Curso de ruptura de la protección de datos europea de GDPR/

1. Introducción: Hola, mi nombre es Andre Berlin y me gustaría darle la bienvenida a este curso GDPR Made Easy. Durante este curso repasaremos los aspectos importantes de la regulación general de protección de datos para su posterior estudio, si habrá adjuntado en este curso un documento que contenga información sobre Protección de Datos Europea. Entonces, por favor, dale una lectura a eso. Ahora empecemos por contarte un poco sobre mí. Soy especialista en privacidad de datos y seguridad de la información con experiencia en la creación y desarrollo programas relacionados con la privacidad y también en capacitación. Trabajo tanto como consultora en estos campos como también como capacitadora. Soy CIP slash E CAPM, certificado CIPD en el lado de privacidad y por el lado de seguridad, estoy certificado CompTIA Security Plus, entre otras cosas. Entonces ahora que ya sabes un poco de mí, déjame contarte sobre el curso y lo que cubriremos. Durante este curso, echaremos un vistazo bastante detallado a la versión pura del GDPR tal como fue redactada por la Comisión Europea. En primer lugar, analizaremos el alcance del reglamento para ver dónde se aplica tanto desde punto de vista territorial como material. Posteriormente, conoceremos los tipos de datos bajo el ámbito de la desregulación. A continuación, analizaremos los roles de protección de datos y sus responsabilidades. Aquí descubriremos cuáles son las principales diferencias entre controladores y procesadores. En el cuarto módulo, nos sumergimos en el procesamiento. Aprenderemos sobre los principios de procesamiento justo de la regulación y también sobre qué es el procesamiento. En el quinto módulo, entraremos en base lícita para el tratamiento de datos personales y categorías especiales de datos. A continuación, estudiaremos una parte muy importante de la regulación, más específicamente los derechos de los sujetos de datos. Veremos qué son y qué implican después, que veremos las transferencias transfronterizas y las formas en que podemos transferir legalmente datos desde dentro del Espacio Económico Europeo, fuera del Espacio Económico Europeo. Por último, terminaremos este curso entrando en seguridad y cumplimiento. Aquí veremos qué dice el GDPR sobre seguridad y también, ¿cómo podemos demostrar el cumplimiento de la normativa en su conjunto? Al final del curso, debes tener una muy buena comprensión del GDPR y lo que pide de organización y también suficiente información para tomar tu certificación CPP slash E de la EAPP. Entonces, sin más preámbulos, comencemos. 2. Alcance del RGPD: Dentro del primer módulo, estaremos observando el alcance del RGPD y entenderemos dónde aplica el RGPD tanto desde el punto de vista material como territorial. Entonces vamos a continuar. Desde el punto de vista territorial, existen tres criterios que definen el alcance territorial de la desregulación. El primero es el siguiente tratamiento de datos personales donde se establezca un controlador o encargado del tratamiento dentro de la Unión Europea. Esto significa que si estamos establecidos dentro de la Unión Europea, entonces por defecto estamos en el ámbito de aplicación del reglamento, llano y sencillo. El siguiente es un tratamiento un poco más interesante de datos personales, de sujetos de datos en la UE relacionados con ofrecer bienes o servicios o monitorear el comportamiento en la UE. Esto significa que si somos un controlador o procesador fuera del Espacio Económico Europeo, pero nos dirigimos al mercado único europeo con la intención de ofrecer bienes o servicios, entonces estamos bajo el ámbito de aplicación del reglamento. Quisiera subrayar el hecho de que deberíamos apuntar específicamente al mercado único de la Unión Europea. Por lo que el procesamiento ocasional no desencadena este criterio. A modo de ejemplo, si eres un hotel japonés y estás recopilando datos de ciudadanos de la UE al azar porque reservaron tu hotel, entonces no estás bajo el alcance del RGPD. Pero si eres un hotel japonés publicita tus servicios en el mercado único de la Unión Europea y la gran cantidad de tu facturación se debe a clientes europeos, entonces de hecho estás bajo elalcance del RGPD. Por último, tenemos tratamiento de datos personales por un controlador no establecido dentro de la Unión Europea, pero en un lugar donde los miembros toman la ley aplicable en virtud del derecho internacional público, lo sé suena complicado, pero en realidad es bastante fácil. Esto se refiere a las embajadas y consulados que se encuentran fuera del Espacio Económico Europeo. Pero el derecho europeo se aplica en virtud del derecho internacional público. Ahora que tenemos una buena comprensión de si RGPD se aplica desde un punto de vista territorial. Miren los alcances materiales de la desregulación. Entonces déjenme hacerlo sencillo. El RGPD se aplica a todos los datos, todos los datos digitales, es decir todos los datos físicos que estén suficientemente estructurados como para formar parte de un sistema de archivo como un archivo. En cuanto a las exclusiones al ámbito material de la desregulación, tenemos lo siguiente, que debe interpretarse de manera restrictiva, no amplia, actividades fuera del ámbito del derecho sindical, como seguridad nacional, controles fronterizos, actividades relacionadas con el asilo y la inmigración , actividades domésticas. A modo de ejemplo, si le tomo una foto a mis hijos o amigos, entonces eso está fuera del ámbito de aplicación del reglamento. Y por último, la aplicación de la ley y la seguridad pública como lo detalla la ley local de los estados miembros. Ahora veamos un caso interesante relacionado con el alcance material del RGPD. Aquí tenemos el caso de la señora Linguista, quien creó una página de cara pública para su propia caridad privada, que sólo era accesible para las personas que tenían el enlace directamente. El sitio web contiene información sobre miembros de esa organización benéfica, incluyendo datos de contacto y a veces incluso detalles médicos. El Tribunal de Justicia de la Unión Europea argumentó que esta actividad no está exenta de la ley de protección de datos bajo la exclusión doméstica de los hogares de corte diagonal. Y también que la carga de datos personales en una página de Internet todavía se considera procesamiento. 3. Tipos de datos: Ahora que entendemos lo que cae dentro del ámbito de aplicación del Reglamento General de Protección de Datos, Veamos también los tipos de datos que están regulados por el GDPR. El RGPD regula el uso y tratamiento de los datos personales. Pero, ¿qué son los datos personales? Pues bien, los datos personales se definen como cualquier información relativa a una persona física identificada o identificable. Entonces, ¿qué es una persona física? Podrías preguntarlo, persona sencilla y natural es alguien que no está muerto. Entonces un individuo vivo, irrelevante de la edad. A continuación, me gustaría preguntarle, ¿ cuál es la diferencia entre la información identificada e identificable puede señalar a un individuo? Bueno, cierta información puede señalar a un individuo por sí mismo, como mi número de identificación nacional. Por número de identificación nacional es único y claramente me apunta a mí y solo a mí. Pero a veces la información sobre un individuo no singulariza a ese individuo, como mi edad y fecha de nacimiento, que se relaciona con múltiples personas, no solo yo. Ahora, si tomas mi agente fecha de nacimiento y combinas con mi dirección postal y talla de zapato. Entonces todos estos combinados me señalarán