30 años
1987 - 2017ribas
CONSENTIMIENTO
EIPD - PIA
DPD - DPO
INTERÉS LEGÍTIMO
VIOLACIONES DE DATOS
OTRAS MATERIAS
PUNTOS CLAVEPrioridades a tener en cuenta
1
2
3
4
5
6
30 años
1987 - 2017ribas
Los resultados de este proyecto tendremos que reportarlos al Consejo de Administración debido a la cuantía del riesgo."
Cliente del despacho, 2017
20 M
4%
20 M
30 años
1987 - 2017ribas
Evolución del consentimientoEl consentimiento antes y después del 25/05/2018
30 años
1987 - 2017ribas
Evolución del consentimientoEl consentimiento antes y después del 25/05/2018
30 años
1987 - 2017ribas
Tratamiento en la nueva LOPDLas evaluaciones de impacto en el anteproyecto de LOPD
Infracción grave (10M)
Artículo 73.r
El tratamiento de datos de carácter personal sin haber llevado a cabo la evaluación del impacto de las
operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea
exigible.
30 años
1987 - 2017ribas
1. Organismo público
2. Observación a gran escala
3. Categorías especiales a granescala
DPO - DPDSupuestos en los que es obligatoria su designación
15 supuestos.
Prácticamente cualquier empresa que tenga una página web.
Limitación a los tratamientos a gran escala.
1. Volumen de interesados
2. Volumen de datos
3. Ámbito geográfico
Tres únicos supuestos 15 supuestos Tres únicos supuestos
30 años
1987 - 2017ribas
DPO - DPDCualificación
Cualificación del DPD
1. Conocimientos especializados del Derecho
2. Práctica en materia de protección de datos
3. Capacidad para desempeñar las funciones asignadas en el RGPD
4. Certificación voluntaria
30 años
1987 - 2017ribas
DPO - DPDCualificación
Certificación de la AEPD
1. Emitida por entidades de certificación como AENOR.
2. Previa superación de un examen
3. Cinco años de experiencia o 180 horas de formación (Escala de niveles de experiencia inferiores)
30 años
1987 - 2017ribas
DPO - DPDResponsabilidad
Responsabilidad del DPD
1. Obligación de denuncia interna al órgano de administración (Anteproyecto)
2. Posición similar a la del Compliance Officer
3. Diferencia: No puede ser despedido ni sancionado (RGPD y anteproyecto)
30 años
1987 - 2017ribas
INTERÉS LEGÍTIMOSupuestos
Datos de contacto
1. Personas físicas que presten servicios en una persona jurídica.
2. Datos imprescindibles para su localización profesional
3. Única finalidad de mantener relaciones de cualquier índole con la persona jurídica
30 años
1987 - 2017ribas
INTERÉS LEGÍTIMOTratamientos declarados lícitos por ley
Datos de empresarios individuales
1. Tratamiento referido a su condición de empresarios.
2. Tratamiento no dirigido a entablar una relación con los mismos como personas físicas.
30 años
1987 - 2017ribas
INTERÉS LEGÍTIMOTratamientos declarados lícitos por ley
Datos hechos manifiestamente públicos por el afectado
1. Fuentes de acceso público.
2. Redes sociales - No las menciona.
3. Deber de información - Dificultad para cumplirlo
4. Salvo en el caso de menores de edad y discapacitados con medidas de apoyo.
30 años
1987 - 2017ribas
INTERÉS LEGÍTIMOTratamientos declarados lícitos por ley
Videovigilancia
1. Finalidad de preservar la seguridad de personas, bienes e instalaciones.
2. Imágenes de la vía pública: sólo en la medida en que resulte imprescindible.
3. Extensión superior en el caso de bienes o instalaciones estratégicas e infraestructuras de transporte.
4. Supresión de los datos en el plazo de un mes.
5. Salvo para acreditar la comisión de actos contra la integridad de personas, bienes o instalaciones.
6. No será de aplicación la obligación de bloqueo.
7. Deber de información mediante dispositivo informativo + hojas a disposición de los afectados.
8. Tratamiento para funciones de control de trabajadores según artículo 20.3 ET, previa información.
30 años
1987 - 2017ribas
INTERÉS LEGÍTIMOTratamientos declarados lícitos por ley
Canales de denuncia
1. Posibilidad de presentar denuncias anónimas.
2. Información obligatoria de la existencia de estos canales.
3. Acceso limitado al personal de Compliance durante la fase de investigación.
4. Acceso limitado al personal de RRHH en el caso de medidas disciplinarias.
5. Medidas orientadas a preservar la confidencialidad de los datos.
6. Conservación de los datos durante el tiempo imprescindible para la investigación.
7. En tres meses: supresión o cambio de entorno para continuar la investigación. (Innecesario)
8. No será de aplicación la obligación de bloqueo.
30 años
1987 - 2017ribas
INTERÉS LEGÍTIMOTratamientos declarados lícitos por ley
Operaciones mercantiles
1. Modificación de la estructura societaria.
2. Aportación o transmisión de negocio o rama de actividad.
3. Tratamientos necesarios para el buen fin de la operación.
4. Y para garantizar la continuidad en la prestación de los servicios.
30 años
1987 - 2017ribas
CONFIRMACIÓN DE LA VIOLACIÓNDiferencia entre incidente y violación de la seguridad
=Security breach Data breach
30 años
1987 - 2017ribas
CONFIRMACIÓN DE LA VIOLACIÓNDiferencia entre incidente y violación de la seguridad
=Incidente de seguridad
Violación de la
seguridad de
los datos personales
30 años
1987 - 2017ribas
TIPOS DE VIOLACIONES DE SEGURIDADComprobación del tipo de violación de seguridad que se ha producido
VALORACIÓN DEL TIPO DE VIOLACIÓN DE LA SEGURIDAD
VIOLACIÓN DE LA CONFIDENCIALIDAD Comunicación o acceso no autorizados a los datos
VIOLACIÓN DE LA DISPONIBILIDAD Pérdida de acceso o destrucción de los datos
VIOLACIÓN DE LA INTEGRIDAD Alteración no autorizada de los datos
30 años
1987 - 2017ribas
Prioridad 1: prevenir infracciones muy gravesInfracciones más relevantes con sanciones de hasta 20 millones
Vulneración de los principios básicos
Tratamiento ilícito
Consentimiento inválido
Finalidad distinta
Tratamiento inadecuado de datos sensibles
Omisión del deber de información
Vulneración del deber de confidencialidad
Respuesta inadecuada al ejercicio de derechos
Transferencia a un tercer país sin garantías
Incumplimiento de la obligación de bloqueo
30 años
1987 - 2017ribas
Prioridad 2: prevenir infracciones gravesInfracciones más relevantes con sanciones de hasta 10 millones
Tratamiento inadecuado datos de menores
Medidas técnicas y organizativas inadecuadas
Contratación de ET sin garantías suficientes
Subcontratación de ET sin autorización
Inexistencia de registro de tratamientos
No realización de la evaluación del impacto
No notificación de una violación de datos
No designación de un DPO
Apoyo insuficiente al DPO
Otras infracciones graves
30 años
1987 - 2017ribas36 ©️ Ribas y Asociados 2010 - 2017
Prioridad 3: AccountabilityResponsabilidad proactiva y evidencias de cumplimiento