Nuevo Reglamento de Protección de Datos en la Economía Digital
1. 1
Agencia Española de Protección de Datos
EL NUEVO REGLAMENTO DE
PROTECCIÓN DE DATOS EN LA
ECONOMÍA DIGITAL
Jesús Rubí Navarrete
Adjunto a la Directora
Agencia Española de Protección de Datos
Adigital 14-03-2017
2. 2
Agencia Española de Protección de Datos
Transparencia de la información
• Configuración de la información como derecho del interesado y no como
obligación del responsable
• Se incrementa la información que debe facilitarse cuando los datos se han
obtenido del interesado (art. 13)
– Identidad y contacto de responsable y, en su caso de su representante
– Datos de contacto DPD, en su caso
– Fines y base jurídica
– Intereses legítimos del responsable o tercero
– Destinatarios o categorías de destinatarios
– Intención de realizar TID:
• Existencia o no de decisión de adecuación
• Garantías adecuadas y medios para obtener copia de ellas o del
hecho de haberse prestado (TID por instrumento jurídicamente
vinculante entre autoridades públicas, BCR, Cláusulas Tipo –
Comisión UE o APD,s, - C.Conducta - Certificación ) o excepción por
no repetitivas, nº limitado de interesados, intereses legítimos
imperiosos . Derecho a obtener copia de las garantías o al hecho de
que se han prestado.
3. 3
Agencia Española de Protección de Datos
Transparencia de la información
– Plazo de conservación o criterios para su determinación
(art. 13.2: garantía de tratamiento leal y transparente)
– Dº de acceso, rectificación o supresión, limitación del
tratamiento, oposición y portabilidad
– Posibilidad de revocación del consentimiento
– Derecho a presentar reclamación a APD
– Si la comunicación de datos personales es un requisito
legal o contractual, o un requisito necesario para
suscribir un contrato, y si el interesado está obligado a
facilitar los datos personales y está informado de las
posibles consecuencias de que no facilitar tales datos;
– Decisiones automatizadas –incluidos perfiles- e
información significativa sobre la lógica aplicada,
importancia y consecuencias previstas
– Tratamiento para fines distintos antes de dicho
tratamiento, informando sobre dichos fines (art. 13.3)
4. 4
Agencia Española de Protección de Datos
Transparencia de la información
Si los datos no se recaban del interesado deberá además
informársele de:
– Categorías de datos que se van a tratar
– Fuente de la que proceden los datos personales y, en su
caso, si proceden de “fuentes de acceso público”
Clarificación del plazo en caso de no recabarse los datos del
interesado
• Un mes, con carácter general (máximo)
• Primera comunicación con el interesado si los datos se usan
para ese fin (máximo)
• Primera cesión en caso de que se pretenda la misma (máximo)
5. 5
Agencia Española de Protección de Datos
Transparencia de la información
Excepciones al deber de información
• En general, cuando el interesado ya disponga de la
información y en la medida en que disponga de ella
• Si los datos no proceden del interesado
– Aclaración del esfuerzo desproporcionado en caso de
tratamiento con fines de archivo, estadísticos o de
investigación científica o histórica
– Imposibilidad u obstaculización grave de los objetivos del
tratamiento (identidad y contacto del responsable o DPD,
fines, base jurídica, destinatarios y TID). Garantías
adecuadas (incluso haciendo pública la información)
– Previsión legal expresa de tratamiento o revelación, con
medidas oportunas de protección
– Obligación de secreto legal o profesional
• Iconos normalizados (art. 12.7)
6. 6
Agencia Española de Protección de Datos
Transparencia de la información (art. 12)
• Medidas oportunas para facilitar información:
– Concisa, transparente, inteligible, accesible (lenguaje claro
y sencillo)
– En forma electrónica (sitio web): Complejidad de agentes y
tecnología (Publicidad en línea) (Cons.58) (El ecosistema de
agentes en las cookies: Interrelación con la LSSI)
– Específicamente para niños
– Por escrito u otros medios (incluso electrónicos si procede)
– Verbalmente, cuando lo solicite el interesado demostrando
su identidad por otros medios
– Recursos AEPD : Información por capas. Formato de tablas
7. 7
Agencia Española de Protección de Datos
Cuestiones generales sobre los restantes
derechos
Modificaciones en la enumeración de los derechos
• Se reconocen específicamente los derechos de rectificación y supresión
como derechos independientes y se regula detalladamente éste último
• Se hace una referencia al “derecho al olvido” no del todo ajustada a la
doctrina del TJUE y se vinculan los derechos de supresión y oposición
“strictu sensu”
• Se recogen nuevos derechos: limitación del tratamiento y portabilidad
Condiciones generales (art. 12)
• Obligación de atender los derechos a menos que se acredite la
imposibilidad de identificar al interesado
• Plazo: un mes prorrogable por dos más según la complejidad y número de
solicitudes (información motivada sobre prórrogas)
• Si no se da curso a la solicitud: obligación de informar en un mes acerca
de las razones y la posibilidad de acudir a la autoridad de control o los
órganos judiciales
• Respuesta por medios electrónicos si el derecho se ejercitó por dichos
