Disposiciones generales, principios, transferencias internacionales de datos en nuevo RGPD

“Dis

posi

cion

es g

ener

ales

, prin

cipi

os

tr

ansf

eren

cias

inte

rnac

iona

les

de d

atos

en

nu

evo

RGP

Jorn

ada

Adig

itM

adrid

, 14

de m

arzo

de

20

Rafael García GozaloJefe del Departamento Internacional

AEPD

2Agencia Española de Protección de Datos

Armonización

El Reglamento 2016/679 sustituirá a la Directiva 95/46 • Publicado 4 de mayo 2016• Entrada en vigor a los 20 días de publicación• 2 años hasta inicio de aplicación

Reglamento implica una máxima armonización• Aplicación directa, sin necesidad de trasposición• Desplaza normas nacionales en materias que

regula• Regulación de aplicación o desarrollo sólo posible

cuando se prevea expresamente


Ámbito material de aplicaciónArtículo 2“ 1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2. El presente Reglamento no se aplica al tratamiento de datos personales:a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Uniónb) por parte de las instituciones, órganos u organismos de la Uniónc) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del TUEd) por parte de una persona física sin interés lucrativo en el ejercicio de actividades exclusivamente personales o domésticase) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales o de protección y prevención frente a las amenazas a la seguridad pública.”


Ámbito territorial de aplicación

Artículo 3“1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado del tratamiento en la Unión.

2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere un pago

b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión”


Principios

Principios se mantienen similares a Directiva, con refuerzo en algunos matices

• Licitud, lealtad y transparencia • Limitación de finalidad• Minimización de datos• Exactitud • Limitación del plazo de conservación• Integridad y confidencialidad• Responsabilidad proactiva


LegitimaciónArt. 6.1

a) consentimiento para el tratamiento de sus datos personales para uno o más fines específicos

b) ejecución de un contrato en el que el interesado es parte o para la aplicación, a petición de éste, de medidas precontractuales

c) cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento

d) intereses vitales del interesado o de otra persona física

e) cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los interés o los derechos y libertades fundamentales del interesado que requieren la protección de los datos personales, en particular, cuando el interesado sea un niño. Ello no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones


Legitimación

• Se mantiene el principio de limitación de finalidad

• No hay definición de finalidades compatibles

• Hay criterios para identificar finalidades no compatibles cuando tratamiento no esté basado en consentimiento o excepciones art. 23: • Relación con fines originales• Contexto• Naturaleza de los datos • Consecuencias • Garantías adecuadas

• Finalidades de archivo en interés público, investigación científica o histórica y fines estadísticos siempre compatibles


Control por los interesados

• Consentimiento • Libre, específico, informado e ”inequívoco” A través de

declaraciones o “claras acciones afirmativas”

• Salvaguardas en articulado y considerandos• Situaciones de desequilibrio claro entre interesado y

responsable• Consentimiento conjunto necesario para varias operaciones• Tratamientos vinculados a ejecución de contrato, incluida

prestación de servicio, cuando tratamiento no es necesario para esa ejecución o prestación

• Consentimiento de menores con autorización 16 años, pudiendo EEMM reducir hasta 13


Datos especialmente protegidos

• Reglamento mantiene enfoque de la Directiva• Lista cerrada de datos “sensibles”• Prohibición de tratamiento salvo

• Consentimiento explícito• Listado de excepciones

• Se requiere base legal para tratar datos en excepciones

• En la lista se incluyen dos nuevos tipos de datos • Genéticos (diferenciados de “datos de salud”)• Datos biométricos dirigidos a identificar unívocamente a

una persona física

• Se prevé expresamente que el registro completo de antecedentes sólo pueda mantenerse bajo control de poderes públicos


Transferencias Internaciones de Datos

Se mantiene aproximación europea clásica TID sólo posibles si:

