El nuevo reglamento de protección de datos. Principales novedades y aspectos prácticos

8a Jornada del Aula de Transparencia

Tipo:
Jornadas
Dónde:
Sala d'actes de l'AMB (Edifici A), C/62, núm 16-18, Zona Franca, 08040, Barcelona 
Cuándo:

Inscripción:
Inscriure's a l'activitat

La octava jornada del Aula de Transparencia abordará el nuevo reglamento de protección de datos, el cual entró en vigor el pasado 25 de mayo de 2018. A grandes rasgos, la norma comporta cambios significativos en la protección de datos de carácter personal , desde los derechos de las personas hasta las obligaciones de las personas y entidades que tratan datos de carácter personal.

Cómo que se trata de un reglamento europeo, es directamente aplicable, sin necesidad de las normas internas de transposición. Con lo cual urge la necesidad de formar e informar los servidores públicos y profesionales de las diversas organizaciones sobre su contenido y alcance, así como de los aspectos prácticos de la norma, dando por sentado que en algunos casos puede entrar en conflicto con el derecho de acceso a la información pública, previsto en la Ley 19/2014, de 29 de diciembre, de transparencia, acceso a la información y buen gobierno.

El mencionado Reglamento (UE) 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento de datos personales y a la libre circulación de estos datos, que se publicó el mayo de 2016, derogó la Directiva 95/46/CE (Reglamento general de protección de datos).

La jornada se desarrollará en dos bloques,un primero relativo a las principales novedades de la norma y unsegundo bloque que versará sobre los aspectos prácticos y la implementación del Reglamento.

Entre otras novedades, hay que destacar la ampliación del ámbito de aplicación territorial a los responsables y a los encargados del tratamiento no establecidos a la UE, cuando las actividades de tratamiento están relacionadas con la oferta de bienes o servicios o con el control del comportamiento de las personas que se encuentran en la UE.

Por otro lado, se introducen dos principios, el de «responsabilidad proactiva», con el cual se requiere que las organizaciones tengan una actitud consciente, diligente y proactiva ante todos los tratamientos de datos personales que lleven a cabo, y el principio de «el enfoque de riesgo», en caso que haya un alto riesgo para los derechos y las libertades de las personas.

En cuanto al derecho de información, el nuevo Reglamento configura la información como un derecho de las personas afectadas y amplía sul alcance. La información tiene que ser concisa, transparente, inteligible y de fácil acceso, en un lenguaje claro y sencillo. En cuanto a los derechos de las personas interesadas, la norma introduce el derecho al olvido como un derecho vinculado al derecho de supresión, al derecho a la limitación del tratamiento y al derecho a la portabilidad.

Respecto a la inscripción y notificación de ficheros, el Reglamento suprime la necesidad de crear formalmente los ficheros y notificarlos al registro de protección de datos de las autoridades de control.

Así mismo, se llevan a cabo cambios en las obligaciones de documentación del tratamiento para los responsables o los encargados del tratamiento . Además, se producen novedades respecto la documentación de las operaciones de tratamiento (registro de actividades de tratamiento, el encargo del tratamiento).

Hay que hacer alusión también a la ventanilla única, dando por sentado que los ciudadanos y los responsables establecidos en diferentes estados miembros o que hagan tratamientos que afecten diferentes estados miembros tengan una única autoridad de protección de datos como interlocutora.

Otra cuestión que cabe destacar es que el Reglamento prevé que las asociaciones y otros organismos representativos de categorías de responsables del tratamiento o de encargados del tratamiento, puedan prever códigos de conducta para su buena aplicación. En este sentido, hay que recordar la regulación de los códigos de conducta previstos en la Ley 19/2014, de 29 de diciembre, de transparencia, acceso a la información y buen gobierno.