medios salvo que el interesado manifieste lo contrario
8. 8
Agencia Española de Protección de Datos
Cuestiones generales sobre los restantes
derechos
Condiciones generales
• Gratuidad salvo en caso de solicitudes “manifiestamente
infundadas o excesivas, especialmente debido a su carácter
repetitivo”, en que será posible
– Cobrar un canon razonable en función de los costes
administrativos afrontados para facilitar la información o
la comunicación o realizar la actuación solicitada
– Negarse a actuar respecto de la solicitud
– Prueba a cargo del responsable
• Posibilidad de solicitar información adicional para garantizar
la identificación del solicitante
9. 9
Agencia Española de Protección de Datos
Derecho de acceso
Alcance
• Confirmación de la existencia de tratamiento
• Acceso a los datos y a la información vinculada a los mismos
– Fines
– Categorías de datos
– Destinatarios o categorías de destinatarios
– Plazo de conservación (de ser posible) o criterios de fijación
– Información de derechos de rectificación, supresión, limitación u
oposición (no portabilidad)
– Posibilidad de reclamación a la autoridad de control
– Información disponible sobre el origen de los datos (datos no obtenidos
del interesado)
– Existencia de decisiones automatizadas o perfilado (lógica aplicada e
importancia y consecuencias para el interesado)
– Garantías adecuadas implantadas en caso de TID (Instrumento
jurídicamente vinculante entre autoridades y organismos públicos, BCR,
C. Tipo Comisión o APD, C. de conducta o mecanismo de certificación)
10. 10
Agencia Española de Protección de Datos
Derecho de acceso
Modo de acceso: copia de los datos (y la información asociada)
• Gratuidad de la primera copia y canon orientado a costes en
las ulteriores
• Uso de medios electrónicos si el derecho se ejercitó por ellos
(salvo solicitud de otros modo (Cons. 63)
Restricción: perjuicio de derechos de terceros (incluidos
secretos comerciales y propiedad intelectual: Cons. 63)
Aclaraciones (considerando 63 y 64)
• Posibilidad de satisfacer el acceso mediante acceso remoto
seguro
• Posibilidad de que el responsable pueda pedir aclaración al
interesado (Elevado volumen de información: Exigir
especificación de la información o actividades de
tratamiento)
11. 11
Agencia Española de Protección de Datos
Derecho de acceso
– Medidas razonables de verificación de la identidad
(en particular, servicios en línea) (Cons. 64)
– Prohibición de conservación de datos para
responder de posibles accesos (Cons. 64)
12. 12
Agencia Española de Protección de Datos
Derecho de rectificación
• Dº Rectificación (art. 16)
– Rectificación de datos inexactos
– Completar datos, teniendo en cuenta los fines del
tratamiento (inclusive mediante declaración
adicional)
– Sin dilación indebida
– Comunicación a cada uno de los destinatarios
(art. 19) (salvo imposibilidad o esfuerzo
desproporcionado)
– Información sobre los destinatarios si el
interesado la solicita (art. 19)
13. 13
Agencia Española de Protección de Datos
Derecho de supresión (“olvido”)
• Derecho de supresión (art. 17)
– Supresión datos:
• Innecesarios para fines del tratamiento
• Revocación consentimiento y ausencia otra base jurídica
(distinción entre categorías especiales de datos o no)
• Oposición (art. 21.1)
– Denegación por motivos legítimos imperiosos
– Inversión de la carga de acreditación del “interés legitimo
imperioso
• Oposición (art. 21.2)
• Tratamiento ilícito
• Cumplimiento obligación legal Dº UE o EEMM
• Obtenidos en relación con la oferta SSI: Consentimiento
de niños y derecho a supresión cuando no sea niño
(+ internet) (Cons. 65)
14. 14
Agencia Española de Protección de Datos
Supresión de enlaces
– Obligación del responsable de informar a terceros
responsables de la solicitud del interesado de la
supresión de enlaces, copias o réplicas cuando
haya hecho públicos los datos. (la comunicación a
editores de webs)
• Adopción de medidas por el responsable (Medios
a su disposición: Cons. 66)
• Tecnología disponible y coste
– Comunicación de la supresión a cada uno de los
destinatarios (art. 19) (Salvo imposibilidad o
esfuerzo desproporcionado)
– Información sobre los destinatarios si el interesado
lo solicita (art. 19)
15. 15
Agencia Española de Protección de Datos
Derecho de supresión (“olvido”) Excepciones
Excepciones
• Ejercicio de las libertades de expresión e información
• Cumplimiento de una obligación legal que requiera el
tratamiento de datos impuesta por el Derecho de la Unión o de
los Estados miembros que se aplique al responsable del
tratamiento,
• Tratamiento para el cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes públicos conferidos
al responsable
• Razones de interés público en el ámbito de la salud pública
• Fines de archivo en interés público, fines de investigación
científica o histórica o fines estadísticos, en la medida en que el
derecho pudiera hacer imposible u obstaculizar gravemente el
logro de los objetivos de dicho tratamiento
• Formulación, ejercicio o defensa de reclamaciones
16. 16
Agencia Española de Protección de Datos
Derecho a la limitación del tratamiento (art. 18)
Concepto: “marcado de los datos de carácter personal conservados con el fin
de limitar su tratamiento en el futuro”.
