interesado»); seconsiderará persona física identificable toda persona cuya identidad pueda determinarse, directao indirectamente…..

TRATAMIENTO

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos dedatos personales, ya sea por procedimientos automatizados o no…..

FICHERO

Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados,ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.




• DEFINICIONES BÁSICAS. A04 RGPD. ELABORACIÓN DE PERFILES

Toda forma de tratamiento automatizado de datos personales consistente en utilizar datospersonales para evaluar determinados aspectos personales de una persona física, en particularpara analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud,preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dichapersona física.

CONSENTIMIENTO DEL INTERESADO

Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesadoacepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datospersonales que le conciernen.


CONSENTIMIENTO EXPLÍCITO PARA UNA AMPLIA CASUÍSTICA



• DEFINICIONES BÁSICAS. A04 RGPD.

RESPONSABLE DE TRATAMIENTO o “RESPONSABLE”

La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto conotros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estadosmiembros determina los fines y medios del tratamiento, el responsable del tratamiento o loscriterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de losEstados miembros.

ENCARGADO DE TRATAMIENTO o “ENCARGADO”

La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datospersonales por cuenta del responsable del tratamiento.


©Renato Aquilino Pujol - 2017 DIPALC - RGPD - ENS8


Adiós, ficherosNotificaciones a AEPD

Bienvenidos, tratamientosRegistro de tratamientos


• Ejemplos de tratamientos de datos en Administración Local.

9

Agencia Desarrollo LocalAgriculturaAguas / BasurasAlcaldíaArchivo MunicipalBibliotecaCementerioCenso animales peligrosos / compañíaCentro / Residencia de MayoresComercio / MercadosConservatorioCulturaDeclaración de bienes

DeportesEducaciónEscuelas municipalesEspacio PúblicoFacturación ElectrónicaFiestas / EventosGabinete PsicopedagógicoGestión del Personal / RRHHGestión del TerritorioGestión Económico-FinancieraGestión TributariaInmigraciónIntervención

JuventudMatadero municipalMedio AmbienteMovilidad / Transporte públicoMuseosNormalización lingüísticaOcupación vía públicaOMACOMICPabellón polideportivoParejas de HechoParticipación CiudadanaPatrimonio MunicipalPerfil del Contratante

Novedades más importantes del RGPD

DIPALC - RGPD - ENS


• Ejemplos de tratamientos de datos en Administración Local.

10

Piscina municipalPolicía Local + Grua MunicipalProtección CivilRecaudaciónReciclaje – ResiduosRegistro ElectrónicoRegistro PresencialSalas Municipales (Teatro, …)Salud PúblicaSecretaríaSede ElectrónicaServicios Sociales

TesoreríaTráficoTurismoUrbanismoVadosVentanilla únicaVideovigilanciaViolencia de géneroVoluntariado


DIPALC - RGPD - ENS

Agrupaciones en SERVICIOS +

INFORMACIONES MUNICIPALES

ENS


• Tratamientos – Estrategias de identificación.

1. Ficheros declarados en la AEPD + Finalidades.

• La Agencia Española de Protección de Datos pone a disposición de losresponsables de ficheros y de sus representantes un formularionormalizado a través del cual se puede obtener una copia de la Inscripciónde sus Ficheros.

https://sedeagpd.gob.es/sede-electronica-web/vistas/formCopiaContenido/copiaContenido.jsf

2. Servicios municipales.

3. Trámites.

11


DIPALC - RGPD - ENS




1. Ficheros declarados en la AEPD + Finalidades.


12


DIPALC - RGPD - ENS

Identificación de tratamientos




1. Servicios municipales.

2. Trámites.

13


DIPALC - RGPD - ENS

Identificación de tratamientos


• Tratamientos – Información para inventario. Responsables.

1. Nombre y los datos de contacto del responsable y, en su caso, delcorresponsable.

2. Idem. del representante del responsable (si lo hubiere).

3. Idem. del Delegado de Protección de Datos (DPD).

4. Fines del tratamiento y bases jurídicas que lo legitiman.

5. Descripción de las categorías de interesados y de las categorías de datospersonales.

6. Categorías de destinatarios a quienes se comunicaron o comunicarán losdatos personales, incluidos los destinatarios en terceros países uorganizaciones internacionales.

