Especial RGPD

La cuenta atrás ha terminado. Desde el 25 de mayo de 2018 es de obligado cumplimiento el Reglamento General de Protección de Datos de la Unión Europea (RGPD). Es necesario adoptar decisiones necesarias para estar en situación de cumplimiento. El riesgo de no hacerlo es el de posibles sanciones pero también, de tipo reputacional. La evolución del negocio en la senda de la transformación digital hace de este reto una necesidad imperativa.

Organizamos diferentes eventos con ponentes especialistas que facilitarán una aproximación al nuevo entorno regulatorio desde diversas perspectivas, con los hitos principales:

Radiografía del reglamento: resolviendo el puzzle

Conceptos clave

Conceptos clave

¿Qué es RGPD?

El Reglamento General de Protección de Datos de la Unión Europea, norma de aplicación directa en todos los estados miembro de la UE, obligatorio a partir del 25 de mayo de 2018 y sustituye a todas las leyes nacionales anteriores, así como a cualquier norma sectorial que contenga regulación sobre la protección de los datos personales.

Delegado de Protección de Datos (DPD)

Es una nueva figura introducida por el RGPD, cuya función es supervisar y asesorar a la empresa en materia de cumplimiento de la normativa de protección de datos. Puede ser interno o externo. Debe tener conocimientos profundos en derecho de protección de datos, experiencia y conocimiento del sector de actividad. Puede compatibilizar la función con otras, siempre que no tenga conflicto de interés y disponga de tiempo suficiente para cumplir las funciones de DPD.

Registro de actividades de tratamiento

Es el documento central de un programa de cumplimiento del RGPD. Es obligatorio para empresas con más de 250 trabajadores, o que traten datos de forma no ocasional, o que traten datos sensibles. Contiene el detalle específico de todas las actividades de la empresa que implican el tratamiento de datos personales.

Bases legales

Son la vía que nos permite el RGPD para tratar datos personales, todas ellas igualmente válidas. Las más importantes son el consentimiento (clara acción afirmativa); la ejecución de un contrato; el cumplimiento de obligaciones legales; la protección de intereses vitales del interesado u otros; el cumplimiento de misión en interés público; el interés legítimo del responsable del tratamiento.

Consentimiento

Una de las bases legales para el tratamiento de datos personales. Debe consistir en una clara acción afirmativa del interesado. No son válidos los consentimientos tácitos o por inacción. Cuando se recaba el consentimiento se debe informar de forma clara, transparente y específica, entre otras cosas, de la finalidad para la que se recaba el dato, del plazo de duración del tratamiento y de los derechos de que dispone el interesado.

Interés legítimo

Una de las bases legales para el tratamiento de datos personales. Se puede utilizar esta base legal tras hacer una ponderación entre el interés del responsable del tratamiento o de un tercero y los derechos fundamentales del interesado, teniendo en cuenta la relación existente entre ambos y la expectativa del interesado de que su dato se vaya a tratar para la finalidad especifica. Es necesario informar al interesado previamente y ofrecerle el derecho de oposición.

Autoridad de control

Es la autoridad administrativa nacional en cada estado miembro de la UE en materia de protección de datos personales. Sus funciones son, entre otras, las de supervisar el cumplimiento del RGPD por parte de los responsables y encargados del tratamiento, la realización de inspecciones, la potestad sancionadora, la emisión de apercibimientos, requerimientos y órdenes, o la validación de normas corporativas vinculantes para transferencias internacionales de datos.

Transferencias internacionales

Se producen cuando los datos personales tratados por una empresa son enviados hacia fuera del territorio de la Unión Europea. En estos casos, es preciso asegurarse de que los datos van a estar protegidos del mismo modo que lo están dentro de la UE. Esa garantía se puede obtener por diversas vías: mediante la declaración por parte de la Comisión Europea, mediante la firma de cláusulas contractuales tipo aprobadas a nivel europeo o mediante la utilización de normas corporativas vinculantes validadas por una autoridad de control.

Normas corporativas vinculantes

Es un acuerdo de carácter obligatorio y vinculante que sirve de base para la realización de transferencias internacionales de datos personales. Su contenido está regulado en el RGPD y debe ser validado por una autoridad de control.

Evaluación de impacto de privacidad

Es un análisis específico que se debe llevar a cabo siempre que existan tratamientos con un alto riesgo para los derechos de los interesados.