Naturaleza: diferencias con el bloqueo de los datos
• Derecho del afectado vs. obligación legal del responsable
Supuestos
• Equivalentes a la “cancelación cautelar”
– “El interesado impugne la exactitud de los datos personales, durante un
plazo que permita al responsable verificar la exactitud de los mismos”
– “El interesado se haya opuesto al tratamiento en virtud del artículo 21,
apartado 1, mientras se verifica si los motivos legítimos del responsable
prevalecen sobre los del interesado”
• Por voluntad del afectado
– “El tratamiento sea ilícito y el interesado se oponga a la supresión de
los datos personales y solicite en su lugar la limitación de su uso”
– “El responsable ya no necesite los datos personales para los fines del
tratamiento, pero el interesado los necesite para la formulación, el
ejercicio o la defensa de reclamaciones”
17. 17
Agencia Española de Protección de Datos
Derecho a la limitación del tratamiento
• Consecuencias (art. 18.2):
– Tratamiento limitado a la conservación salvo:
• Consentimiento
• Formulación, ejercicio o defensa de reclamaciones
• Protección derechos de personas físicas o jurídicas
• Interés público importante UE o EEMM
– Comunicación a los destinatarios salvo imposibilidad o
esfuerzo desproporcionado (art. 19)
• Derechos de los interesados
– Ser informado antes del levantamiento de la limitación
(art. 18.3)
– Información sobre los destinatarios si el interesado lo
solicita (art. 19)
18. 18
Agencia Española de Protección de Datos
• Métodos: (Cons. 67)
– Traslado temporal a otro sistema de
almacenamiento
– Restricción de acceso a usuarios
– Retirada temporal de datos publicados en internet
– Ficheros automatizados: medios técnicos que
impidan el tratamiento ulterior o la modificación
– Indicación clara de la limitación en el sistema
– Comunicación a cada uno de los destinatarios (salvo
imposibilidad o esfuerzo desproporcionado) (art. 19)
19. 19
Agencia Española de Protección de Datos
Derecho a la portabilidad
Derecho del interesado a
• Recibir los datos personales que le incumban,
• Que haya facilitado a un responsable del tratamiento,
• En un formato estructurado y de uso habitual y de lectura mecánica
• Y a transmitirlos a otro responsable del tratamiento sin que lo impida el
responsable del tratamiento al que se hubieran facilitado los datos
Requisitos para que pueda ejercitarse (acumulativos):
• El tratamiento esté basado en el consentimiento o en un contrato
• El tratamiento se efectúe por medios automatizados
Modo de ejercicio
• Podrá implicar la transmisión directa de responsable a responsable a
instancia del interesado “cuando sea técnicamente posible” (No obliga
a adoptar sistemas de tratamiento técnicamente compatibles: Cons. 68)
• Derecho complementario al de acceso
20. 20
Agencia Española de Protección de Datos
Derecho a la portabilidad
• Limitaciones:
– Base jurídica distinta para el tratamiento de los datos
– Cumplimiento de misión en interés público o en ejercicio de
poderes conferidos al responsable (art. 20.3)
• Obligación legal (Cons. 68)
• Respeto a los derechos y libertades de otros interesados
afectados (art. 20.4)
• Respeto del derecho a la supresión del interesado y las
limitaciones al mismo (Art. 20.3 y Cons. 68)
• Respeto a la conservación de los datos facilitados para la
ejecución de un contrato en la medida y tiempo necesarios
para la ejecución (Cons. 68)
21. 21
Agencia Española de Protección de Datos
Derecho de oposición
• Dº oposición (art. 21) General:
– Tratamiento basado en interés legítimo o
cumplimiento de misión en interés público o ejercicio
de poderes públicos
• Dº a oponerse en cualquier momento por motivos
de su situación particular
• Cese en el tratamiento salvo:
– Prevalencia de intereses legítimos imperiosos
(demostración de prevalencia por responsable: Cons. 69)
(Inversión de la prueba)
– Formulación, ejercicio o defensa de reclamaciones
22. 22
Agencia Española de Protección de Datos
Derecho de oposición
• Información al interesado sobre el dº de
oposición, a más tardar, en la primera
comunicación al interesado ( art. 21.4)
• Presentación clara y al margen de cualquier otra
información (art. 21.4)
23. 23
Agencia Española de Protección de Datos
Derecho de oposición
– Mercadotecnia directa
• Oposición al tratamiento, incluida la elaboración de
perfiles relacionados con ella
• Sobre tratamientos iniciales o ulteriores
• En cualquier momento y sin coste
• Información explicita al interesado, a más tardar en
primera comunicación comercial (Cons. 70)
• Información clara y al margen de otra información
– Servicios S.I.