14


DIPALC - RGPD - ENS


• Tratamientos – Información para inventario. Responsables.

7. En su caso, las transferencias de datos personales a un tercer país o unaorganización internacional, incluida la identificación de dicho tercer país uorganización internacional y, si procede, la documentación de garantíasadecuadas.

8. Cuando sea posible, los plazos previstos para la supresión de las diferentescategorías de datos.

9. Cuando sea posible, una descripción general de las medidas técnicas yorganizativas de seguridad.

15


DIPALC - RGPD - ENS


• Tratamientos – Información para inventario. Encargados.1. Cada encargado y, en su caso, el representante del encargado, llevará un

registro de todas las categorías de actividades de tratamiento efectuadaspor cuenta de un responsable que contenga:

a) Nombre y los datos de contacto del encargado o encargados y de cada responsablepor cuenta del cual actúe el encargado, y, en su caso, del representante delresponsable o del encargado, y del delegado de protección de datos.

b) Categorías de tratamientos efectuados por cuenta de cada responsable.

c) En su caso, las transferencias de datos personales a un tercer país u organizacióninternacional, incluida la identificación de dicho tercer país u organizacióninternacional con la documentación de garantías adecuadas.

d) Cuando sea posible, una descripción general de las medidas técnicas yorganizativas de seguridad.

16


DIPALC - RGPD - ENS


• Tratamientos – Información para inventario. Encargados.

– Los registros a que se refieren los apartados de RESPONSABLE yENCARGADO constarán por escrito, inclusive en formatoelectrónico.

– El responsable o el encargado del tratamiento y, en su caso, elrepresentante del responsable o del encargado pondrán elregistro a disposición de la autoridad de control que lo solicite.

17


DIPALC - RGPD - ENS

AEPDAPDCAT

AVPD


• Tratamientos - Categorías de datos.

– Desaparece la clasificación BÁSICO, MEDIO y ALTO de los datos.

– Se establecen “categorías especiales de datos”.

• Origen étnico o racial.

• Opiniones políticas.

• Convicciones religiosas o filosóficas

• Afiliación sindical.

• Tratamiento de datos genéticos.

• Datos biométricos dirigidos a identificar de manera unívoca a una persona física.

• Datos relativos a la salud

• Datos relativos a la vida sexual o las orientación sexuales de una persona física.

18


DIPALC - RGPD - ENS

CONDICIONES ESPECÍFICAS DE TRATAMIENTO


• Principio de responsabilidad proactiva.

– El responsable del tratamiento debe aplicar lasmedidas técnicas y organizativas apropiadas afin de garantizar y poder demostrar que eltratamiento es conforme con el Reglamento.

– Esto implica conocer:

• Qué datos tratan

• Con qué finalidades lo hacen

• Qué tipo de operaciones de tratamiento llevan a cabo

19


DIPALC - RGPD - ENS


• Principio de responsabilidad proactiva.

– A partir de este conocimiento deben determinar de formaexplícita la forma en que aplicarán las medidas que el RGPDprevé, asegurándose de que esas medidas son lasadecuadas para cumplir con el mismo y de que puedendemostrarlo ante los interesados y ante las autoridades desupervisión.

– Este principio exige una actitud consciente, diligente yproactiva por parte de las organizaciones frente a todos lostratamientos de datos personales que lleven a cabo.

20


DIPALC - RGPD - ENS


• Análisis de riesgos para cada tratamiento de datospersonales.

– Las medidas dirigidas a garantizar el cumplimiento delRGPD deben tener en cuenta la naturaleza, el ámbito, elcontexto y los fines del tratamiento así como el riesgo para

los derechos y libertades de las personas.

– En determinados casos, debe realizarse, además delanálisis de riesgos inicial, un EIPD (Estudio de Impactosobre Protección de Datos).

21


DIPALC - RGPD - ENS


• Análisis de riesgos para cada tratamiento de datospersonales.