Asimismo, el Reglamento dispone que se puedan realizarevaluaciones de impacto relativas a la protección de datos . A parte de estos aspectos, se introducen otras novedades sobre el consentimiento, la privacidad, los mecanismos de certificación, las categorías especiales de datos, el delegado de protección de datos, las transferencias internacionales, las medidas de seguridad, la notificación de violaciones de seguridad, etc.

A raíz de la entrada en vigor del nuevo Reglamento, creemos que en esta octava jornada es necesario informar los varios responsables del ámbito público y privado de la aplicación de la norma, de las principales novedades y aspectos prácticos, y ver como se articula su aplicación en el marco de la legislación de transparencia, acceso a la información y buen gobierno.

Programa de la jornada

9.00 h Inscripciones

9.15 h Bienvenida a cargo de la Sra. Gemma Calvet i Barot, directora de la Agencia de Transparencia del Área Metropolitana de Barcelona

9.30 h El nuevo reglamento de protección de datos. Principales novedades

Interviene:

  • Sr. Carles San José, formador en protección de datos y transparencia de la Escuela de Administración Pública de Cataluña y de ESAGED (UAB)

11.30 h Pausa café

11.50 h El nuevo reglamento de protección de datos. Aspectos prácticos e implementación.

Intervienen:

  • Sr. Carles San José, formador en protección de datos y transparencia de la Escuela de Administración Pública de Cataluña y de ESAGED (UAB)
  • Sra. Gemma Calvet i Barot, directora de la Agencia de Transparencia del Área Metropolitana de Barcelona

13.30 h Clausura

Gemma Calvet i Barot, directora de la Agencia de Transparencia de la AMB, ha presenta t la sessió de l'Aula de Transparència, relativa ha presentado la sesión del Aula de Transparencia, relativa a l nou Reglament de protecció de dades.al nuevo Reglamento de protección de datos. Principals novetats i aspectes pràctics. Principales novedades y aspectos prácticos.

Gemma Calvet ha donat la benvinguda a les persones assistents.Calvet ha dado la bienvenida a los asistentes. Comenta la importància de dur a terme la jornada atesa la recent entrada en vigor del Reglament europeu de protecció de dades i la necessitat de conèixer les principals novetats .Comenta la importancia de llevar a cabo la jornada dada la reciente entrada en vigor del Reglamento europeo de protección de datos y la necesidad de conocer las principales novedades. Diu que el R eglament ha plantejat novetats que han de ser inserides en la visió administrativa de les nostres tasques, especialment pel que fa als circuïts administratius, custòdia de documents, tractament organitzatiu intern de les administracions, etc.Dice que el Reglamento ha planteado novedades que deben ser insertadas en la visión administrativa de nuestras tareas, especialmente en cuanto a los circuitos administrativos, custodia de documentos, tratamiento organizativo interno de las administraciones, etc. Afegeix que encara hi ha criteris tècnics i jurídics que s'hauran d'anar assentant.Añade que todavía hay criterios técnicos y jurídicos que se deberán ir asentando.

Gemma Calvet agraeix al Carles San José que hagi acceptat la invitació per participar en la jornada, atesa la seva dilatada experiència en la matèria i recorregut professional.Calvet agradece al Carlos San José que haya aceptado la invitación para participar en la jornada, dada su dilatada experiencia en la materia y recorrido profesional. Afegeix que el gruix d'aquesta jornada és precisament la seva intervenció com a expert en aquest àmbit. Añade que el grueso de esta jornada es precisamente su intervención como experto en este ámbito.

Sense més preàmbuls, passa la paraula al ponent. Sin más preámbulos, pasa la palabra al ponente.

  • El nuevo reglamento de protección de datos. Principales novedades

    Carles San José ha aborda t els aspectes clau del nou Reglament europeu de protecció de dades (RGPD), sobretot pel que fa a les seves novetats més significatives. Carlos San José ha abordado los aspectos clave del nuevo Reglamento europeo de protección de datos (RGPD), sobre todo en cuanto a sus novedades más significativas. Comenta que el RGPD es de aplicación plena desde el 25 de mayo de 2018, fecha a partir de la cual la LOPD y el RLOPD han quedat desplaçats, de manera que resulta imprescindible conèixer els canvis que implica aquesta norma europea. RLOPD han quedado desplazados, por lo que resulta imprescindible conocer los cambios que implica esta norma europea.

