Especial RGPD

La cuenta atrás ha terminado. Desde el 25 de mayo de 2018 es de obligado cumplimiento el Reglamento General de Protección de Datos de la Unión Europea (RGPD). Es necesario adoptar decisiones necesarias para estar en situación de cumplimiento. El riesgo de no hacerlo es el de posibles sanciones pero también, de tipo reputacional. La evolución del negocio en la senda de la transformación digital hace de este reto una necesidad imperativa.

Organizamos diferentes eventos con ponentes especialistas que facilitarán una aproximación al nuevo entorno regulatorio desde diversas perspectivas, con los hitos principales:

Radiografía del reglamento: resolviendo el puzzle

Conceptos clave

Conceptos clave

¿Qué es RGPD?

El Reglamento General de Protección de Datos de la Unión Europea, norma de aplicación directa en todos los estados miembro de la UE, obligatorio a partir del 25 de mayo de 2018 y sustituye a todas las leyes nacionales anteriores, así como a cualquier norma sectorial que contenga regulación sobre la protección de los datos personales.

Delegado de Protección de Datos (DPD)

Es una nueva figura introducida por el RGPD, cuya función es supervisar y asesorar a la empresa en materia de cumplimiento de la normativa de protección de datos. Puede ser interno o externo. Debe tener conocimientos profundos en derecho de protección de datos, experiencia y conocimiento del sector de actividad. Puede compatibilizar la función con otras, siempre que no tenga conflicto de interés y disponga de tiempo suficiente para cumplir las funciones de DPD.

Registro de actividades de tratamiento

Es el documento central de un programa de cumplimiento del RGPD. Es obligatorio para empresas con más de 250 trabajadores, o que traten datos de forma no ocasional, o que traten datos sensibles. Contiene el detalle específico de todas las actividades de la empresa que implican el tratamiento de datos personales.

Bases legales

Son la vía que nos permite el RGPD para tratar datos personales, todas ellas igualmente válidas. Las más importantes son el consentimiento (clara acción afirmativa); la ejecución de un contrato; el cumplimiento de obligaciones legales; la protección de intereses vitales del interesado u otros; el cumplimiento de misión en interés público; el interés legítimo del responsable del tratamiento.

Consentimiento

Una de las bases legales para el tratamiento de datos personales. Debe consistir en una clara acción afirmativa del interesado. No son válidos los consentimientos tácitos o por inacción. Cuando se recaba el consentimiento se debe informar de forma clara, transparente y específica, entre otras cosas, de la finalidad para la que se recaba el dato, del plazo de duración del tratamiento y de los derechos de que dispone el interesado.

Interés legítimo

Una de las bases legales para el tratamiento de datos personales. Se puede utilizar esta base legal tras hacer una ponderación entre el interés del responsable del tratamiento o de un tercero y los derechos fundamentales del interesado, teniendo en cuenta la relación existente entre ambos y la expectativa del interesado de que su dato se vaya a tratar para la finalidad especifica. Es necesario informar al interesado previamente y ofrecerle el derecho de oposición.

Autoridad de control

Es la autoridad administrativa nacional en cada estado miembro de la UE en materia de protección de datos personales. Sus funciones son, entre otras, las de supervisar el cumplimiento del RGPD por parte de los responsables y encargados del tratamiento, la realización de inspecciones, la potestad sancionadora, la emisión de apercibimientos, requerimientos y órdenes, o la validación de normas corporativas vinculantes para transferencias internacionales de datos.

Transferencias internacionales

Se producen cuando los datos personales tratados por una empresa son enviados hacia fuera del territorio de la Unión Europea. En estos casos, es preciso asegurarse de que los datos van a estar protegidos del mismo modo que lo están dentro de la UE. Esa garantía se puede obtener por diversas vías: mediante la declaración por parte de la Comisión Europea, mediante la firma de cláusulas contractuales tipo aprobadas a nivel europeo o mediante la utilización de normas corporativas vinculantes validadas por una autoridad de control.

Normas corporativas vinculantes

Es un acuerdo de carácter obligatorio y vinculante que sirve de base para la realización de transferencias internacionales de datos personales. Su contenido está regulado en el RGPD y debe ser validado por una autoridad de control.

Evaluación de impacto de privacidad

Es un análisis específico que se debe llevar a cabo siempre que existan tratamientos con un alto riesgo para los derechos de los interesados.