– El inventario de tratamientos debe contener una primeraevaluación de riesgos para determinar los casos en que es

necesario hacer una EIPD.

22


DIPALC - RGPD - ENS

Inventario de tratamientos

Evaluación de riesgos

EIPD

EIPD (si procede) ANTES DE INICIAR EL TRATAMIENTO, para tratamientos nuevos


• ¿ Cuándo es necesario hacer una EIPD ?

1. Cuando sea probable que un tipo de tratamiento, en particular si utilizanuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañeun alto riesgo para los derechos y libertades de las personas físicas, elresponsable del tratamiento realizará, antes del tratamiento, unaevaluación del impacto de las operaciones de tratamiento en laprotección de datos personales. Una única evaluación podrá abordaruna serie de operaciones de tratamiento similares que entrañen altos

riesgos similares.

23


DIPALC - RGPD - ENS

Derechos y libertades NO SÓLO SE REFIEREN A CONFIDENCIALIDAD - INTIMIDAD


• ¿ Cuándo es necesario hacer una EIPD ?

La evaluación de impacto se requerirá en particular en caso de:

Evaluación o puntuación (p.e. procesos selectivos, formación evaluable, etc.).

Toma de decisiones automatizada con efecto jurídico significativo o similar.

Observación sistemática (p.e. videovigilancia).

Datos sensibles o datos muy personales (p.e. datos financieros).

Tratamiento de datos a gran escala (p.e. Big Data).

Asociación o combinación de conjuntos de datos (p.e. Big Data).

Datos relativos a interesados vulnerables (p.e. niños, solicitantes de PEI, etc).

Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas.

Cuando el propio tratamiento «impida a los interesados ejercer un derecho outilizar un servicio o ejecutar un contrato» (p.e. BBDD de “morosos”).

24


DIPALC - RGPD - ENS


Fundamentos de LOPD-RG

• EIPD >> Referenciales estándar (ISO 31000, MAGERIT).


Gestión de la Seguridad basada en los riesgos. A06.



• Análisis y Gestión de Riesgos.


Inventario de activos.Valoración.Grafo de dependencias.Gestión de Amenazas.Gestión de Vulnerabilidades.Análisis Amenazas – Vulnerabilidades.Riesgos acumulados.Riesgos repercutidos.Impactos acumulados.Impactos repercutidos.




ANÁLISIS DE RIESGOS. Esquema base.


• FACTORES.

28


DIPALC - RGPD - ENS


• Estrategias. Medidas para el tratamiento de riesgos.

29DIPALC - RGPD - ENS

¿ Riesgo residual aceptable ?


CONSULTA PREVIA A AEPD


• EIPD. Capítulo Seguridad.


SEGURIDADRiesgos Medidas

Inexistencia del responsable de seguridad o deficiente definición de sus funciones y competencias

• Nombramiento del responsable de seguridad y establecimientopor parte de la dirección de sus funciones, competencias yatribuciones en el desarrollo y gestión de los proyectos

• Incluir dentro de los procedimientos de diseño y desarrollo denuevos productos y servicios la incorporación del responsablede seguridad en las fases iniciales de los mismos

Deficiencias organizativas en la gestión del control de accesos• Políticas estrictas de need to know (necesidad de conocer o

acceder a la información) para la concesión de accesos a lainformación y de clean desks (escritorios limpios) para minimizarlas posibilidades de acceso no autorizado a los datos personales

• Establecer procedimientos que garanticen la revocación depermisos para acceder a datos personales cuando ya no seannecesarios (abandono de la organización, traslado, cambio defunciones, etc.)

• Inventariar los recursos que contengan datos personalesaccesibles a través de redes de telecomunicaciones

Fundamentos del RGPDFundamentos del RGPD


• EIPD. Capítulo Seguridad. Roles en el ENS.




• EIPD. Capítulo Seguridad. Controles en el ENS.




• EIPD. Capítulo Seguridad. ENS. op.acc.4…….