con un esfuerzo razonable, lo que significa que soy identificable en ese momento. Por lo que esa información también se considera datos personales bajo el RGPD. Por lo tanto, no existe una lista exhaustiva de lo que se considera datos personales debido a este hecho. Ahora bien, si los datos personales son cualquier información que pueda señalar a un individuo vivo que los datos anónimos es todo lo contrario. Datos estadísticos o direcciones de correo electrónico de la empresa. Los datos anónimos no están relacionados con una persona física identificada o identificable o que se ha vuelto no identificable. Esto no está bajo el alcance del RGPD u otras leyes de protección de datos. Si estás procesando datos estadísticos o datos anónimos, puedes hacer cualquier cosa con información anónima, mantenla por cuánto tiempo quieras. Ahora entre datos personales, que pueden ser utilizados para señalar a un individuo y datos anónimos, que es todo lo contrario. Tenemos datos seudónimos. La normalización es una técnica que reemplaza o elimina información en un conjunto de datos que identifica a un individuo. Por lo que la realización puede implicar la sustitución nombres u otros identificadores que se atribuyen fácilmente a los individuos con un número de referencia o cualquier otra cosa. Como ejemplo va, los números de empleados, números de cuenta, números de referencia, etc. Los datos seudónimos se pueden usar para identificar a una persona, y eso significa que sigue siendo datos personales, datos seudónimos por lo tanto, está bajo el ámbito del RGPD y está sujeto a las leyes y regulaciones de protección de datos. Echemos un vistazo a un ejemplo. Una empresa de mensajería procesa datos personales sobre sus conductores, kilometraje, viajes y frecuencia de conducción. Posee estos datos personales para dos propósitos, procesar reclamos costosos por kilometraje y cobrar a sus clientes por el servicio. Un segundo equipo dentro de la organización también utiliza los datos para optimizar la eficiencia de la flota de mensajería. Para ello, no es necesaria la identificación del individuo. El bufete asegura que el segundo equipo sólo puede acceder a los datos de una forma que les imposibilite identificar a los mensajeros individuales. Dice minimizar es este dato reemplazando los identificadores como nombres, empleos, títulos, ubicaciones, historial de manejo por un equivalente no identificativo, como un número de referencia, que por sí solo no tiene significado. Por lo que la normalización es altamente recomendada por el Reglamento General de Protección de Datos como medida de seguridad. La última categoría de datos cubierta por el RGPD son los datos espaciales, también conocidos como datos sensibles o categorías especiales de datos. Porque en la Unión Europea, Protección de Datos es vista como un derecho humano fundamental. Los tipos de datos vistos como especiales son cosas que están estrechamente relacionadas con nosotros como seres humanos, no como consumidores. Cosas como el origen racial o étnico, opiniones políticas, la afiliación sindical, las creencias religiosas o filosóficas. Datos biométricos con el propósito único de identificar a un individuo. Datos genéticos, datos de salud, vida sexual y orientación sexual. Los datos financieros, o números de seguridad social no se consideran categorías especiales de datos, ni las condenas penales. La principal diferencia entre datos personales y categorías especiales de datos es que por defecto, las organizaciones tienen prohibido procesar categorías especiales de datos. Existen excepciones a esta regla, que discutiremos en los siguientes módulos. Entonces ahora echemos un vistazo a algunos ejemplos de categorías especiales de datos. Una foto de nuestros negocios, fiestas navideñas que muestran a un empleado con una pierna rota, registros de pacientes de un hospital que detallan las enfermedades que padece el individuo. Una aplicación deportiva que revela información sobre las solicitudes de afiliación a un partido de salud de un atleta, detallando las creencias políticas del individuo, las huellas dactilares utilizadas para acceder a un edificio de oficinas seguro, e información que detalla las creencias religiosas del individuo. Todos estos, como puedes ver, nuestros datos, que se consideran especiales bajo el ámbito del Reglamento General de Protección de Datos. 4. Roles de protección de datos: Anteriormente aprendimos sobre los tipos de datos con el GDPR regulado. Ahora echemos un vistazo a las reglas de protección de datos. Estas reglas están presentes también en la antigua directiva de protección de datos y se han transpuesto dentro del RGPD con mínimas modificaciones. Entonces comencemos. Ahora, hay cuatro roles principales de protección de datos dentro de la regulación. En primer lugar, tenemos al sujeto de los datos. Se trata de un individuo sobre quien se está procesando la información. Como yo, un ser humano. Contamos con el responsable del tratamiento de datos. Se trata de una organización, individuo u organismo público, que decide sobre las finalidades y medios de tratamiento o responde la forma y por qué se están tratando los datos personales. Preguntas. A continuación tenemos el procesador de datos. Se trata de una organización, individuo u organismo público que procesa los datos en nombre del responsable del tratamiento, algo así como externalizar. Y, por último, tenemos la autoridad supervisora o Autoridad de Protección de Datos, que está encargada de hacer cumplir las leyes y regulaciones de privacidad o protección de datos dentro de los estados miembros de la Unión Europea. Eso es un ensayo o DPA por estados miembros de la Unión Europea. Para el Reino Unido, tenemos el ICO para los amigos, tenemos el CNI, l, etcétera. Así que ahora vamos un poco más a fondo en las diferencias entre un controlador y el procesador. Los datos pueden girar, determina las finalidades para las que se están procesando los datos personales, el responsable del tratamiento puede responder a las siguientes preguntas. Por qué, cómo, por cuánto tiempo, dónde y por quién el encargado del tratamiento, otro lado, procesa los datos personales sólo en nombre del responsable del tratamiento. Por lo general el procesador de datos es un tercero, o es una empresa externa, actúa en nombre del controlador, procesa los datos en sus instrucciones escritas del controlador sólo obtiene la autorización al subcontratar el procesamiento a otro subprocesador y presta un servicio al controlador. A modo de ejemplo, una empresa de marketing de correo externalizada, que hace marketing por correo en nombre del controlador. Cuando su organización trabaja junto con otra organización para llevar a cabo una actividad de procesamiento similar a una lista negra bancaria, entonces se le considera controladores conjuntos cuando dos o más organizaciones determinar por qué y cómo se deben procesar los datos personales preguntas, los controladores conjuntos deben celebrar un acuerdo en el que se establezcan sus respectivas responsabilidades para cumplir con las normas del RGPD, los aspectos principales de los arreglos deben ser comunicados a los individuos. Se están procesando datos. Así que ahora veamos algunos ejemplos para una relación de tipo de controlador de datos de procesador y una relación de controlador conjunto. Ahora para la configuración del controlador del procesador de datos, tenemos el siguiente ejemplo. Una cervecería tiene muchos empleados. Firma un contrato la empresa de nómina para pagar salarios. La cervecería le dice a la empresa de nómina cuándo deben pagarse los