    Afegeix que el RGPD substitueix les normes internes que cada estat de la U nió E uropea havia aprovat a partir de la Directiva 95/46/CE , que ja no podia fer front als nous reptes que la ràpida evolució tecnològica i la globalització ha plantejat per a la protecció de dades.Añade que el RGPD sustituye las normas internas que cada estado de la Unión Europea había aprobado a partir de la Directiva 95/46/CE, que ya no podía hacer frente a los nuevos retos que la rápida evolución tecnológica y la globalización ha planteado por a la protección de datos. El R GPD també es refereix a la necessitat de garantir un nivell uniforme i elevat de protecció de les persones físiques , davant la situació prèvia de divergència entre les regulacions dels diferents estats, que no havien aconseguit un nivell adequat de coherència i homogeneïtat en l'aplicació de les normes de protecció de dades. El RGPD también se refiere a la necesidad de garantizar un nivel uniforme y elevado de protección de las personas físicas, ante la situación previa de divergencia entre las regulaciones de los diferentes estados, que no habían alcanzado un nivel adecuado de coherencia y homogeneidad en la aplicación de las normas de protección de datos.

    Així mateix fa una aproximació a la protecció de dades .Asimismo hace una aproximación a la protección de datos. En este sentido define propiamente el derecho a la protección de datos, explica cuál es su marco normativo, da una serie de definiciones derivadas del nuevo reglamento, tales como " dato personal", "tratamiento", "responsable del tratamiento (RT)", "encargado del tratamiento (ET)", "destinatario", "tercero", "elaboración de perfiles", "seudonimización".

    Parla també de la responsabilitat proactiva (accountability ) i de l' enfocament del risc.Habla también de la responsabilidad proactiva (accountability) y del enfoque del riesgo. En este punto dice que se produce un cambio de paradigma, ya que el RGPD exigeix a les organitzacions una actitud conscient, diligent i proactiva, per tal que cadascuna analitzi les dades personals que tracta i amb quines finalitats, quin context i quins són els riscos per als drets i les llibertats de les persones físiques. RGPD exige a las organizaciones una actitud consciente, diligente y proactiva, para que cada una analice los datos personales que trata y con qué fines, qué contexto y cuáles son los riesgos para los derechos y las libertades de las personas físicas. A partir d'aquí, el responsable i l'encarregat han d'aplicar les mesures tècniques i organitzatives apropiades i, a més, han d'estar en condicions d'acreditar davant de l'autoritat de control i dels interessats que el tractament efectuat s'ajusta a les exigències del A partir de aquí, el responsable y el encargado deben aplicar las medidas técnicas y organizativas apropiadas y, además, deben estar en condiciones de acreditar ante la autoridad de control y de los interesados que el tratamiento efectuado se ajusta a las exigencias del RGPD. RGPD.

    Una altra qüestió és la desapar ició del'obligació de notificar fitxers.Otra cuestión es la desaparición de la obligación de notificar ficheros. En este sentido desaparece el deber formal de notificar los ficheros a las autoridades de control. Ara bé, en consonància amb el principi de responsabilitat proactiva, les entitats del sector públic estan obligades a disposar d'un registre de les activitats de tractament (RAT) efectuades sota la seva responsabilitat. Ahora bien, en consonancia con el principio de responsabilidad proactiva, las entidades del sector público están obligadas a disponer de un registro de las actividades de tratamiento (RAT) efectuadas bajo su responsabilidad.