Los derechos de acceso de cada usuario, se limitarán atendiendo a lossiguientes principios:

a) Mínimo privilegio. Los privilegios de cada usuario se reducirán al mínimoestrictamente necesario para cumplir sus obligaciones. De esta forma se acotan losdaños que pudiera causar una entidad, de forma accidental o intencionada.

b) Necesidad de conocer. Los privilegios se limitarán de forma que los usuarios sóloaccederán al conocimiento de aquella información requerida para cumplir susobligaciones.

c) Capacidad de autorizar. Sólo y exclusivamente el personal con competencia paraello, podrá conceder, alterar o anular la autorización de acceso a los recursos,conforme a los criterios establecidos por su responsable.




• RGPD. Seguridad del tratamiento. A32.

1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y lanaturaleza, el alcance, el contexto y los fines del tratamiento, así comoriesgos de probabilidad y gravedad variables para los derechos y libertadesde las personas físicas, el responsable y el encargado del tratamientoaplicarán medidas técnicas y organizativas apropiadas para garantizar unnivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales.

b) la capacidad de garantizar la Confidencialidad, Integridad,Disponibilidad y Resiliencia permanentes de los sistemas y serviciosde tratamiento.





c) la capacidad de restaurar la disponibilidad y el acceso a los datospersonales de forma rápida en caso de incidente físico o técnico.

d) un proceso de verificación, evaluación y valoración regulares de la eficaciade las medidas técnicas y organizativas para garantizar la seguridad deltratamiento >> AUDITORÍA

2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente encuenta los riesgos que presente el tratamiento de datos, en particular comoconsecuencia de la destrucción, pérdida o alteración accidental o ilícita dedatos personales transmitidos, conservados o tratados de otra forma, o lacomunicación o acceso no autorizados a dichos datos.





3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o aun mecanismo de certificación aprobado a tenor del artículo 42 podráservir de elemento para demostrar el cumplimiento de los requisitosestablecidos en el apartado 1 del presente artículo.

37


DIPALC - RGPD - ENS


• Proyecto de LOPD. CM 10/11/2017.

– Disposición adicional primera. Medidas de seguridad en el ámbitodel sector público.

El Esquema Nacional de Seguridad incluirá las medidas quedeban implantarse en caso de tratamiento de datos decarácter personal, para evitar su pérdida, alteración o accesono autorizado, adaptando los criterios de determinación delriesgo en el tratamiento de los datos a lo establecido en elartículo 32 del Reglamento (UE) 2016/679.

38


DIPALC - RGPD - ENS


• Bases jurídicas de legitimación de los tratamientos.

1) Consentimiento.

2) Relación contractual.

3) Intereses vitales del interesado o de otras personas.

4) Obligación legal para el responsable.

5) Interés público o ejercicio de poderes públicos.

6) Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.

39


DIPALC - RGPD - ENS

Identificación

Justificación


• Legitimación basada en consentimiento.

1) De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE)2016/679, se entiende por consentimiento del afectado toda manifestaciónde voluntad libre, específica, informada e inequívoca por la que éste acepta,ya sea mediante una declaración o una clara acción afirmativa, el tratamientode datos personales que le conciernen.

2) Cuando se pretenda fundar el tratamiento de los datos en el consentimientodel afectado para una pluralidad de finalidades será preciso que conste demanera específica e inequívoca que dicho consentimiento se otorga paracada una de ellas.

3) No podrá supeditarse la ejecución del contrato a que el afectado consienta eltratamiento de los datos personales para finalidades que no guarden relacióncon el mantenimiento, desarrollo o control de la relación contractual.

40


DIPALC - RGPD - ENS

Fin del consentimiento

tácito o por omisión


• Legitimación basada en consentimiento.

41


DIPALC - RGPD - ENS

IMPLÍCITO

Siempre y cuando se puedaacreditar una acción positiva delinteresado que pueda interpretarsecomo “consentimiento”

NO RECOMENDABLE

EXPLÍCITO

Categorías especiales de datos Decisiones individuales

automatizadas, perfiles. Transferencias internacionales

RECOMENDABLE EN TODOS LOS CASOS DE LEGITIMACIÓN POR

CONSENTIMIENTO


• Legitimación basada en obligación legal.

