{"id":2506,"date":"2018-04-03T09:53:33","date_gmt":"2018-04-03T07:53:33","guid":{"rendered":"https:\/\/inlab.fib.upc.edu\/?p=2506"},"modified":"2018-04-03T09:53:33","modified_gmt":"2018-04-03T07:53:33","slug":"gdpr-general-data-protection-regulation","status":"publish","type":"post","link":"https:\/\/inlab.fib.upc.edu\/es\/uncategorized-ca\/gdpr-general-data-protection-regulation","title":{"rendered":"GDPR (General data protection regulation)"},"content":{"rendered":"<p>Todos hemos o\u00eddo hablar de GDPR o RGPD, sobre todo \u00faltimamente, ya que el plazo para que empresas e instituciones p\u00fablicas lo adopten est\u00e1 punto de \u201ccaducar\u201d.<\/p>\n<p>Para tener una visi\u00f3n general de lo que es y lo que implica vamos a intentar explicarlo, de manera resumida, en este art\u00edculo.<\/p>\n<p>El GDPR es el nuevo reglamento de protecci\u00f3n de datos que sustituye a la anterior normativa (a\u00fan vigente) la Directiva 95\/46\/EC. El GDPR se aprob\u00f3 en el 2016, entr\u00f3 en vigor concretamente el d\u00eda 25 de Mayo del 2016 y se dio un plazo de 2 a\u00f1os como per\u00edodo de adaptaci\u00f3n, por lo tanto, el 25 de Mayo del 2018 es el l\u00edmite para dejar la antigua directiva y adaptarse a la nueva.<\/p>\n<p>Este nuevo reglamento tiene la particularidad que se aplica a nivel europeo, es decir, que todos los pa\u00edses de la Uni\u00f3n Europea se regir\u00e1n por \u00e9l, esto ayuda a armonizar las leyes sobre privacidad de los datos en Europa, ayuda a tener algo homog\u00e9neo en todos los pa\u00edses lo que&nbsp; facilita el traspaso de datos personales y de cara a los ciudadanos europeos es beneficioso porque adem\u00e1s de unificar normativas, se centra mucho en que la propiedad de los datos personales son del usuario y es \u00e9l el que ha de dar expl\u00edcitamente el consentimiento, es decir, potencia mucho la privacidad de los datos personales.<\/p>\n<p>Antes de hablar de los puntos principales de este nuevo reglamento, ponemos las definiciones m\u00e1s destacadas para poder entender bien los diferentes conceptos de los que trata el reglamento y as\u00ed evitar posibles confusiones (usamos las definiciones dadas en el reglamento):<\/p>\n<ul>\n<li><strong>Datos personales<\/strong>: toda informaci\u00f3n sobre una persona f\u00edsica identificada o identificable (el interesado); se considerar\u00e1 persona f\u00edsica identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular <strong>mediante un identificador<\/strong>, como por ejemplo un nombre, un n\u00famero de identificaci\u00f3n, datos de localizaci\u00f3n, un identificador en l\u00ednea o uno o varios elementos propios de la identidad f\u00edsica, fisiol\u00f3gica, gen\u00e9tica, ps\u00edquica, econ\u00f3mica, cultural o social de dicha persona.<br \/>\n\tEl nuevo reglamento contempla tambi\u00e9n otros tipos de identificadores como son los identificadores en l\u00ednea facilitados por los dispositivos personales, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesi\u00f3n en forma de \u00abcookies\u00bb u otros identificadores, como etiquetas de identificaci\u00f3n por radiofrecuencia<\/li>\n<li><strong>Tratamiento<\/strong>: cualquier operaci\u00f3n o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organizaci\u00f3n, estructuraci\u00f3n, conservaci\u00f3n, adaptaci\u00f3n o modificaci\u00f3n, extracci\u00f3n, consulta, utilizaci\u00f3n, comunicaci\u00f3n por transmisi\u00f3n, difusi\u00f3n o cualquier otra forma de habilitaci\u00f3n de acceso, cotejo o interconexi\u00f3n, limitaci\u00f3n, supresi\u00f3n o destrucci\u00f3n.<\/li>\n<li><strong>Elaboraci\u00f3n de perfiles<\/strong>: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona f\u00edsica, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situaci\u00f3n econ\u00f3mica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicaci\u00f3n o movimientos de dicha persona f\u00edsica.