Responsabilidad y sanciones

Las autoridades de control tienen diversas facultades para aplicar en caso de incumplimiento, tales como apercibimientos, requerimientos u órdenes. Pero la facultad más importante es la de imponer sanciones y multas. Las multas pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual global del infractor. La autoridad de control puede actuar de oficio o por denuncia de interesados.

Plan de cumplimiento

18-06-2018
La protección de datos personales en los arbitrajes bajo el RGPD
En este artículo destacaremos las implicaciones para las partes, letrados, instituciones arbitrales o terceros y consideraremos cómo debe de darse cumplimiento al RGPD, incluyendo el análisis de si es necesario obtener consentimiento, cómo obtener dicho consentimiento cuando fuere necesario, cómo reunir documentos, derechos de acceso, oposición y supresión de datos, así como la transferencia internacional de datos fuera de la UE.
13-06-2018
El 'Privacy Shield' bajo la lupa de la Unión Europea
El Comité de Libertades Civiles del Parlamento Europeo ha formulado una propuesta de resolución para su aprobación en pleno, en la que pide a la Comisión Europea la suspensión del acuerdo “Privacy Shield” entre la Unión Europea y los EE.UU., el acuerdo en vigor desde julio de 2016 en virtud del cual se facilita la transferencia internacional de datos entre ambas zonas.
25-05-2018
'Garrigues Data Day': llegó el 25 de mayo, ¿y ahora qué?
Una de las consecuencias para las empresas será (y está siendo ya) que las bases de datos que manejan se verán reducidas en un 50%, pero no tiene por qué ser algo negativo, puede suponer tener bases de datos más robustas, útiles y de mayor valor.
24-05-2018
Recta final para la protección de datos
Artículo de Alejandro Padín, 'counsel' del departamento Mercantil de Garrigues en Madrid.
24-05-2018
¿Cómo se regula la protección de datos en Latinoamérica y cómo influye el RGPD?
El reglamento general de protección de datos (RGPD) que desde hoy es de obligado cumplimiento es una norma compleja que trasciende el ámbito europeo. La nueva normativa afectará a todas las empresas, con independencia de su origen, siempre que gestionen datos de ciudadanos que se encuentren en la Unión Europea, aunque la compañía en cuestión no tenga presencia física o legal en territorio europeo.
24-05-2018
RGPD: la mayoría de las PYMES no se libran de hacer el registro de ciertos tratamientos
El Reglamento General de Protección de Datos (“RGDP”) excepciona a las pequeñas y medianas empresas (“pymes”)[1] de la obligación de elaborar Registros de Actividades de Tratamiento de datos personales (“RAT”), salvo que el tratamiento que se realice por la PYME pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales o análogas.
07-05-2018
Datos y relaciones laborales
Artículo de Misi Borrás, socia del departamento Laboral de Garrigues en Barcelona ('Expansión').
03-05-2018
El Consejo Europeo aprovecha una corrección de errores del RGPD para modificar cuestiones de fondo
En los cambios llevados a cabo en la recta final de abril, la versión española del texto modifica el concepto de residencia como criterio de aplicación del RGPD para empresas ubicadas fuera de la UE.
20-04-2018
Así son las 369 enmiendas al Proyecto de LOPD
Tras una lectura en profundidad de todas las enmiendas presentadas al Proyecto de LOPD y su motivación, un proceso en el que hemos tenido el honor de participar como comparecientes por invitación de la Comisión de Justicia del Congreso de los Diputados, hacemos aquí un primer análisis puramente estadístico. Se trata de 369 enmiendas, aunque se pueden reducir a 314, por el motivo que se indica más abajo.
19-04-2018
El RGPD en materia de RR.HH.: más vale prevenir que curar

Paginación

Primera página
Página anterior
Página 1
Página 2
Página actual 3
Página 4
Página 5
Siguiente página
Última página

Especial RGPD

Radiografía del reglamento: resolviendo el puzzle

La protección de datos personales en los arbitrajes bajo el RGPD

El 'Privacy Shield' bajo la lupa de la Unión Europea

'Garrigues Data Day': llegó el 25 de mayo, ¿y ahora qué?

Recta final para la protección de datos

¿Cómo se regula la protección de datos en Latinoamérica y cómo influye el RGPD?

RGPD: la mayoría de las PYMES no se libran de hacer el registro de ciertos tratamientos

Datos y relaciones laborales

El Consejo Europeo aprovecha una corrección de errores del RGPD para modificar cuestiones de fondo

Así son las 369 enmiendas al Proyecto de LOPD

El RGPD en materia de RR.HH.: más vale prevenir que curar