1) El tratamiento de datos de carácter personal sólo podrá considerarsefundado en el cumplimiento de una obligación legal exigible alresponsable, en los términos previstos en el artículo 6.1 c) delReglamento (UE) 2016/679, cuando así lo prevea una norma de Derechode la Unión Europea o una ley, que podrá determinar las condicionesgenerales del tratamiento y los tipos de datos objeto del mismo asícomo las cesiones que procedan como consecuencia del cumplimientode la obligación legal. La ley podrá igualmente imponer condicionesespeciales al tratamiento, tales como la adopción de medidasadicionales de seguridad u otras establecidas en el Capítulo IV delReglamento (UE) 2016/679.

42


DIPALC - RGPD - ENS


• Legitimación basada en interés público o poderespúblicos.

2) El tratamiento de datos de carácter personal sólo podrá considerarsefundado en el cumplimiento de una misión realizada en interés públicoo en el ejercicio de poderes públicos conferidos al responsable, en lostérminos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679,cuando derive de una competencia atribuida por la ley.

43


DIPALC - RGPD - ENS

SÓLO MARCOS NORMATIVOS CON RANGO DE LEY


• Deber de Información. Clausulado ampliado respecto aLOPD.– Datos de contacto del Delegado de Protección de Datos, en su

caso.

– Base jurídica de legitimación para el tratamiento.

– Plazo o los criterios de conservación de la información.

– Existencia de decisiones automatizadas o elaboración de perfiles.

– Previsión de transferencias a Terceros Países.

– El derecho a presentar una reclamación ante las Autoridades deControl.

44


DIPALC - RGPD - ENS


• Deber de Información. Estrategias por capas.– CAPA 1. Información básica.

• Claramente visible y recomendable en el mismo lugar donde haya demanifestarse la conformidad con lo solicitado, formando parte de lacopia que quede a disposición del interesado.

• Si, por restricciones del diseño, no fuese factible, debe incorporarseuna nota o llamada en el campo de visión de la firma, informandosobre dónde se sitúa la tabla con la información sobre protección dedatos (reverso de la hoja, URL, documento adjunto, etc.).

45


DIPALC - RGPD - ENS


• Deber de Información. Estrategia por capas.– CAPA 1. Información básica.

46


DIPALC - RGPD - ENS

Cláusula de Protección de Datos

Responsable Excmo. Ayuntamiento de Villarriba

Finalidad Gestión de las solicitudes de plaza en las escuelas infantiles municipales

Legitimación Consentimiento del interesado

Destinatarios No se cederán datos a terceros, salvo obligación legal

DerechosAcceder, rectificar y suprimir los datos, así como otros derechos, especificados en la información adicional.

Información adicional Situada en el reverso de la presente solicitud.

Con la marca de esta casilla expreso mi consentimiento positivo, libre, inequívoco, informado y explícito para el tratamiento de mis datos personales en los términos indicados en la Cláusula de Protección de Datos.


• Deber de Información. Estrategia por capas.– CAPA 2. Información adicional.

• Ampliaciones de cada uno de los epígrafes de la CAPA 1.

47


DIPALC - RGPD - ENS

Responsable del Tratamiento

Identidad: Excmo. Ayuntamiento de Villarriba - CIF: P0000000X

Dir. postal: Plaza del Ayuntamiento, 1

Código Postal: 03919 – Villarriba

Teléfono: 910000091Correo electrónico: [email protected]

Delegado de Protección de Datos:

Contacto DPD.: https://www.villlarriba.es/protecciondatos/dpd/

https://www.warrenbrandeis.com/protecciondatos/dpd/




48


DIPALC - RGPD - ENS

Ej. FINALIDADEl Excmo. Ayuntamiento de Villarriba trata sus datos personales con el fin de atender y tramitar susolicitud de plaza en las escuelas infantiles municipales, cuyas bases están reguladas en<<NORMATIVA>>.En el proceso de baremación se podrán establecer perfiles socio-económicos de la unidad familiar,pero no se tomarán decisiones automatizadas basadas en dichos perfiles.

