Introducción
Novedades prácticas del Reglamento General de Protección de Datos
Diez preguntas frecuentes sobre el Reglamento General de Protección de Datos
1. ¿Está en vigor el RGPD? ¿Cuándo comienza su aplicación real y efectiva?
2. ¿Qué organizaciones deben cumplir con el RGPD?
3. ¿Con el nuevo RGPD estarán obligadas las organizaciones a inscribir sus ficheros con datos personales en las autoridades de control pertinentes?
4. ¿Cómo se debe obtener el consentimiento para el tratamiento de datos personales?
5. ¿Qué nuevos derechos otorga el RGPD a los ciudadanos y qué implicación tienen estos en las organizaciones?
6. ¿Qué organizaciones están obligadas a tener un Delegado de Protección de Datos?
7. ¿Qué perfil es necesario para designar un Delegado de Protección de Datos y cuáles serán sus funciones?
8. ¿Qué implica la responsabilidad proactiva en la seguridad del tratamiento de los datos personales por parte de las organizaciones?
9. ¿Cómo se debe actuar ante un agujero (brecha) de seguridad?
10. ¿Qué multas y medidas se recogen en el Reglamento ante el incumplimiento de sus preceptos?
CAPÍTULO 1. Principales novedades del RGPD. Consideraciones generales
Datos personales
Protección de datos de carácter personal
Autoridades Nacionales de Control
Agencia de Protección de Datos
Comité Europeo de Protección de Datos (antiguo Grupo de Trabajo del Artículo 29 GT29)
Supervisor Europeo de Protección de Datos
El interés legítimo (protección de datos)
CAPÍTULO 2. Los derechos de los interesados en el RGPD
Derechos de antes y nuevos derechos
Derecho de acceso
Derecho de rectificación
Derecho al olvido (Derecho de supresión)
Derecho a la limitación del tratamiento
Derecho a la portabilidad de datos
Derecho de oposición
Decisiones individuales automatizadas
CAPÍTULO 3. El responsable y el encargado de tratamiento en el RGPD
Delimitación entre las figuras de responsable y encargado de tratamiento
Corresponsabilidad
Responsable del tratamiento
Encargado del tratamiento
Representantes de responsables o encargados de tratamiento no establecidos en la Unión Europea
Contrato con el encargado de tratamiento
Tratamiento automatizado de datos
Ficheros automatizados (Protección de Datos)
Creación de perfiles (Protección de Datos)
CAPÍTULO 4. Medidas de seguridad. Responsabilidad proactiva en la protección del tratamiento de datos
El cambio de paradigma en el Reglamento General de Protección de Datos
Principio de accountability (Protección de Datos)
¿Qué medidas de seguridad debe adoptar un responsable o encargado de tratamiento?
Registro de actividades
Las brechas de seguridad y su notificación
Notificación de violaciones de seguridad
Infracciones y sanciones por incumplimiento de las medidas de seguridad
Códigos de conducta (Protección de Datos)
Normas corporativas vinculantes (BCR)
CAPÍTULO 5. Las evaluaciones de impacto sobre la protección del tratamiento de datos personales
Finalidad: medidas que sean eficaces
¿En qué casos debe realizarse la evaluación de impacto?
Evaluación de Impacto (PIA) (Protección de Datos)
¿Quién debe realizar la evaluación de impacto?
Consulta previa a las autoridades de control
Metodología utilizada para las evaluaciones de impacto
CAPÍTULO 6. Data Protection Officer: cuándo es obligatorio y funciones
Quién es el Data Protection Officer
El DPO: ¿obligatoriedad o voluntariedad para su designación?