Responsabilidad y sanciones

Las autoridades de control tienen diversas facultades para aplicar en caso de incumplimiento, tales como apercibimientos, requerimientos u órdenes. Pero la facultad más importante es la de imponer sanciones y multas. Las multas pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual global del infractor. La autoridad de control puede actuar de oficio o por denuncia de interesados.

Plan de cumplimiento

06-09-2021
Protección de datos en 'open banking'
Artículo de José Miguel de la Calle, socio del Departamento Administrativo de Garrigues en Bogotá ('La República').
28-07-2020
La AEPD endurece las medidas de su Guía de Cookies y da de plazo hasta el 31 de octubre para cumplir
La actualización responde a la necesidad de atender a las nuevas directrices del Comité Europeo de Protección de Datos e implica que las empresas deberán modificar sus políticas de cookies e introducir una herramienta de gestión de cookies.
16-07-2020
El Tribunal de Justicia de la Unión Europea anula el Escudo de Privacidad ('Privacy Shield')
El Escudo de Privacidad es el marco que permitía las transferencias internacionales de datos entre Europa y Estados Unidos; su anulación provocará un caos en las relaciones comerciales entre la UE y el país norteamericano.
30-06-2020
Nueva ley estatutaria de protección de datos
Artículo de José Miguel de la Calle, socio del Departamento Administrativo de Garrigues en Bogotá ('Asuntos Legales').
13-11-2019
De ‘blockchain’ a ciberseguridad: 6 claves del Real Decreto-ley que permite al Gobierno intervenir Internet
El nuevo Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones introduce novedades relevantes en materia de protección de datos, blockchain o ciberseguridad, entre otras.
08-11-2019
La nueva Guía de Cookies de la AEPD obliga a revisar las políticas de las webs de las empresas
La Agencia Española de Protección de Datos (AEPD), en colaboración con Adigital, Autocontrol, IAB Spain y la AEA, ha publicado la esperada Guía sobre el uso de las cookies en la que se trata de clarificar las principales obligaciones que deberán tener en cuenta los editores de páginas webs.
26-06-2019
¿Cumple mi registro de jornada laboral con la normativa de privacidad?
Desde fechas recientes, las empresas y entidades están obligadas a implantar o ya han implantado un sistema de registro de la jornada laboral para cumplir con la obligación establecida por el Real Decreto de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo.
13-06-2019
Colombia: Las EPS no pueden exigir a los empleadores copia de la historia clínica de sus trabajadores para tramitar incapacidades
El Ministerio de Salud y Protección Social, mediante el concepto de fecha 20 de febrero de 2019, estableció que, debido al carácter privado y a la reserva de la que goza la historia clínica, no procede que las entidades promotoras de salud (EPS) exijan a los empleadores, o que los empleadores exijan a su vez a los trabajadores, copia de la historia clínica para efectos de tramitar incapacidades.
24-05-2019
“El RGPD se está imponiendo como estándar internacional”
Entrevista a Alejandro Padín, socio del Departamento de Derecho Mercantil de Garrigues y responsable del área de TI, Protección de Datos y Comercio Electrónico.
09-04-2019
Listas Robinson: las empresas deben revisar sus procedimientos internos para el envío de comunicaciones comerciales
El 8 de abril entró en funcionamiento el nuevo sistema de gestión de las listas Robinson para adaptarlo a la nueva normativa de privacidad.

Paginación

Página actual 1
Página 2
Página 3
Página 4
Página 5
Siguiente página
Última página

Publicaciones

Especial RGPD

Radiografía del reglamento: resolviendo el puzzle

Protección de datos en 'open banking'

La AEPD endurece las medidas de su Guía de Cookies y da de plazo hasta el 31 de octubre para cumplir

El Tribunal de Justicia de la Unión Europea anula el Escudo de Privacidad ('Privacy Shield')

Nueva ley estatutaria de protección de datos

De ‘blockchain’ a ciberseguridad: 6 claves del Real Decreto-ley que permite al Gobierno intervenir Internet

La nueva Guía de Cookies de la AEPD obliga a revisar las políticas de las webs de las empresas

¿Cumple mi registro de jornada laboral con la normativa de privacidad?

Colombia: Las EPS no pueden exigir a los empleadores copia de la historia clínica de sus trabajadores para tramitar incapacidades

“El RGPD se está imponiendo como estándar internacional”

Listas Robinson: las empresas deben revisar sus procedimientos internos para el envío de comunicaciones comerciales