<\/li>\n<li><strong>Responsable del tratamiento<\/strong> o <strong>responsable<\/strong>: la persona f\u00edsica o jur\u00eddica, autoridad p\u00fablica, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Uni\u00f3n o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios espec\u00edficos para su nombramiento podr\u00e1 establecerlos el Derecho de la Uni\u00f3n o de los Estados miembros.<\/li>\n<li><strong>Encargado del tratamiento<\/strong> o <strong>encargado<\/strong>: la persona f\u00edsica o jur\u00eddica, autoridad p\u00fablica, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.<\/li>\n<li><strong>Seudonimizaci\u00f3n<\/strong>: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar informaci\u00f3n adicional, siempre que dicha informaci\u00f3n adicional figure por separado y est\u00e9 sujeta a medidas t\u00e9cnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona f\u00edsica identificada o identificable.<\/li>\n<li><strong>Autoridad de control<\/strong>: La autoridad p\u00fablica independiente establecida por un Estado miembro con arreglo a:\n<ul style=\"list-style-type:circle;\">\n<li>Cada Estado miembro establecer\u00e1 que sea responsabilidad de una o varias autoridades p\u00fablicas independientes (en adelante \u201cautoridad de control\u201d) supervisar la aplicaci\u00f3n del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas f\u00edsicas en lo que respecta al tratamiento y de facilitar la libre circulaci\u00f3n de datos personales en la Uni\u00f3n.<\/li>\n<li>Cada autoridad de control contribuir\u00e1 a la aplicaci\u00f3n coherente del presente Reglamento en toda la Uni\u00f3n. A tal fin, las autoridades de control cooperar\u00e1n entre s\u00ed y con la Comisi\u00f3n con arreglo a lo dispuesto en el cap\u00edtulo VII del reglamento.<\/li>\n<li>Cuando haya varias autoridades de control en un Estado miembro, este designar\u00e1 la autoridad de control que representar\u00e1 a dichas autoridades en el Comit\u00e9, y establecer\u00e1 el mecanismo que garantice el cumplimiento por las dem\u00e1s autoridades de las normas relativas al mecanismo de coherencia a que se refiere el art\u00edculo 63 del reglamento.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h2>Principales puntos a tener en cuenta en el nuevo Reglamento<\/h2>\n<p>Explicamos los puntos que nosotros consideramos m\u00e1s relevantes en el nuevo reglamento tanto de cara a las organizaciones que han de cumplirlos como de cara al ciudadano que le ayudar\u00e1 a conocer cu\u00e1les son sus derechos sobre el uso de sus datos personales.<\/p>\n<ul>\n<li><strong>Categor\u00edas especiales de datos personales<\/strong>: Lo que el nuevo reglamento llama categor\u00edas especiales de datos personales, eran los datos m\u00e1s sensibles (de alto nivel) que se contemplaban en la anterior directiva, es decir los de salud, etnia, religi\u00f3n, pol\u00edtica o justicia penal. El nuevo reglamento contempla, adem\u00e1s de estos, dos tipos de datos personales nuevos dentro de esta categor\u00eda, son los datos <em>biom\u00e9tricos<\/em> y los datos <em>gen\u00e9ticos<\/em>. Sobre esta categor\u00eda de datos es sobre la que se aplican m\u00e1s controles y restricciones, dado el car\u00e1cter cr\u00edtico de estos datos.<\/li>\n<li><strong>Protecci\u00f3n de datos desde el dise\u00f1o y por defecto<\/strong>: Esta es una de las novedades que contempla el nuevo reglamento y que m\u00e1s aplaudimos, se trata de pensar cuales son las mejores medidas a aplicar para garantizar la seguridad de los datos que la organizaci\u00f3n va a tratar, es decir, ha de tener en cuenta:\n<ul>\n<li>Tratar solo con los datos personales que necesitar\u00e1 en cada momento, en cada aplicaci\u00f3n y no disponer de todos.