salarios, cuándo un empleado se va o tiene un aumento salarial y proporciona toda la otra información para el boquete salarial y los pagos. La empresa de nómina proporciona el sistema de TI y almacena los datos del empleado. La empresa cervecera es el controlador de datos y la empresa de nómina es el procesador de datos. Ahora veamos un ejemplo para controladores conjuntos. Su empresa u organización ofrece servicios de niñera a través de una plataforma en línea. Al mismo tiempo, su empresa tiene un contrato con otra empresa que le permite ofrecer servicios de valor agregado. Ambas empresas están involucradas en la configuración técnica del sitio web. En ese caso, las dos empresas han decidido utilizar la plataforma para ambos propósitos, cuidado de niños y también alquiler de DVD o juegos, y a menudo compartirán nombres de clientes ya que están trabajando juntos y comparten la misma base de datos técnica. Eso significa que se convierten en controladores conjuntos. Se necesita un arreglo entre ellos para satisfacer las necesidades y requerimientos del sujeto de datos. Ahora, como se indicó anteriormente, los procesadores sólo procesarán los datos en las instrucciones escritas del responsable del tratamiento únicamente. Pero si hacen algo de forma independiente, eso significa que si en el proceso se determinan los medios para fines de tratamiento para una actividad específica, automáticamente se convertirán en un controlador de datos para esa actividad de procesamiento. Aquí, me gustaría subrayar el hecho de que la etiqueta de controlador y procesador se dan por base de actividad, no necesariamente base de empresa de relaciones públicas. Puede ser un procedimiento para algunas actividades y el controlador para otras. Ahora, con el fin de legitimar una configuración de procesador del controlador, un acuerdo de procesamiento de datos, o DPA, tiene que ser firmado entre el controlador y el procesador. Y los puntos de ese DPA están escritos dentro del reglamento. El encargado del tratamiento debe procesar los datos personales únicamente siguiendo instrucciones documentadas del responsable, incluidas las transferencias transfronterizas de datos. El procesador debe implementar las técnicas y organizativas adecuadas medidastécnicas y organizativas adecuadaspara asegurar los datos. Tienen que solicitar el consentimiento de los controladores si contratan a un subcontratista y fluyen por todos los términos del contrato con el controlador al subcontratista, deben asistir al controlador en informar y notificar a las autoridades supervisoras y los sujetos de datos las violaciones de datos. También tienen que evaluar al responsable del tratamiento en la respuesta a las solicitudes de ejercicio de los derechos del interesado. Tienen que eliminar o devolver datos personales si así lo indica el responsable o al finalizar el contrato, deben presentar dos auditorías por parte del responsable del tratamiento u otro auditor elegido por el responsable del tratamiento. Y tienen que poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento del Reglamento General de Protección de Datos necesaria para demostrar el cumplimientodel Reglamento General de Protección de Datos. Todos estos puntos deben estar en cualquier acuerdo de procesamiento de datos entre el controlador y el encargado del tratamiento tal y como se ordena dentro de la regulación. 5. Procesamiento: Ahora que tenemos una buena comprensión de funciones y responsabilidades de protección de datos, veamos las regulaciones, el principio de procesamiento justo y qué procesamiento se define como. Hemos estado hablando de procesamiento desde hace bastante tiempo. Pero, ¿qué es el procesamiento? Bueno, procesamiento significa cualquier operación o conjunto de operaciones realizadas sobre datos o conjuntos de datos, sea o no por medios automatizados. Ahora por decirlo, el simple procesamiento lo es todo. Todo lo que hagas con los datos se considera tratamiento y no existe una lista exhaustiva de actividades por esta recopilación, almacenamiento, acceso, uso, destrucción, divulgación. Todos ellos entran en la definición de procesamiento. Entonces solo piénsalo como cualquier cosa que se haga en los datos es procesamiento, y eso es todo. Entonces ahora que sabemos que el tratamiento significa cosa que se haga sobre los datos, cualquier operación, también tenemos que saber que el RGPD regula el tratamiento de datos personales y lo hace a través de la justa principiosde procesamiento. Entonces veamos cada principio y lo que significa para nosotros. Legalidad significa que tenemos que tener una base legal para la recolección y tratamiento de datos. Equidad significa que tenemos que procesar los datos de manera que sea justo para el sujeto de datos transparencia se refiere a la claridad, y significa que tenemos que ser claros y honestos con gente desde el principio sobre cómo usaremos sus datos. limitación de la finalidad significa que se nos permite procesar datos únicamente para la finalidad mencionada en el momento de recopilación o propósitos fuertemente relacionados, la minimización de datos se refiere al hecho que tengamos que recopilar y utilizar la menor cantidad de datos para cumplir con el propósito. La precisión significa que tenemos que hacer esfuerzos razonables para garantizar que los datos sean exactos. Limitación de almacenamiento se refiere al hecho de que los datos deben conservarse por un periodo de tiempo limitado. Podemos tener un periodo de almacenamiento estático o dinámico. A modo de ejemplo, un periodo estático sería diez años después de la recolección. Una dinámica sería 30 días después de su último pedido de pizza. Sigues pidiendo pizza ya que se sigue refrescando. Confidencialidad e integridad asegura que tenemos controles de seguridad adecuados en su lugar. Y por último, rendición de cuentas. Esto significa que tenemos que poder demostrar el cumplimiento de todo lo anterior y de la regulación general de protección de datos en su conjunto y tener todos los documentos para demostrar este cumplimiento. El principio de rendición de cuentas no estaba presente en la directiva de protección de datos y ha cambiado el GDPR a lo que se llama un marco de rendición de cuentas. Es por ello que ya no se requiere notificar la autoridad supervisora a la autoridad supervisoralas actividades de tratamiento de los responsables y encargados del tratamiento como lo fue durante la directiva de protección de datos. 6. Bases legales: Anteriormente, vimos que uno de los principios de tratamiento más importantes es la legalidad, que exige que todo tratamiento de datos personales tenga un fundamento jurídico. Dentro de este módulo, veremos cuáles son las bases legales para tratamiento de datos personales y también categorías especiales de datos. Entonces comencemos. Ahora, existen seis bases lícitas para el tratamiento de datos personales, consentimiento, obligación legal, interés público, requisito contractual, intereses vitales e intereses legítimos. El menos confiable de estos es el consentimiento. Y veremos por qué en la siguiente diapositiva. Ahora, entonces tenemos obligación legal. Esto significa que si hay una ley, entonces tenemos que respetar la ley. Si la legislación laboral local nos permite procesar datos personales, entonces procesaremos esos datos personales de acuerdo con la ley laboral o financiera o cualquier ley. Posteriormente, tenemos requisito contractual si el tratamiento de datos personales es necesario para el cumplimiento de un contrato o antes de celebrar un contrato. Entonces trataremos esos datos para tal fin. Entonces