Perfil idóneo y posición del DPO en la organización
Funciones del Delegado de Protección de Datos (DPO)
CAPÍTULO 7. Las transferencias de datos personales a terceros países u organizaciones internacionales
Aspectos generales de las transferencias internacionales de datos
Transferencias basadas en una decisión vinculante
Transferencias mediante garantías adecuadas
Normas corporativas vinculantes
Excepciones para situaciones específicas
Intereses legítimos imperiosos
CAPÍTULO 8. Ámbitos específicos afectados por el RGPD
Los despachos de abogados ante el Reglamento General de Protección de Datos
Datos de personas físicas
Inventario de tratamientos Hojas de encargo
Análisis de Riegos
Confidencialidad
Custodia de la información en papel y electrónica
Notificación de las brechas de seguridad
Tratamiento de datos en el entorno laboral
El alto riesgo de los datos de los trabajadores
Legitimación del tratamiento de datos personales en el trabajo
Evaluación o test de proporcionalidad e interés legítimo
Ejemplos de riesgo alto para la protección de datos
Durante el proceso de contratación
Como resultado de un proceso de evaluación o comprobación («in-employment screening»)
Como resultado de la monitorización del uso de las TIC en el lugar de trabajo
Como resultado de la monitorización del uso de las TIC fuera del lugar de trabajo
Relativos al tiempo de trabajo y a la asistencia al trabajo
Usando sistemas de videovigilancia
Que involucran el uso de vehículos por los empleados
Que implican la comunicación de datos del empleado a terceros
Que implican la transferencia internacional de datos
Conclusiones y recomendaciones
Derechos fundamentales
Consentimiento e interés legítimo
Transparencia
Proporcionalidad
Minimización de los datos, servicios de nube, aplicaciones en línea y transferencias internacionales de datos
Otros ámbitos afectados por la protección de datos
Videovigilancia
Menores de edad
Ficheros de solvencia patrimonial (Ficheros de morosos)
Sanitario, farmacéutico y de investigación
Telecomunicaciones
Seguros
Publicidad
Cloud computing
Big Data
Ámbito Laboral
Ámbito Penal
Propiedad intelectual
Prevención del blanqueo de capitales
Formularios
CLÁUSULAS INFORMATIVAS Y TRATAMIENTOS
TRATAMIENTO DE DATOS DE CLIENTES
Cláusula informativa para el tratamiento de datos de clientes
Hoja de encargo profesional a abogado con cláusula de Protección de Datos
Cláusulas en caso de tratamiento de datos de clientes de la empresa por Gestoría
Cláusula informativa y consentimiento para tratamiento de datos personales en actividades sanitarias
TRATAMIENTO DE DATOS DE POTENCIALES CLIENTES
Cláusula informativa para tratamiento de datos de potenciales clientes
Cláusula en caso de tratamiento de datos de potenciales clientes de la empresa por agencia de marketing
Cláusula en caso de tratamiento de datos de potenciales clientes de la empresa por imprenta
TRATAMIENTO DE DATOS DE EMPLEADOS
Cláusula con la gestoría que trata datos de empleados
TRATAMIENTO DE DATOS DE CANDIDATOS
Cláusula informativa para el tratamiento de datos de candidatos
TRATAMIENTO DE DATOS DE PROVEEDORES
Clausula informativa para el tratamiento de datos de proveedores
TRATAMIENTO DE LOS DATOS POR EMPRESAS DE SERVICIOS
Cláusulas con empresas de servicios a las que se cedan datos de carácter personal
DERECHO DE LOS CIUDADANOS
DERECHO DE ACCESO
Contestación al ejercicio del derecho de acceso a los datos personales
DERECHO DE RECTIFICACIÓN
Contestación al ejercicio del derecho de rectificación de datos personales
DERECHO DE SUPRESIÓN («DERECHO AL OLVIDO»)
Contestación al ejercicio del derecho de supresión (derecho al olvido). Otorgamiento.
DERECHO A LA LIMITACIÓN DEL TRATAMIENTO
Contestación al ejercicio del derecho a la limitación del tratamiento de datos personales
DERECHO A LA PORTABILIDAD DE DATOS
Contestación al ejercicio del derecho de portabilidad de datos personales
DERECHO DE OPOSICIÓN
Contestación al ejercicio del derecho de oposición al tratamiento de datos personales
DERECHO A NO SER OBJETO DE DECISIONES INDIVIDUALES AUTOMATIZADAS
Contestación al ejercicio del derecho a no ser objeto de decisiones individuales automatizadas
DPO, AVISOS LEGALES Y CONTRATOS
REGISTRO DE ACTIVIDADES DE TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL
MEDIDAS DE SEGURIDAD SUGERIDAS POR AGPD PARA RIESGOS DE NIVEL BAJO
BRECHAS DE SEGURIDAD