Ej. CONSERVACIÓN DE DATOSLos datos personales proporcionados se conservarán mientras sean necesarios en base a lasregulaciones sobre procedimiento administrativo, normativa específica de la tramitación u otrasregulaciones aplicables.




49


DIPALC - RGPD - ENS

Ej. DERECHOSDerecho a solicitar el acceso a sus datos personales como interesado,

Derecho a solicitar su rectificación o supresión,

Derecho a solicitar la limitación de su tratamiento,

Derecho a oponerse al tratamiento,

Derecho a la portabilidad de los datos.

Estos derechos podrán ser ejercidos ante el Excmo. Ayuntamiento de Villarriba remitiendo una solicitud alrespecto, por escrito, mediante carta dirigida a <<DIRECCIÓN>> o correo electrónico a [email protected]. En todoslos casos debe proporcionar una acreditación de su identidad (DNI, NIE, Pasaporte) o su autorización para que seaconsultada por vía telemática desde este Ayuntamiento.

Ver formulario ejemplo RRHH

mailto:[email protected]


• Delegado de Protección de Datos.– Perfil jurídico + técnico.

– Interno o externo.

– En AAPP debería plantearse como “DPD-Oficina de Cumplimiento”. Una sola persona es muy difícil que pueda abarcar todas las tareas, mucho menos si las debe compaginar con otras.

– Posible DPD grupal y/o supramunicipal.

– Amplias potestades.

– No asimilable a Responsable de Seguridad ENS.

50


DIPALC - RGPD - ENS


• Delegado de Protección de Datos.– Perfil jurídico + técnico.

– Interno o externo.

– Dedicación completa o a tiempo parcial.

– En AAPP debería plantearse como “DPD-Oficina de Cumplimiento”. Una sola persona es muy difícil que pueda abarcar todas las tareas, mucho menos si las debe compaginar con otras.

– Posible DPD grupal y/o Supramunicipal.

– No asimilable a Responsable de Seguridad ENS.

51


DIPALC - RGPD - ENS


• Delegado de Protección de Datos. Funciones.

a) Informar y asesorar al responsable o al encargado del tratamiento y a losempleados que se ocupen del tratamiento de las obligaciones que les incumben envirtud del presente Reglamento y de otras disposiciones de protección de datos dela Unión o de los Estados miembros.

b) Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otrasdisposiciones de protección de datos de la Unión o de los Estados miembros y delas políticas del responsable o del encargado del tratamiento en materia deprotección de datos personales, incluida la asignación de responsabilidades, laconcienciación y formación del personal que participa en las operaciones detratamiento, y las auditorías correspondientes.

c) Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impactorelativa a la protección de datos y supervisar su aplicación de conformidad con elartículo 35.

52


DIPALC - RGPD - ENS


• Delegado de Protección de Datos.

d) Cooperar con la autoridad de control.

e) Actuar como punto de contacto de la autoridad de control para cuestionesrelativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, yrealizar consultas, en su caso, sobre cualquier otro asunto.

• El delegado de protección de datos desempeñará sus funcionesprestando la debida atención a los riesgos asociados a las operaciones detratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto yfines del tratamiento.

53


DIPALC - RGPD - ENS


• Comunicaciones de violaciones de seguridad.

– Violación de la seguridad de los datos personales.

• Toda violación de la seguridad que ocasione la destrucción, pérdidao alteración accidental o ilícita de datos personales transmitidos,conservados o tratados de otra forma, o la comunicación o accesono autorizados a dichos datos.

– Comunicaciones.

• A las autoridades. Antes de 72 horas desde la violación.– Naturaleza de la violación

– Categorías de datos y de interesados afectados

– Medidas adoptadas por el responsable para solventar la quiebra

– Si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados

54


DIPALC - RGPD - ENS


• Comunicaciones de violaciones de seguridad.

• A los interesados.

– En los casos en que sea probable que la violación de seguridadentrañe un alto riesgo para los derechos o libertades de losinteresados, la notificación a la autoridad de supervisión deberácomplementarse con una notificación dirigida a estos últimos.

– El objetivo de la notificación a los afectados es permitir quepuedan tomar medidas para protegerse de sus consecuencias.

– Sin dilación.