tenemos intereses vitales del individuo. Esto significa que estamos publicando los datos en el mejor interés del individuo, en interés de salvarle la vida. A modo de ejemplo, después, tenemos intereses públicos. Esto es utilizado por las autoridades públicas para realzar el alcance de la autoridad que les otorga la ley. Y por último, tenemos intereses legítimos, que son utilizados por entidades privadas para promover sus propios intereses legítimos. Vamos a profundizar más en el consentimiento. Entonces, ¿por qué el consentimiento es la base menos confiable para el procesamiento? Bueno, por dos razones, en realidad, porque es difícil obtener un consentimiento válido y ese consentimiento se puede retirar tan fácilmente como se dio. No puede haber limitación alguna al retiro del consentimiento. Entonces, si alguien consiente el producto de sus datos personales a través de un clic de un botón, puede retirar ese mismo consentimiento, igual de fácil. Ahora veamos las condiciones para el consentimiento válido. Primero. Tiene que darse libremente, que significa que no debe haber desequilibrio de poder entre el que pidió consentimiento y el que da el consentimiento patronal empleado de TI por lo tanto no es que válido ya que el empleado podría sentirse obligado a proporcionarlo. La misma lógica aplica para la relación entre el ciudadano y una autoridad estatal. A continuación, tiene que ser específico, desinformado, lo que significa que necesitamos haber informado correctamente al interesado antes de que dé su consentimiento y asegurarnos de que su Consentimiento es específico para el tratamiento involucrados. El uso de una sola casilla de verificación para múltiples propósitos diferentes es un incumplimiento de este criterio. Después, el consentimiento tiene que ser inequívoco. Por lo tanto, no se recomienda el uso de lenguaje técnico o jurídico. La provisión de información debe ser tan clara como luz del día que incluso un niño de diez años pueda entender. Se, puede enviar se puede obtener en cualquier formato, escrito u oral. Tiene que demostrarse y retirarse tan fácilmente como se dio. Por último, para ser considerado válido, consentimiento debe ser un claro acto afirmativo. Eso significa que el consentimiento opt-in es válido mientras que el consentimiento opt-out no lo es. A modo de ejemplo, al instalar software, la aplicación como el sujeto de datos para el consentimiento para utilizar no animal sólo se bloquea informes para mejorar el software. Alerta aviso de privacidad proporcionando la información necesaria, acompaña esa solicitud de consentimiento tomando activamente la casilla opcional en la que se indica que puedo enviar, el usuario es capaz de realizar válidamente una clara acto afirmativo para consentir el tratamiento. Ahora, para el consentimiento de los niños, varía un poco. La edad de consentimiento puede ser elegida por el Estado miembro en el corchete de 1316. Por lo que algunos estados miembros dentro del Espacio Económico Europeo podrían tener una edad de consentimiento de 14 años. Algunos podrían tener 50 y algunos podrían tener 16. Cuando se trata del consentimiento de los niños, consentimiento debe ser otorgado por un padre o tutor para los niños que no han alcanzado la edad de consentimiento, que es menor de 16 años, regulada por el miembro local , debe demostrarse que el consentimiento ha sido obtenido de un padre o tutor. A modo de ejemplo, cuando un niño está creando una cuenta de Facebook o YouTube para la cual los padres tienen cierto grado de control. Por último, vamos un poco a los intereses legítimos. ¿ A qué se refieren? Ahora bien, la definición es la siguiente. tratamiento será lícito si es necesario para los fines de los intereses legítimos perseguidos por el responsable del tratamiento o un tercero, excepto cuando dichos intereses sean anulados por el intereses o derechos y libertades fundamentales de interesados que requieran la protección de los datos personales, en particular, cuando el interesado sea menor de edad. Ahora echemos un vistazo también a un ejemplo. Según lo especificado en sus políticas de gobierno de TI. Los moderadores de una empresa por correo acceden a cuentas que contienen datos personales de usuarios nombrados dentro de la organización para evitar el robo de datos por parte de los empleados. La empresa de venta por correo considera esto como una actividad de procesamiento esencial para proteger a sus clientes. ¿ Cuáles son los intereses legítimos? Ahora la función es similar a una escala. un lado de la escala tenemos los intereses legítimos de la organización. Del otro lado de la escala, tenemos los derechos y libertades de los individuos. Si creemos que nuestros intereses legítimos son más importantes o más válidos y no representan un riesgo para los derechos y libertades de las personas, entonces podemos llevar a cabo esa actividad de procesamiento, como en el ejemplo dentro de los materiales para este curso, también he adjuntado una muy buena guía para el uso de intereses legítimos, que también contiene ejemplos de referencia. Para fines prácticos, debes buscarlo y leer al respecto. Ahí, entra en mucho más detalle. Y en ciertas situaciones, los intereses legítimos son una muy buena base jurídica para el procesamiento. Porque a diferencia del consentimiento, no pueden ser retirados. Las personas pueden objetar el uso de sus intereses legítimos, pero esa objeción podría no necesariamente ser válida. Ahora que conocemos los tipos de bases legales que podemos utilizar para el tratamiento de datos personales. Veamos también las exenciones que nos permiten procesar categorías especiales de datos. En primer lugar, contamos con el consentimiento explícito con las mismas condiciones que se habían señalado anteriormente para el consentimiento normal en el contexto del empleo de acuerdo con la legislación laboral local. Por lo que si la ley laboral establece que se pueden procesar datos de salud para fines de contratación, por supuesto que puede hacerlo intereses vitales del individuo, siempre y cuando se pueda demostrar que el el procesamiento de los datos se hizo con el mejor interés del interesado en mente, Digamos que caigo inconsciente en la calle, entonces el hospital puede procesar mis datos relacionados con la salud para tratarme. políticas, filosóficas y religiosas Las organizacionespolíticas, filosóficas y religiosaspueden procesar datos políticos, filosóficos y religiosos acuerdo con su actividad, pero no pueden utilizarlos para ningún otro finalidad, como compartirlo con empresas comercializadoras, etc. sin informar al interesado y obtener su aprobación. pueden utilizar datos hechos públicos por el interesado, como la información publicada en sitios de redes sociales o en los medios de comunicación. En el tribunal de justicia pueden utilizar categorías especiales de datos sepueden utilizar categorías especiales de datospara el establecimiento, ejercicio o defensa de reclamaciones legales. Las categorías especiales de datos también pueden procesarse de acuerdo con un interés público sustancial, tal como se define en la legislación de los Estados miembros o en la legislación de la Unión Europea. Para efectos de medicina y asistencia social en salud, o para los fines de salud pública definidos por la legislación de los Estados miembros de la Unión Europea. Estas fueron también la base jurídica que se utilizó para las medidas de corona que utilizamos en la pandemia de corona. El supuesto láctico se refiere al uso de categorías especiales de datos para archivos públicos, con fines científicos o estadísticos. Pero tienen que contar con medidas de seguridad adecuadas y ser proporcionales al riesgo para los derechos y libertades de las personas. 