    També fa referència als principis i els deures .También hace referencia a los principios y los deberes. De entre los principios del tratamiento, figuran los de:

    - -L icitud, lleialtat i transparència Licitud, lealtad y transparencia

    - La limitación de la finalidad

    - Minimización de los datos

    - Exactitud

    - La limitación del plazo de conservación

    - Integridad y confidencialidad

    - Responsabilidad proactiva ( accountability ) proactiva (accountability)

    D'altra banda, diu que una de les novetats més destacades del RGPD és la figura del d elegat/ ada de protecció de dades .Por otra parte, dice que una de las novedades más destacadas del RGPD es la figura del Delegado/a de protección de datos. C omenta que a questa figura és obligatòria per a les entitats que formen part del sector públic, i ha de tenir uns coneixements especialitzats del dret, pràctica en la protecció de dades i les capacitats i habilitats necessàries per exercir adequadament les seves funcions. Comenta que esta figura es obligatoria para las entidades que forman parte del sector público, y debe tener unos conocimientos especializados del derecho, práctica en la protección de datos y las capacidades y habilidades necesarias para ejercer adecuadamente sus funciones. També explica quina és la seva intervenció en cas de reclamació. También explica cuál es su intervención en caso de reclamación.

    Respecte el consentiment, fa esment a la fi del consentiment tàcit. Respecto el consentimiento, hace mención al fin del consentimiento tácito. Ya no es posible mantener la idea conforme entendía consentido un tratamiento si no se indicaba expresamente lo contrario. Ara s'exigeix que el consentiment sigui inequívoc i estigui basat en una declaració o acció clarament afirmativa. Ahora se exige que el consentimiento sea inequívoco y esté basado en una declaración o acción claramente afirmativa. També explica el consentiment de menors. También explica el consentimiento de menores.

    Notificación de violaciones de seguridad. Cualquier violación de seguridad se notificará a la autoridad de control en 72 horas, a menos que sea improbable que esta violación constituya un riesgo para los derechos y las libertades de las personas. Si aquest risc s'ha de qualificar com a "alt", cal notificar la violació als afectats. Si este riesgo se debe calificar como "alto", hay que notificar la violación a los afectados.

    Cita també les categories especials de protecció de dades i el seu tractament .Cita también las categorías especiales de protección de datos y su tratamiento, També fa referència al tractament de dades personals relatives a así como al tratamiento de datos personales relativos a condenas y a infracciones penales.

    Pel que fa a les comunicacions de dades , diu que ja no es regula de manera específica com abans, sinó que el nou reglament ho preveu com qualsevol altre tractament que haurà de ser lícit (consentiment, etc ). En cuanto a las comunicaciones de datos, dice que ya no se regula de manera específica como antes, sino que el nuevo reglamento lo prevé como cualquier otro tratamiento que deberá ser lícito (consentimiento, etc).

    Així mateix fa referència a altres aspectes rellevants de la norma, com el registre d'activitats de tractament, les transferències internacionals i l'encarregat del tractament . Asimismo hace referencia a otros aspectos relevantes de la norma, como el registro de actividades de tratamiento, las transferencias internacionales y el encargado del tratamiento.

    Comenta també en que consisteixen les figures del'encarregat del tractament (ET) id el responsable del tractament (RT).Comenta también en qué consisten las figuras del encargado del tratamiento (ET) y del responsable del tratamiento (RT).

    A continuació explica els n ous drets dels interessats. A continuación explica los nuevos derechos de los interesados. Hasta ahora teníamos los derechos de acceso, rectificación, cancelación y oposición (ARCO). Amb el nou RGPD, el dret de cancel·lació es converteix en dret de supressió (o dret a l'oblit), i s'afegeixen nous drets habeas data (limitació del tractament i portabilitat) . Con el nuevo RGPD, el derecho de cancelación se convierte en derecho de supresión (o derecho al olvido), y se añaden nuevos derechos habeas data (limitación del tratamiento y portabilidad). Por último, menciona las garantías de los derechos (reclamar a la Autoridad, poderes de la Autoridad, reclamación judicial y la indemnización).