• Oposición por medios automatizados que apliquen
especificaciones técnicas
• Sin perjuicio Directiva 2002/58/CE
24. 24
Agencia Española de Protección de Datos
Derecho de oposición
– Investigación científica o histórica y estadística
• Oposición por motivos de situación personal
• Salvo tratamiento necesario para misión de
interés público
25. 25
Agencia Española de Protección de Datos
Decisiones individuales automatizadas
• Decisiones individuales automatizadas (incluidos
perfiles (art. 22)
– No ser objeto de una decisión:
• Basada únicamente en tratamiento automatizado
• Que produzca efectos jurídicos en él o le afecte
significativamente de modo similar:
– Denegación automática de crédito en línea o los
servicios de contratación en red sin intervención
humana (Cons. 71)
• Incluida la elaboración de perfiles:
– Cualquier tratamiento que evalúe aspectos
personales (Cons. 71)
26. 26
Agencia Española de Protección de Datos
Decisiones individuales automatizadas
– Analizar o predecir intereses personales, rendimiento en el
trabajo, situación económica, salud, la fiabilidad o el
comportamiento, la situación o los movimientos del
interesado (Cons. 71)
– Utilizar procedimientos matemáticos y estadísticos
adecuados para la elaboración de perfiles (Cons. 71)
– Aplicar medidas técnicas y organizativas apropiadas para
garantizar, en particular, la corrección de factores que
introducen inexactitudes en los datos personales y se reduce
al máximo el riesgo de error
– Tener en cuenta los posibles riesgos para el interesado
– Impedir efectos discriminatorios por raza u origen étnico,
opiniones políticas, religión, creencias, afiliación sindical
condición genética, estado de salud, orientación sexual o den
lugar a medidas que produzcan este efecto (Cons. 71)
27. 27
Agencia Española de Protección de Datos
Decisiones individuales automatizadas
– Excepciones:
• Necesaria para la celebración o ejecución de
contrato
• Consentimiento explícito del interesado
• Garantías adecuadas: Mínimo: Derecho a obtener
intervención humana, expresar punto de vista e
impugnar la decisión (información específica y
explicación de la decisión tomada (Cons. 71)
• Autorizada por Dº UE o EEMM con garantías
adecuadas (Control y prevención del fraude y la
evasión fiscal: Cons. 71
28. 28
Agencia Española de Protección de Datos
Decisiones individuales automatizadas
– Tratamientos excluidos
• Categorías especiales de datos (salvo
consentimiento explicito o interés público
esencial con garantías adecuadas)
• Menor (Cons. 71)
29. 29
Agencia Española de Protección de Datos
Limitaciones
– Limitaciones (art. 23)
• Seguridad del Estado, defensa, seguridad pública (incluye
catástrofes naturales o de origen humano: Cons. 73)
• Prevención, investigación, detección o enjuiciamiento de
infracciones penales o ejecución de sanciones penales
• Objetivos importantes de interés público general (UE o EEMM)
(económico o financiero, fiscal, presupuestario, monetario,
sanidad pública y Seguridad Social)
• Protección de la independencia judicial y procedimientos
judiciales
• Prevención, investigación y enjuiciamiento de normas
deontológicas de profesiones reguladas
• Funciones de supervisión, inspección o reglamentación
(incluso ocasional, con ejercicio de autoridad pública excepto
independencia judicial)
30. 30
Agencia Española de Protección de Datos
Limitaciones
• Protección derechos y libertades de terceros
• Ejecución demandas civiles
– Garantías mínimas de las limitaciones basadas en medidas
legislativas (art. 23.2). Disposiciones específicas sobre:
• Finalidad
• Categorías de datos
• Alcance de las limitaciones establecidas
• Garantías para evitar accesos o transferencias ilícitas o
abusivas
• Determinación de responsables o categorías de ellos
• Plazos de conservación y garantías aplicables
• Riesgos para derechos y libertades de los interesados
• Dº Información sobre limitaciones (salvo si perjudican sus
fines)