7. Derechos de sujeto de datos: En el módulo anterior, hablamos de fundamento jurídico para la tramitación. Ahora sigamos adelante y hablemos los derechos de los sujetos de datos. La mayoría de estos derechos fueron importados de la directiva de protección de datos, pero con el GDPR, se han agregado otros nuevos y algunos de los existentes se han ampliado. Entonces echemos un vistazo a lo que podemos hacer como sujetos de datos y cuáles son nuestros derechos dentro de la regulación? Ahora primero echemos un vistazo al derecho de acceso. Al realizar solicitudes de derecho de acceso, podemos obtener la confirmación que una organización está procesando nuestros datos personales y también qué tipo de datos se están procesando y obtener acceso a los mismos. También podemos solicitar una copia de los datos personales que se están procesando al responsable del tratamiento. Podemos preguntar sobre la información relativa a las actividades de tratamiento realizadas por el responsable del tratamiento de nuestra información. El responsable del tratamiento podrá cobrar una tarifa razonable por copias adicionales de los datos. Si solicitamos más copias de los datos, ya sea muy corto plazo, también podemos preguntar por transferencia de información. ¿ A quién se envía nuestra información y a qué países se está enviando? El plazo para responder a una solicitud de derecho de acceso es de 30 días, pero el responsable del tratamiento puede solicitar 60 días adicionales si cuenta con la justificación adecuada. Datos. Los sujetos también tienen acceso al derecho de rectificación. Los particulares tienen derecho a que se rectifiquen los dictos personales. Puede rectificar los datos personales si son inexactos o incompletos, y se aplica tanto a datos subjetivos como objetivos, deberá rectificar cualquier dato personal inexacto que se relacione con el individuo sin dilaciones indebidas y en todo caso en el plazo de un mes. Por lo que tiene el mismo plazo que una solicitud de derecho de acceso. A modo de ejemplo, puede haber imprecisiones en los detalles de una condena penal sostenida en la computadora de la policía nacional. Un individuo puede recibir una copia de sus antecedentes penales y solicitar que se corrija una entrada incorrecta por lesiones corporales lesiones corporales reales o viceversa. Para reflejar la convicción correcta, el contralor refleja el derecho de rectificación. Si, por ejemplo, obstruye una investigación como una solicitud de rectificación del contenido de una declaración de un testigo. Ahora, ten en cuenta que aunque sean derechos, la organización aún debe asegurarse de que respondan únicamente a las solicitudes adecuadas. Por lo que antes de responder a cualquier solicitud de acceso por escrito o cualquier derecho a solicitar para ese asunto, primero debemos autenticar a la persona que realiza la solicitud sin la autenticación adecuada, podríamos dar acceso a los datos, el individuo equivocado, provocando así una violación de datos, que no es algo que queramos. A continuación, debemos asegurarnos de que al cumplir con una solicitud por escrito, no estamos vulnerando los derechos y libertades de los demás. El término otros se refiere tanto a otras personas otras entidades como nuestra propia empresa o empresas de terceros. Por lo que si recibe una solicitud de derecho de acceso donde un particular solicita una copia de sus datos personales, pero esos datos contendrían información sobre otros individuos o patrones de secretos comerciales que podrían ser perjudicial para su organización. Entonces, o bien filtraría esa información u obtendría la aprobación de otras personas afectadas antes compartir la información con el sujeto de los datos. Por último, toda solicitud infundada o abuso de derechos como hacer la misma solicitud diez veces en la misma semana debe ser filtrada. Ahora, necesito crear problemas operativos por mi nivel y gente. Un nuevo derecho que se agregó en el RGPD fue el derecho a la portabilidad de datos. Eso significa que yo como sujeto de datos, puedo pedir que mis datos sean transferidos de un controlador a otro controlador en un formato universal estructurado, comúnmente utilizado por máquina legible. Este derecho sólo es posible cuando los datos están siendo tratados bajo los fundamentos legales de consentimiento o requisito contractual. Se aplica únicamente a los datos digitales. Y se aplica a los datos que se recopilan del interesado o sobre el interesado, el plazo para responder a una portabilidad de datos redactada es el mismo que con el acceso de escritura, sin demora indebida o dentro de los 30 días. Por lo que tiene el mismo marco de tiempo para la respuesta. El responsable del tratamiento que transfiere los datos no se hace responsable las actividades de tratamiento que realice el destinatario de dichos datos. Las personas físicas también tienen derecho a solicitar la supresión o eliminación de sus datos personales. Derecho al olvido es una extensión del derecho de Eurasia. Y eso significa que no sólo el responsable debe destruir estos datos, sino también para la solicitud a todos los destinatarios, asegurando así que todas las replicaciones de los datos sean destruidas y todos los enlaces se también se destruyen los datos. Ahora las condiciones para Eurasia son bastante estrictas. Sólo puede solicitar eurasia si los datos ya no son necesarios para la finalidad para la que fueron recopilados, si los datos se estaban procesando sobre la base del consentimiento, y el consentimiento ha sido retirado. Si los datos estaban siendo tratados sobre la base de interés legítimo o intereses públicos que el interesado haya objetado al tratamiento. Y la objeción era válida si los datos fueron recabados en relación con los servicios de las sociedades de la información de un niño sobre la base del consentimiento, y ese menor ha alcanzado la edad de consentimiento si el el procesamiento era ilegal para comenzar o cumplir con la legislación de la Unión Europea o de los Estados miembros. Por lo que no se puede pedir eurasia si existe una base legal para conservar esos datos o si existe un interés legítimo adecuado para conservar esos datos y procesar esos datos. Entonces es bastante limitado, ¿verdad? derecho de restricción es un nuevo derecho dentro del RGPD y es una alternativa al derecho de Eurasia. Eso significa que estamos marcando los datos dentro de nuestros sistemas y los datos se almacenarán y no se realizará ningún procesamiento adicional sobre ellos. Esto se utiliza generalmente cuando se impugna la exactitud de los datos o cuando el interesado ha objetado al tratamiento hasta que la objeción se considere válida o inválida, o sea una alternativa a cuando el interesado podría no querer que los datos sean destruidos, tal vez quieran usarlo en el tribunal de justicia. Cuando se levante la restricción, se debe notificar al interesado y éste tiene la oportunidad de oponerse al levantamiento de la restricción. Ahora, los individuos también tienen derecho a oponerse al procesamiento basado en intereses públicos o legítimos. Es la carga de los controladores demostrar que sus intereses imperiosos prevalecen sobre los derechos y libertades del individuo. También podemos oponernos a fines de investigación y estadísticos, pero las tareas públicas como los censos, están exentas de este fin. Por último, podemos oponernos a la perfiles con fines de marketing directo. Este es un derecho absoluto bajo el RGPD. Si hacemos uso de nuestro