<\/li>\n<li>Aplicar las mejores medidas t\u00e9cnicas que garanticen la privacidad de los datos, por ejemplo, usar la seudonimizaci\u00f3n en caso de tratamientos de datos especiales o el cifrado para evitar robo de informaci\u00f3n en casos de brechas de seguridad.<\/li>\n<li>Limitar correctamente los tiempos de uso de los datos personales, es decir, que cuando se haya acabado el per\u00edodo estipulado para un estudio o aplicaci\u00f3n en el que se han necesitado dichos datos, estos deber\u00edan desaparecer, el estudio deber\u00eda cerrarse.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Supresi\u00f3n de la obligatoriedad de inscribir y notificar los ficheros de datos<\/strong>: Desde el 25 de mayo del 2018 ya no ser\u00e1 necesario ni obligatorio notificar los ficheros de datos personales a la Agencia de protecci\u00f3n de datos pertinente, el nuevo reglamento suprime esta obligatoriedad. Ahora, el peso recae sobre las organizaciones, ellas han de ser proactivas para garantizar que cumplen con el nuevo reglamento y en caso de auditoria o infracciones, poder demostrarlo.<\/li>\n<li><strong>Registro de las actividades realizadas sobre los datos: <\/strong>Todas las organizaciones han de llevar al d\u00eda una documentaci\u00f3n de las diferentes actividades, procesos y transferencias (por ejemplo, datos del responsable, tipos de tratamientos, fechas l\u00edmites, medidas t\u00e9cnicas tomadas\u2026) que se realizan con los datos personales, solo quedan exentas aquellas organizaciones donde el n\u00famero de empleados es menor de 250 y siempre que no traten con datos de categor\u00edas especiales. El registro de estas actividades recae m\u00e1s sobre la figura del encargado del tratamiento de los datos que sobre el responsable esto es algo bastante diferencial con respecto a la anterior normativa.<\/li>\n<li><strong>Obligatoriedad de notificar violaciones de seguridad de los datos personales: <\/strong>Cuando la organizaci\u00f3n detecte que se ha cometido un acceso no autorizado a datos de car\u00e1cter personal, est\u00e1 obligada a notificarlo a la autoridad de control, ha de hacerlo el responsable del tratamiento, y dispone de un plazo m\u00e1ximo de 72 horas desde el momento que ha verificado que realmente se ha producido esa violaci\u00f3n.<\/li>\n<li><strong>Delegado de protecci\u00f3n de datos (DPO o DPD): <\/strong>Esta figura de la que tanto se habla como algo obligatorio en el nuevo reglamento, realmente no lo es, solo en determinados casos ser\u00e1 obligatorio designar un DPO en la organizaci\u00f3n, esos casos son:\n<ul>\n<li>Cuando el tratamiento de datos personales lo realizan organismos o autoridades p\u00fablicas, quedan exentos los tribunales.<\/li>\n<li>Cuando se tratan datos personales a gran escala<\/li>\n<li>Cuando se tratan datos personales a gran escala y de categor\u00edas especiales.<\/li>\n<\/ul>\n<p>Cuando la organizaci\u00f3n tenga un DPO, el responsable o el encargado del tratamiento publicar\u00e1n sus datos de contacto y los comunicar\u00e1 a la autoridad de control. Las funciones obligatorias de un DPO ser\u00e1n:<\/p>\n<ul>\n<li>Informar y asesorar al responsable o al encargado del tratamiento y a los empleados, que se ocupen del tratamiento, de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protecci\u00f3n de datos de la Uni\u00f3n o de los Estados miembros.<\/li>\n<li>Supervisar el cumplimiento del Reglamento, de otras disposiciones de protecci\u00f3n de datos de la Uni\u00f3n o de los Estados miembros y de las pol\u00edticas del responsable o del encargado del tratamiento en materia de protecci\u00f3n de datos personales, incluida la asignaci\u00f3n de responsabilidades, la concienciaci\u00f3n y formaci\u00f3n del personal que participa en las operaciones de tratamiento, y las auditor\u00edas correspondientes.<\/li>\n<li>Ofrecer el asesoramiento que se le solicite acerca de la evaluaci\u00f3n de impacto relativa a la protecci\u00f3n de datos, as\u00ed como supervisar su aplicaci\u00f3n.