– Exceptuada si los riesgos incurridos no son altos o se han tomadomedidas para minimizar el impacto.

55


DIPALC - RGPD - ENS


• Privacidad por diseño y por defecto.– Pensar en términos de protección de datos desde el mismo momento

en que se diseña un tratamiento, un producto o servicio que implica eltratamiento de datos personales.

– Desde el inicio, los responsables deben tomar medidas organizativas ytécnicas para integrar en los tratamientos garantías que permitanaplicar de forma efectiva los principios del RGPD.

– Los responsables deben adoptar medidas que garanticen que solo setraten los datos necesarios en lo relativo a la cantidad de datostratados, la extensión del tratamiento, los periodos de conservación yla accesibilidad a los datos.

56


DIPALC - RGPD - ENS


• Portabilidad de datos.

– Ampliación del derecho de acceso.

– El interesado tendrá derecho a recibir los datos personalesque le incumban, que haya facilitado a un responsable deltratamiento, en un formato estructurado, de uso común ylectura mecánica, y a transmitirlos a otro responsable deltratamiento sin que lo impida el responsable al que se loshubiera facilitado, cuando:

a) El tratamiento esté basado en el consentimiento o en un contrato.

b) El tratamiento se efectúe por medios automatizados.

57


DIPALC - RGPD - ENS


• Encargados de tratamiento.

– Los responsables habrán de elegir únicamente encargados queofrezcan garantías suficientes para aplicar medidas técnicas yorganizativas apropiadas, de manera que el tratamiento seaconforme con los requisitos del Reglamento. Esta previsión seextiende también a los encargados cuando subcontratenoperaciones de tratamiento con otros subencargados.

– Para demostrar que los encargados o subencargados ofrecen lasgarantías exigidas por el RGPD, éstos podrán adherirse a códigos deconducta o certificarse dentro de los esquemas previstos por elRGPD.

58


DIPALC - RGPD - ENS

Responsabilidad proactiva


• Encargados de tratamiento.

– Las relaciones entre el responsable y el encargado debenformalizarse en un contrato o en un acto jurídico quevincule al encargado respecto al responsable.

– Se regula de forma minuciosa el contenido mínimo de los contratos de encargo.

59


DIPALC - RGPD - ENS

Responsabilidad proactiva


• Encargados de tratamiento. Contenido mínimo del Contrato.

– Objeto, duración, naturaleza y la finalidad del tratamientos.

– Tipo de datos personales y categorías de interesados.

– Obligación del encargado de tratar los datos personalesúnicamente siguiendo instrucciones documentadas delresponsable.

– Condiciones para que el responsable pueda dar su autorizaciónprevia, específica o general, a las subcontrataciones.

– Asistencia al responsable, siempre que sea posible, en laatención al ejercicio de derechos de los interesados.

60


DIPALC - RGPD - ENS


• Derechos ARCO.

– Con carácter general, los responsables deben facilitar a losinteresados el ejercicio de sus derechos, y losprocedimientos y las formas para ello deben ser visibles,accesibles y sencillos.

– Se requiere que los responsables posibiliten la presentación

de solicitudes por medios electrónicos, especialmentecuando el tratamiento se realiza por estos medios.

61


DIPALC - RGPD - ENS


• Derechos ARCO.

– Gratuitos salvo esfuerzos desproporcionados.

– Verificación de identidad.

– Colaboración con encargados.

– Plazo de respuesta: UN MES. Puede extenderse a DOSMESES por necesidades justificadas, comunicándolodentro del primer mes.

62


DIPALC - RGPD - ENS


• Derechos ARCO.

– Derecho de acceso. Copias de los datos. Portabilidad.

– Derecho al olvido. Manifestación de los derechos decancelación u oposición en el entorno online.

– Limitación de tratamiento.• El interesado ha ejercido los derechos de rectificación u oposición y el responsable está

en proceso de determinar si procede atender a la solicitud.

• El tratamiento es ilícito, lo que determinaría el borrado de los datos, pero el interesadose opone a ello.