derecho a objetar de esta manera, el marketing o la elaboración de perfiles se detendrán automáticamente. Ahora la última fila que se debe hablar es el derecho a no estar sujeto a la toma de decisiones automatizada. Las personas físicas tienen derecho a no ser objeto una decisión cuando ésta se basa en tratamiento automatizado y produce un efecto jurídico adverso o afecta significativamente al individuo. Ahora hay excepciones a este derecho? Todo lo que requiere salvaguardas adecuadas si la proteína es necesaria para entrar en la ejecución de un contrato como evaluar el riesgo de crédito o el riesgo de seguro. Autorización por ley de los Estados miembros o consentimiento explícito de los interesados. decisiones automatizada no está permitida en categorías especiales de datos a menos que tengamos consentimiento explícito o intereses públicos sustanciales basados en leyes sindicales o de estados miembros o medidas adecuadas para proteger a ese individuo. Ahora bien, si está utilizando la toma de decisiones automatizada, aún debe asegurarse de que los individuos sean capaces de obtener la intervención humana si es necesario, u obtener una explicación de la decisión. Desafíalo. A modo de ejemplo, un sistema de procesamiento automatizado podría incluir una base de datos de identificación de antecedentes penales o antecedentes penales es donde los datos son ingresados o accedidos por el personal a través de medios automatizados, toma de decisiones solo entra en juego cuando el controlador toma decisiones significativas basadas únicamente en un algoritmo sobre el procesamiento automatizado, a menudo sin interacción humana. Se trata de una decisión que produce un efecto jurídico adverso relación con el individuo o lo afecta de manera significativa. Ahora que hemos terminado con los derechos del sujeto de datos, veamos la transparencia. Transparencia significa que un conjunto específico de información debe ser proporcionado al interesado por el responsable del tratamiento. Ahora, para ello, el controlador utilizará un aviso de privacidad. Un aviso de privacidad es un conjunto de promesas exigibles hechas por el controlador al interesado sobre cómo se utilizarán y protegerán los datos mientras se procesan, el aviso de privacidad o la información la disposición debe ser inteligible y de fácil acceso. Por lo que si estoy recolectando datos en formato físico, debería tener un aviso de privacidad física. Si lo estoy recogiendo en formato digital, debería tener un aviso de privacidad digital. Eso es lo que de fácil acceso para los medios. Debe ser un lenguaje claro y sencillo. Eso quiere decir que un lenguaje que un 10 años pueda entender es lo suficientemente bueno. Debe ser conciso y la Comisión Europea recomienda el uso de la visualización. El aviso de privacidad o provisión de información debe ser gratuito a menos que sea infundado o excesivo. Todo bien. Más específicamente, el derecho a ser informado. Y también debe contener diversos tipos de información que entraremos en la siguiente diapositiva, y también información sobre otros datos, derechos de los sujetos, y cómo acceder a ellos. Echemos un vistazo a un aviso de privacidad de ejemplo. Como puedes ver, el lenguaje es claro y sencillo. La fuente y el estilo de fuente son fáciles de entender. Es muy específico. Eso significa que el individuo tiene una clara oportunidad de ponerse acuerdo con la comercialización y los canales de comercialización para esa materia. Se busca el consentimiento previo para su comercialización a otras empresas. Y al final tenemos la firma y la fecha para asegurarnos de que se demuestre doble. Por lo que este es un aviso de privacidad de mejores prácticas según lo emitido por el ICO. Entonces ahora que sabemos que debemos proporcionar información a los sujetos de datos de una forma clara y fácilmente accesible. También debemos mirar qué información se debe dar correcta? Ahora, el RGPD tiene una lista gestionada de información que debe proporcionarse a los sujetos de datos para que la proteína se considere transparente. La ley regula tanto la recaudación directa como la indirecta. En el caso de la recogida directa, debemos especificar la identidad y datos de contacto del responsable del tratamiento y el P0, la finalidad y fundamento jurídico para el tratamiento de los destinatarios de los datos personales. Si existe la intención de transferir datos a un país tercero u organización internacional. Y cuáles son las salvaguardas para transferir los datos si estamos publicando sobre la base jurídica de intereses legítimos, ¿cuáles son esos intereses legítimos? Acceso a los derechos de los interesados. Y cuáles son los derechos del interesado del particular si estamos tratando con base en un requisito contractual, ¿cuál es ese requisito contractual? Y si hay toma de decisiones automatizada presente, cuál es la lógica detrás ese algoritmo automatizado de toma de decisiones y las consecuencias para el sujeto de los datos. Todos estos deben proporcionarse de una forma clara, fácilmente accesible y concisa. En el caso de la recolección indirecta, se deberá especificar adicionalmente la fuente de los datos y los tipos de datos que se están procesando . Ahora, en el caso de cobranzas indirectas, como comprar una base de datos de marketing o recolectar datos de fuentes públicas, el aviso de privacidad no se dará en el momento de la recolección. Por lo que el RGPD exige un plazo para informar al interesado que sus datos están siendo procesados. El plazo es de 30 días o un mes, o en la primera comunicación con el interesado cuando se estén utilizando datos personales para comunicarse con él. O si se prevé la divulgación a otro destinatario o a más tardar cuando se divulguen por primera vez los datos personales. Ahora hay excepciones a esta regla en particular. Se el interesado ya ha sido informado y no hay cambio significativo en la actividad de procesamiento, entonces no hay necesidad de informarlo. Nuevamente, si hiciera imposible o perjudicara gravemente la finalidad del tratamiento de datos, como una investigación interna, no informaría al sospechoso de la investigación y lo que es sucediendo si es imposible o requiere un esfuerzo desproporcionado. Pero esto debe interpretarse de manera restrictiva como un ejemplo. Un hospital que recibe una alta afluencia de pacientes y todos estos pacientes dan información sobre un familiar cercano a ser contactado. En el caso de una emergencia, entonces ese hospital no tendría los recursos para informar a todos los familiares por la alta rotación de pacientes o alta afluencia de pacientes. Otra excepción es si existen leyes nacionales o de la Unión Europea que requieran que los datos personales permanezcan en secreto. O si existen leyes nacionales o europeas que requieran obtener o divulgar datos y proporcionar las medidas adecuadas para proteger los intereses individuales. Como se indicó anteriormente, la Comisión Europea recomienda el uso de la visualización para facilitar mucho la provisión de información y facilitar el uso de los interesados. Dentro de este curso, estaré presentando el concepto de la etiqueta de nutrición de privacidad. La etiqueta nutricional de privacidad está inspirada en las etiquetas de nutrición de los alimentos y tiene el objetivo de brindar al usuario una visión general fácil de usar y visual de qué tipo de procesamiento ocurrirá en los sujetos de los datos. información. En el eje vertical podemos ver los tipos de datos que se están utilizando. En el eje horizontal se los fines para los que se están utilizando. El código de colores explicará el sujeto de los datos. Si ese tipo de procesamiento ocurre, rojo no sucede hasta o sucede en base al consentimiento, ya sea opt-in o opt-out. El uso de la etiqueta nutricional de privacidad como primera página de su aviso de privacidad hará que sea más fácil para el interesado comprender al menos lo que sucederá con su información. Y si les gustaría saber más, solo pueden leer el aviso de privacidad completo o el aviso de privacidad del plomo. Bastante aseado. Correcto. 