    A grans trets, aquestes són les novetats més rellevants que ens ha portat l'RGPD, i que s'han analitza t a la jornada, sobretot des d'una perspectiva pràctica. A grandes rasgos, estas son las novedades más relevantes que nos ha llevado el RGPD, y que se han analizado en la jornada, sobre todo desde una perspectiva práctica.

  • El nuevo reglamento de protección de datos. Aspectos prácticos e implementación

    La segunda parte se ha centrado en el nou reglament de protecció de dades. el nuevo reglamento de protección de datos. Aspectos prácticos e implementación. En esta segunda parte ha intervenido la señora Gemma Calvet y Barot, ya que la ponencia del señor San José se ha concentrado en la primera parte.

    Gemma Calvet i Barot , directora de l'Agència de Transparència de l'AMB, exposa el paper de l'Agència de Transparència en la relació amb els organismes vinculats i les prestadores de serveis de l'Àrea Metropolitana de Barcelona, pel que fa a les exigències derivades de la Llei de transparència i el seu encaix , la publicitat activa, al dret a la informació, com també a la protecció de dades. Gemma Calvet y Barot, directora de la Agencia de Transparencia de la AMB, expone el papel de la Agencia de Transparencia en la relación con los organismos vinculados y las prestadoras de servicios del Área Metropolitana de Barcelona, con respecto a las exigencias derivadas de la Ley de transparencia y su encaje, la publicidad activa, al derecho a la información, así como a la protección de datos.

    Respecte el dret d'accés , fa referència a l paper de l'Agència de garantir els aspectes formals del dret d'accés a la informació,Respecto el derecho de acceso, hace referencia al papel de la Agencia de garantizar los aspectos formales del derecho de acceso a la información, davant de peticions que es facin a l'AMB ic ita la Circularde 2 de març de 2016del procediment d'exercici del dret d'accés a la informació pública a l'AMB . ante peticiones que se hagan en el AMB y cita la Circular de 2 de marzo de 2016 del procedimiento de ejercicio del derecho de acceso a la información pública en el AMB.

    Explica els límits al dret d'accés a la informació pública i la ponderació que caldrà dur a terme entre les d ades personals i dret d'accés a la informació .Explica los límites al derecho de acceso a la información pública y la ponderación que habrá que llevar a cabo entre los datos personales y el derecho de acceso a la información. Aquesta situació es produiria quan s'hi inclogui n dades personals especialment protegides. Esta situación se produciría cuando se incluyan datos personales especialmente protegidos. En aquest cas caldrà el consentiment de la persona afectada. En este caso será necesario el consentimiento de la persona afectada.

    També explica el paper de la publicitat activa d'informacions que contenen dades personals , dels a lts càrrecs i personal directiu , d' e mpleats públics i les d irectius de concessionàries o de beneficiaris de subvencions .También explica el papel de la publicidad activa de informaciones que contienen datos personales , de los altos cargos y personal directivo, de los empleados públicos y las directices de concesionarias o de beneficiarios de subvenciones.

    Menciona Cita també la necessitat del'anonimització o dissociació de dades personals .la necesidad de la anonimización o disociación de datos personales. C omenta Comenta que s empre que les dades personals no siguin l'objecte concret de la petició d'informació es recomana l'anonimització o dissociació preventiva per evitar possibles col·lisions de drets . que siempre que los datos personales no sean el objeto concreto de la petición de información se recomienda la anonimización o disociación preventiva para evitar posibles colisiones de derechos.

    Seguidament fa esment a lapublicitat activa d'informacions que cal anonimitzar (actes del Consell Metropolità, extracte dels acord deSeguidamente hace mención a la publicidad activa de informaciones que hay que anonimizar (actos del Consejo Metropolitano, extracto de los acuerdo de la Junta de Govern, incompatibilitats dels empleats públics, personal adscrit per adjudicataris de contractes signats amb l'Administració, etc ). la Junta de Gobierno, incompatibilidades de los empleados públicos, personal adscrito por adjudicatarios de contratos firmados con la Administración, etc).