• Los datos ya no son necesarios para el tratamiento, que también determinaría suborrado, pero el interesado solicita la limitación porque los necesita para laformulación, el ejercicio o la defensa de reclamaciones.

63


DIPALC - RGPD - ENS


• Transferencias internacionales. Los datos solo podránser comunicados fuera del Espacio Económico Europeo:

– A países, territorios o sectores específicos (el RGPD incluyetambién organizaciones internacionales) sobre los que laComisión haya adoptado una decisión de adecuaciónreconociendo que ofrecen un nivel de protección adecuado.

– Cuando se hayan ofrecido garantías adecuadas sobre laprotección que los datos recibirán en su destino.

– Cuando se aplique alguna de las excepciones que permitentransferir los datos sin garantías de protección adecuada porrazones de necesidad vinculadas al propio interés del titular delos datos o a intereses generales.

64


DIPALC - RGPD - ENS

EN EL RESTO DE CASOS,

AUTORIZACIÓN DE LA AEPD


• Transferencias internacionales. Cloud.

65


DIPALC - RGPD - ENS

Requerimientos contractuales sobre ubicación de datos y seguridad en almacenamiento y tráfico


Especificidades en LOPD-RG

• SECTOR PÚBLICO. Registros de personal.




• SECTOR PÚBLICO. Disposición adicional undécima. No incremento de gasto.

– La designación por los órganos y entidades que conforman el sectorpúblico estatal de un delegado de protección de datos, elestablecimiento de los registros de actividades de tratamiento a losque se refiere el artículo 31 de esta ley orgánica, así como lahabilitación a la que se refiere el artículo 51.2 de esta ley orgánica

no podrán suponer incremento de dotaciones, ni de retribuciones,ni de otros gastos de personal.




• NOTIFICACIONES DE INCIDENTES. CERTs, CSIRTs.



ENS

ENS. FASE I. PLAN DE ADECUACIÓN.


1. Política de seguridad.2. Información que se maneja, con su valoración. Anexo I ENS.3. Servicios que se prestan, con su valoración. Anexo I ENS.4. Datos de carácter personal5. Categoría del sistema6. Declaración de aplicabilidad de las medidas del Anexo II del ENS7. Análisis de riesgos8. Insuficiencias del sistema9. Plan de mejora de la seguridad, incluyendo plazos estimados de

ejecución y costes.10. Interconexión de sistemas.


ENS

ENS. CICLO DE VIDA.



ENS

ENS. CICLO CONTINUO PDCA.



LOPD-RG + ENS

OPTIMIZACIÓN DEL CUMPLIMIENTO. Hasta 25/05/2018.

– Formación personal del Ayuntamiento.

– Plan de Adecuación ENS.

– Auditoría LOPD-RDLOPD-RGPD.• Alineamiento con LOPD-RDLOPD, vigentes hasta 25 de mayo de 2018.

• Iniciativas de auditoría basadas en RGPD.

– Cumplimiento integral e integrado ENS + RGPD.

– Certificación ENS.

– Certificación LOPD-RG cuando se active el esquema.



LOPD-RG + ENS

OPTIMIZACIÓN DEL CUMPLIMIENTO. Después del 25/05/2018.

– Formación personal del Ayuntamiento.

– Plan de Adecuación ENS.

– Auditoría RGPD.

– Cumplimiento integral e integrado ENS + RGPD.

– Certificación ENS.

– Certificación LOPD-RG cuando se active el esquema.



LOPD-RG + ENS

CLAVES PARA UN CUMPLIMIENTO OPTIMIZADO.

– Proyecto corporativo.

– Soporte de los Órganos Superiores.

– Formación del personal.• Contexto normativo global (Ley 39/2015, Ley 40/2015, nueva LCSP,

etc.).

• LOPD-RG y ENS sobre contexto normativo global.

– Personal asignado a roles.

– Certificaciones.


LOPD-RG, ENS, ENI, eIDAS MARCOS NORMATIVOS QUE APORTAN SEGURIDAD JURÍDICA

Nueva LOPD-RGPD en las Entidades Locales. ENS...

Documents

Transcript of Nueva LOPD-RGPD en las Entidades Locales. ENS...