8. Transferencias internacionales: Anteriormente hablamos los derechos de los interesados y de lo que implica cada derecho. Ahora, veamos las transferencias transfronterizas y cómo podemos legitimar las transferencias desde dentro del espacio económico europeo, fuera del Espacio Económico Europeo. Ahora las transferencias transfronterizas se definen como transferencias de datos personales de un Estado miembro a un tercer país u organización internacional fuera del Espacio Económico Europeo. También se aplica a las transferencias posteriores de 1 tercer país u organización internacional a otro fuera del Espacio Económico Europeo. Todas estas transferencias tienen que ser legitimadas. Y hay tres formas en las que podemos legitimar una transferencia transfronteriza de datos a través de decisiones de adecuación, salvaguardas adecuadas o derogaciones, como exenciones de la ley. Entonces vamos a verlas individualmente. Ahora, las decisiones de adecuación son en realidad una lista de países a los que se pueden transferir datos en función de su presencia en esa lista. Esta lista es creada y aprobada por la Comisión Europea. La Comisión Europea puede derogar a un hombre o suspendido y tener la decisión de costos y se revisen las decisiones adecuadas cada cuatro años. ¿ Qué tiene en cuenta la Comisión Europea a la hora de decidir si un país es adecuado? Respeto a la justicia, acceso a la justicia, respeto a los derechos humanos fundamentales, estabilidad social, estabilidad política, etc, en la lista de adecuación. En este punto tenemos a los siguientes países. Andorra, Argentina, Canadá, Islas Feroe, Guernesey, Israel, Japón, Jersey, Nueva Zelanda, Suiza o Corea del Sur realmente añadieron recientemente. Y el Reino Unido con una decisión provisional de adecuación. Si usted está transfiriendo a alguno de estos países, no necesita tomar ninguna medida adicional excepto en la formación de los interesados que sus datos serán transferidos a estos países. Y los datos se están asegurando mediante el uso de una decisión de adecuación emitida por la Comisión Europea. Qué sucede si estamos transfiriendo datos a un tercero fuera del Espacio Económico Europeo en un país que no es considerado adecuado por la Comisión Europea. En ausencia de una adecuación, decisión, los controladores y el procesador pueden utilizar salvaguardas apropiadas para las transferencias de datos. Esto asegura que el tercero tenga un nivel similar protección de datos homólogo europeo. Y hay seis formas que se consideran salvaguardas apropiadas, cláusulas estándar de protección de datos sobre cómo las cláusulas contractuales, VCR, códigos de conducta, mecanismos de certificación y convenio internacional. Ahora la Cláusula de Protección de Datos estándar también se conoce como cierres modales. Esto, ya sea adoptado por la comisión o por autoridad nacional de control, que luego son aprobados por la Comisión. Son para una empresa del Espacio Económico Europeo que quiere enviar datos fuera del Espacio Económico Europeo. Existen diferentes tipos de cláusulas estándar de protección de datos tanto para los controladores como para los encargados del tratamiento. El hecho de que sean estándar significa que la forma es estándar y no es negociable. Es la herramienta más utilizada para las salvaguardas adecuadas. A raíz de que los camarones tomaron caso, confirmó la legalidad de la SEC. Sin embargo, las empresas deben llevar a cabo una evaluación caso por caso de las leyes cada país receptor para garantizar equivalentes esenciales a la legislación de la Unión Europea para los datos personales que se transfieren en virtud de la SEC o VCR. Si las leyes no son esencialmente equivalentes, las empresas deben proporcionar salvaguardas adicionales o suspender transferencias. Esas salvaguardias adicionales pueden entrañar controles técnicos adicionales, como cifrado y la obligación contractual sobre la forma de gestionar transferencias y divulgación obligada a las autoridades, en la forma en que las cláusulas contractuales deben contar la autorización de la autoridad supervisora del Estado miembro. Permiten la sastrería individual a las necesidades de la empresa. Las disposiciones relativas a tales cláusulas podrían diferir a nivel de los Estados miembros. Por último, también podemos utilizar acuerdos internacionales para legitimar la transferencia transfronteriza de datos. Cuando dos países celebren un acuerdo entre ellos para prever la protección de datos personales, como un tratado de asistencia judicial recíproca. Ahora los códigos de conducta son creados y revisados por asociaciones u otros organismos que representan a los controladores o procesadores. Son herramientas de señalización de cumplimiento para ellos y ayudaron tanto a controladores como a procesadores demostrar el cumplimiento del RGPD. También facilitan el libre flujo de datos personales de la Unión Europea fuera del Espacio Económico Europeo. Los códigos de conducta aprobados deberán permitir la vigilancia obligatoria del cumplimiento de sus disposiciones por parte del órgano de control acreditado. Cuando un responsable o encargado del tratamiento infrinja el código. Y el órgano de acreditación puede suspender o excluir del código a la parte infractora, notificando a la autoridad supervisora del procedimiento, el apego al código es un factor a considerar cuando la evaluación de una multa administrativa. Las certificaciones también son reconocidas por el RGPD como mecanismo aceptable para demostrar el cumplimiento. Están voluntariamente y disponibles a través de un proceso que es transparente. No reducen la responsabilidad del controlador o procesador por el cumplimiento. Pueden ser expedidos por organismos de acreditación, autoridades de control competentes, el ADP B, y asisten al responsable y encargado del tratamiento, lo mismo que un Código de Conducta que demuestre el cumplimiento y demostrandotambién el cumplimiento del artículo 25. Protección de datos por defecto y protección de datos por diseño. Tienen una vigencia no mayor a tres años y tal vez renovados y tienen que revisarse anualmente. Como es de esperar, hay consecuencias por el incumplimiento y los organismos de certificación son los encargados de retirar la certificación en caso de incumplimiento, deben informar al supervisor yproporcionar las razones por las cuales la certificación ha sido invalidada. Nuevamente, al igual que en el caso de los códigos de conducta, certificación es un factor que se considera al valorar una multa administrativa. Por último, tenemos derogación en ausencia de una decisión de adecuación o de salvaguardias adecuadas. Se podrán utilizar excepciones para las transferencias internacionales de datos. Son puntuales del reglamento y deben ser utilizados con prudencia e interpretados estrictamente para utilizar una derogación, necesitamos un fundamento jurídico. Y estos son los siguientes. Consentimiento explícito del interesado. Y el interesado debe entender los posibles riesgos de transferir sus datos personales fuera del EEE cumplimiento de un contrato con el interesado, a modo de ejemplo, soy un agencia de viajes y necesito reservar un hotel en Nicaragua porque Nicaragua no es un país adecuado y no tienen cláusulas contractuales tipo con el hotel en Nicaragua, utilizaré un derogación para cumplir con la reserva. No debe haber forma de cumplir con el contrato a menos que se transfieran los datos. interés público tal como lo define la ley local de los estados miembros, intereses vitales del individuo, como salvarle la vida. Si tengo problemas de salud en Tailandia, el hospital en Rumania puede transformar mis datos a Tailandia para tratarme, para salvar mi vida para la defensa de establecimiento de reclamaciones legales en un país de terceros. Intereses legítimos muy fuertes del controlador que deben interpretarse de manera restrictiva. Y transferir desde un registro público, protegiendo los derechos del interesado, y asegurando que sólo se transfieran los datos que se deban transferir. 