<\/li>\n<li>Cooperar con la autoridad de control.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<ul>\n<li><strong>Derechos del usuario: <\/strong>Este es otro de los puntos en los que el nuevo reglamento ha realizado muchos cambios y que, creemos, son muy positivos para el usuario. Destacaremos los siguientes:\n<ul>\n<li><strong>Derecho de estar bien informado:<\/strong> el nuevo reglamento exige que el organismo que vaya a hacer uso de los datos personales de un usuario le informe de una forma <strong>clara<\/strong> y <strong>concisa<\/strong> de todos los aspectos claves para \u00e9l, ha de estar bien informado de que van a hacer con sus datos, quien los tratar\u00e1, quien ser\u00e1 el responsable, los derechos que tiene sobre ellos, etc. Ha de estar bien informado y as\u00ed poder expresar expl\u00edcitamente su consentimiento, no como antes que por defecto consent\u00edas y en caso de no querer es cuando ten\u00edas que especificarlo.<\/li>\n<li><strong>Derecho a la portabilidad<\/strong>: El usuario podr\u00e1 pedir sus datos personales al responsable del tratamiento, \u00e9ste se los deber\u00e1 pasar en un formato estructurado, standard y podr\u00e1 ser transferido de responsable a responsable si t\u00e9cnicamente es posible. Este derecho facilitar\u00e1 el traspaso de los datos entre redes sociales, por ejemplo, podr\u00edamos usarlo si queremos dejar de pertenecer a Facebook y pasar a G+, la primera tendr\u00eda que facilitarnos toda la informaci\u00f3n sobre nosotros que tenga y pas\u00e1rsela a G+ para que estos puedan crearnos nuestro perfil y no tener que entrar todos los datos de cero.<\/li>\n<li><strong>Derecho al olvido<\/strong>: El usuario podr\u00e1 pedir la supresi\u00f3n de sus datos personales al responsable del tratamiento y \u00e9ste estar\u00e1 obligado a eliminarlos (lo antes posible) siempre que no haya alg\u00fan impedimento legal explicito que lo impida.<\/li>\n<li><strong>Derecho a la limitaci\u00f3n del tratamiento<\/strong>: El usuario puede pedir que se limite el uso de sus datos a ciertos tratamientos, lo puede solicitar en el caso de haber pedido rectificaci\u00f3n u oposici\u00f3n de sus datos, en el caso de tratamiento il\u00edcito de los datos (esto supondr\u00eda borrarlos, peor el usuario no quiere), o en el caso de que el tratamiento ya haya acabado pero el usuario no quiere que se supriman porque los pueda necesitar para alg\u00fan tipo de reclamaci\u00f3n.<br \/>\n\t\tLos <strong>derechos<\/strong> <strong>ARCO<\/strong> que ya se contemplaban en la LOPD siguen vigentes aqu\u00ed, es decir los derechos al acceso a la informaci\u00f3n, a la rectificaci\u00f3n de los datos, a la cancelaci\u00f3n y a la oposici\u00f3n.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Evaluaci\u00f3n de impacto relativa a la protecci\u00f3n de datos (PIA): <\/strong>Una evaluaci\u00f3n de impacto relativa al tratamiento de datos personales no es obligatoria en el nuevo reglamento, salvo si esos tratamientos de datos est\u00e1n dentro de los siguientes escenarios:\n<ul>\n<li>Se est\u00e1 tratando con datos de categor\u00edas especiales a gran escala.<\/li>\n<li>Se est\u00e1 evaluando sistem\u00e1tica y exhaustivamente aspectos personales de personas f\u00edsicas que se basa en un tratamiento automatizado, como la elaboraci\u00f3n de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jur\u00eddicos para las personas f\u00edsicas o que les afecten significativamente de modo similar.<\/li>\n<li>Se est\u00e1 observando sistem\u00e1ticamente a gran escala una zona de acceso p\u00fablico.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p class=\"rteindent1\">Una evaluaci\u00f3n de impacto consistir\u00e1 en realizar un an\u00e1lisis de los riesgos que puedan producirse con los mecanismos utilizados en el tratamiento de los datos, es decir, analizar si los procesos automatizados, el almacenamiento, las pol\u00edticas de backups, etc. cumplen las normativas del reglamento y no presentan puntos d\u00e9biles que puedan comprometer el acceso no autorizado o la visibilidad de datos personales.