    Una altra qüestió que s'ha abordat és la identitat de la persona sol·licitant .Otra cuestión que se ha abordado es la identidad de la persona solicitante . En aquest sentit diu que la Llei de Transparència no protegeix explícitament la identitat de les persones sol·licitants. En este sentido dice que la Ley de Transparencia no protege explícitamente la identidad de las personas solicitantes. No obstant això, la Circular del procediment d'exercici del dret d'accés a la informació pública a l'AMB (02/03/2016) estableix la c onfidencialitat (e ls agents i operadors intervinents en el procediment regulat en aquesta Circular guardaran confidencialitat obre la identitat dels sol·licitants d'accés a la informació pública ) . Sin embargo, la Circular del procedimiento de ejercicio del derecho de acceso a la información pública en el AMB (03/02/2016) establece la confidencialidad (los agentes y operadores intervinientes en el procedimiento regulado en esta Circular guardarán confidencialidad abre la identidad de los solicitantes de acceso a la información pública).

    Cita també la Recomanació AGT 6/2016 de reforç del procediment de l'exercici del dret d'accés regulat per la Circular de 02/03/2016 , per la qual l a tramesa de la petició als enllaços de transparència es fa per tal que disposin de les dades per al lliurament de la informació demanada;Cita también la Recomendación AGT 6/2016 de refuerzo del procedimiento del ejercicio del derecho de acceso regulado por la Circular de 03/02/2016, por la que el envío de la petición a los enlaces de transparencia se hace para que dispongan de los datos para la entrega de la información solicitada; en cap cas per ser divulgada. en ningún caso para ser divulgada. També es disposa l a més estricta i rigorosa preservació de la identitat de les persones que exerceixen aquest dret durant tot el procés de tramitació. También se dispone la más estricta y rigurosa preservación de la identidad de las personas que ejercen este derecho durante todo el proceso de tramitación.

    Seguidament fa esment a diverses peticionsSeguidamente hace mención a varias peticiones que ha habido relativas al acceso a nombres y retribuciones de empresas prestadoras, como también al acceso de los grupos metropolitanos a retribuciones del personal, y otra sobre el acceso a nombres y cargos de todo el personal de la AMB.

    Un altre punt que s'ha tractat ha estat l'organització de seguretat de l'AMB .Otro punto que se ha tratado ha sido la organización de seguridad de la AMB. Comenta que a partir del 25 de mayo de 2018 ha cambiado el enfoque y la forma de tratar los datos personales. Entre otras cuestiones, explica la nueva figura del Delegado de protección de datos; las funciones de los directivos y de los responsables de cada área; la necesidad de adaptar los textos legales (instancias, política de privacidad, carteles de vídeo vigilancia, etc); de hacer un registro de actividades de tratamiento; de adaptar la confidencialidad de proveedores; d' a ctualitza r el d ocument de seguretat (p olítica de seguretat de dades personals, p rocediment de gestió de fitxers, p rocediment de gestió de drets de l'interessat, procediment de gestió d'incidències,...) ; de actualizar el documento de seguridad (política de seguridad de datos personales, procedimiento de gestión de ficheros, procedimiento de gestión de derechos del interesado, procedimiento de gestión de incidencias, ...); d' e labora r el pro cediment d'avaluació d'impacte i de f orma ra l personal . de elaborar el procedimiento de evaluación de impacto y de formar al personal.

    Por último dice que hay que encajar bien el puzzle normativo en el que nos movemos, derivado en buena parte de la normativa de la Unión Europea, que tiene que ver con la contratación pública, la transparencia y la protección de datos. Todo ello en el ámbito del big data. Con lo cual es necesario armonizar bien la regulación y proteger determinada información. El big data debe resituarse en la racionalidad jurídica y la honestidad democrática.

Materiales de les ponencias

Presentación de Carles San José [en catalán]

Presentación de Gemma Calvet [en catalán]

 

Documentos relacionados