•Se cumplen disposiciones de RGPD y•Hay nivel de protección adecuado, o•Se ofrecen garantías suficientes, o •Concurre una causa excepcional


Transferencias Internaciones de Datos

Principales novedades

• Exportador puede ser Responsable y Encargado

• Transferencias bajo responsabilidad de exportador

• Se incluyen por primera vez las Normas Corporativas Vinculantes (BCR)

• Se regulan TID por sentencia o disposición administrativa


Nivel adecuado de protección

• Declara la COM (con participación de CEPD)• Puede afectar a país, territorio, sector de tratamiento u

Organización Internacional • Tiene en cuenta normativa, acuerdos internacionales,

existencia de Autoridad Independiente y posibilidades de reacción para afectados

• Decisiones incluirán revisión, al menos cada 4 años• Obligación para la COM de monitorizar situación en

países adecuados• Decisiones vigentes seguirán en vigor hasta que sean

modificadas, sustituidas o derogadas por COM


Instrumentos de garantías

Sin necesidad de autorización previa

• Instrumentos jurídicamente vinculantes y ejecutables entre autoridades u organismos públicos

• BCR (de responsables y de encargados) • Cláusulas contractuales estándar aprobadas por COM• Cláusulas contractuales estándar aprobadas por una APD

nacional y aceptadas por la COM• Códigos de Conducta y Esquemas de Certificación, que

incluyan compromisos vinculantes y ejecutables del responsable o encargado en el tercer país para aplicar las salvaguardas apropiadas, incluidos los derechos del interesado


Instrumentos de garantías

• Con autorización previa

• Cláusulas “ad hoc” autorizadas por APD nacional• TID con garantías que no se proporcionen en

instrumento jurídicamente vinculante (MoU)

• Todos estos instrumentos han de contener derechos exigibles y acciones legales efectivas para los interesados

• Decisiones de APD tomadas sobre Directiva 95/46 siguen siendo válidas hasta que las APD las modifiquen, sustituyan o deroguen


BCR

• Han de ser jurídicamente vinculantes y deben aplicarse y ser cumplidas por todos los miembros del grupo empresarial o unión de empresas

• Han de conferir expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales,

• Han de incluir contenidos indicados no exhaustivamente en RGPD • TI o conjuntos de TI incluidas, tipos de tratamientos, finalidades,

interesados afectados…• Aplicación de los principios generales en materia de protección de

datos, incluidos bases legales, calidad, periodos de retención…• Medidas de seguridad• Derechos de los interesados y medios para ejercerlos• Derecho a presentar una reclamación ante la autoridad de control

competente y ante los tribunales competentes de los Estados miembros y a obtener una reparación

• Funciones de los DPD• Procedimientos de reclamación• Mecanismos internos de supervisión…


Excepciones

• Clásicas Consentimiento, interés público legalmente reconocido, relación contractual, registros…

• Novedad (Art. 49.1.Segundo párrafo) • Excepción cuando no sea aplicable ninguna otra opción • Transferencias basadas en interés legítimo imperioso del

responsable • no repetitivas y que afecten a un número limitado de

interesados• Necesidad de ponderar derechos e intereses, evaluar

riesgos y aportar garantías • Necesidad de documentar evaluación y garantías• Necesidad de informar a interesados y (¿previamente?) a

APD


TID no autorizadas por Derecho UE

• Disposición aplicable a •Sentencias judiciales o decisiones

administrativas de un tercer país•Que exijan a responsable o encargado que

transfieran o comuniquen datos

• Sólo será ejecutable•Si se basa en un acuerdo internacional •Sin perjuicio de otros motivos para la

transferencia según el RGPD


Excepciones específicas a TID

Derecho de la Unión o de los Estados miembros podrá establecer límites a TI

•Respecto a categorías específicas de datos

•Por razones importantes de interés público

•Con comunicación a la COM


¡Gracias por su atención!

Law

Disposiciones generales, principios, transferencias internacionales de datos en nuevo RGPD