<\/p>\n<p>Finalmente indicar que el nuevo reglamento no habla expl\u00edcitamente de que medidas de seguridad hay que aplicar para asegurar la protecci\u00f3n de los datos, cosa que si estaba contemplada en la LOPD , indicaba medidas obligatorias a tomar dependiendo del tipo de dato a tratar. Aunque el nuevo reglamento no lo especifique expl\u00edcitamente s\u00ed que indica que ser\u00e1n el responsable y el encargado de los datos los que apliquen las medidas t\u00e9cnicas adecuadas al tratamiento de los datos para evitar en la medida de lo posible los riesgos que pueda conllevar ese tratamiento.<\/p>\n<p>En una pr\u00f3xima entrada en este blog comentaremos m\u00e1s a fondo este punto y ampliaremos tambi\u00e9n los relacionados con la evaluaci\u00f3n de impactos y las penalizaciones por incumplimiento o violaciones.<\/p>\n<p>Aprovechamos para informar que&nbsp;desde esCERT-UPC ofrecemos un conjunto de <a href=\"https:\/\/escert.upc.edu\/servicios#adecuacion\" target=\"_blank\" rel=\"noopener\">servicios orientados a la adecuaci\u00f3n de los sistemas de informaci\u00f3n<\/a> para el cumplimiento de dicho reglamiento.<\/p>\n<h2>Informaci\u00f3n adicional<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.agpd.es\/portalwebAGPD\/canaldocumentacion\/legislacion\/union_europea\/reglamentos\/common\/pdfs\/Reglamento_UE_2016-679_Proteccion_datos_DOUE.pdf\">Reglamento de protecci\u00f3n de datos<\/a><\/li>\n<li><a href=\"https:\/\/apdcat.gencat.cat\/web\/.content\/03-documentacio\/Reglament_general_de_proteccio_de_dades\/3132.pdf\">Reglamento de protecci\u00f3n de datos (catal\u00e0)<\/a><\/li>\n<li><a href=\"http:\/\/data.consilium.europa.eu\/doc\/document\/ST-5419-2016-INIT\/en\/pdf\">Reglamento de protecci\u00f3n de datos (english)<\/a><\/li>\n<li align=\"left\"><a href=\"https:\/\/apdcat.gencat.cat\/web\/.content\/03-documentacio\/Reglament_general_de_proteccio_de_dades\/documents\/Guidelines-on-the-right-to-data-portability.pdf\">Gu\u00eda sobre portabilidad de datos<\/a><\/li>\n<li align=\"left\"><a href=\"http:\/\/apdcat.gencat.cat\/web\/.content\/03-documentacio\/Reglament_general_de_proteccio_de_dades\/documents\/WP-248-DPIA.pdf\">Gu\u00eda de evaluaci\u00f3n de impacto<\/a><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Todos hemos o\u00eddo hablar de GDPR o RGPD, sobre todo \u00faltimamente, ya que el plazo para que empresas e instituciones p\u00fablicas lo adopten est\u00e1 punto de \u201ccaducar\u201d. Para tener una visi\u00f3n general de lo que es y lo que implica vamos a intentar explicarlo, de manera resumida, en este art\u00edculo. El GDPR es el nuevo [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":2503,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1],"tags":[],"experteses":[21],"class_list":["post-2506","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized-ca","experteses-ciberseguridad-es"],"acf":[],"_links":{"self":[{"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/posts\/2506","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/comments?post=2506"}],"version-history":[{"count":0,"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/posts\/2506\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/media\/2503"}],"wp:attachment":[{"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/media?parent=2506"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/categories?post=2506"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/tags?post=2506"},{"taxonomy":"experteses","embeddable":true,"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/experteses?post=2506"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}