9. Seguridad y cumplimiento: Y ahora con este módulo, estaremos concluyendo el curso dentro de este módulo, que abarcará tanto los requisitos de seguridad del reglamento como otra cosa que debemos tomar en cuenta para garantizarel cumplimiento. Al final de este módulo, que también hablará un poco sobre las multas que se pueden utilizar en relación con las infracciones de protección de datos dentro de la Unión Europea. ¿ Qué dice el RGPD en relación con la seguridad? Aquí tenemos el Artículo 32, también el artículo más citado en relación a encontrar El Artículo 32 dice lo siguiente. El controlador y los procesos deberán proporcionar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo. Tomando en cuenta el estado de la técnica costo de implementación, alcance del tratamiento, naturaleza de los datos, contexto y propósitos del tratamiento. Entonces, ¿qué significa cada factor? técnica significa tomar en cuenta opiniones profesionales sobre los controles de seguridad. Si estoy implementando un antivirus del año 2004, eso sería hacer caso omiso del factor de vanguardia. Costo de implementación se refiere al hecho de que la implementación de controles de seguridad debe reflejar buenas decisiones de gestión. A modo de ejemplo, si soy una empresa de cinco empleados que implementa solución tipo DLP de $10 mil para proteger datos personales, como direcciones de correo electrónico podría ser un poco irresponsable. La naturaleza se refiere al tipo de datos que se están procesando. Son datos personales o categorías especiales de datos como los datos médicos, que podrían necesitar controles de seguridad más estrictos. Alcance se refiere a la dirección de procesamiento y el número de registros. Una cosa es asegurar diez registros, es un seguro 100 mil registros. Contexto se refiere al contexto en el que se está llevando a cabo el procesamiento. Si bien la finalidad define para qué tipo de fines se están procesando los datos. Una cosa es procesar datos con el fin de enviar correos electrónicos a mis clientes. Es otra para procesar datos con fines de seguridad de cuentas. Quisiera subrayar el hecho de que todas estas medidas de seguridad deben tomarse apropiadamente el riesgo, eso significa tener un enfoque basado en el riesgo similar a la seguridad de la información. Por lo que se recomienda a ambos utilizar una metodología de riesgo a la hora de elegir controles D. Entonces, ¿qué es una violación de datos personales entonces? Bueno, una violación de datos personales significa una violación de la seguridad que conduce a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los datos personales que se procesan. Esto significa que la definición de violación de datos personales es bastante completa. Entonces, si pierdes registros, eso es una violación de datos personales. Si fueron alterados, que es una violación de datos personales a la que accedió tercero no autorizado es una violación de datos personales, acción deliberada o accidental o inacción por parte de nuestro procesador controlador es de datos incumplimiento. El envío de datos personales a un destinatario incorrecto es una violación de datos. Los dispositivos informáticos que contienen datos personales perdidos o robados es una violación de datos. La alteración de los datos personales sin permiso es una violación de datos. E incluso la pérdida de disponibilidad de datos personales es una violación de datos. Entonces, cualquier cosa que tenga un impacto en las personas es una violación de datos y cualquier cosa que se haga manera no autorizada es una violación de datos personales. Entonces sigamos adelante y veamos cuáles son los detonantes para notificar realmente tanto a las autoridades supervisoras los sujetos de los datos. Éstas se dan de acuerdo con el riesgo de vulneración de los derechos y libertades de las personas. Si existe un riesgo para los derechos y libertades de las personas, entonces se notifica por parte del responsable del tratamiento a la autoridad de control sin dilaciones indebidas o dentro de las 72 horas siguientes a la toma de conocimiento de se. Si es poco probable que la violación dé lugar a un riesgo para los derechos y libertades de la persona física, entonces no es necesaria ninguna notificación. Si es probable que la violación resulte en un alto riesgo para los derechos y libertades de las personas, entonces el controlador notificará a ambos el ensayo en un plazo de 72 horas. También los sujetos de datos sin dilación indebida después de tomar conocimiento de ello. Hay excepciones a esta regla. Si los datos están encriptados o ininteligibles, no se requiere notificación al interesado si las acciones posteriores a la violación reducen considerablemente los riesgos. Nuevamente, no se requiere notificación a los interesados. Y si hay una alta cantidad de individuos afectados, por lo que se requiere un esfuerzo desproporcionado para notificar a todos los individuos, entonces el controlador emitirá una declaración pública en internet o en los medios . Entonces echemos un vistazo a algunos ejemplos. Un grupo se está trasladando a otro edificio. Mudanzas encuentran el casillero de archivo HR abierto y múltiples carpetas. Las carpetas que faltan contienen datos de salud y está disponible la copia de seguridad digital. Como puede ver, se trata de un puente de confidencialidad e integridad que activará la notificación tanto a la SA como al sujeto de los datos. Siendo la explicación la siguiente. Dado que las carpetas contienen datos sensibles, existe un mayor riesgo para los derechos y libertades de las personas. Otro ejemplo es el siguiente. Una agencia con un Sistema de Archivos en Red de pacientes de la Unión Europea con enfermedades raras está ejecutando su propia infraestructura. Un colega detecta un ransomware después usar una memoria USB personal y después de un tiempo, nadie puede acceder a los datos de los servidores de archivos. Se trata tanto de una violación de confidencialidad como de disponibilidad, lo que desencadenaría notificaciones tanto al ensayo como al sujeto de los datos. La naturaleza sensible de los datos presenta un alto riesgo para los individuos afectados. Por supuesto, entrar en un hospital y no tener opciones de tratamiento porque los datos fueron encriptados sí tiene un impacto en mí como individuo a la hora de evaluar el riesgo de privacidad es bueno mirarlo desde el perspectiva del individuo. ¿ Qué siente? ¿Cómo reaccionarían? ¿ Cómo reaccionarías si estuvieras en su posición? Ahora dentro del RGPD, también tenemos el concepto de DPI, que está destinado tanto a demostrar el cumplimiento integrar consideraciones de protección de datos en una organización. Un DPA es requerido por ley, a diferencia de la PIA. Entonces, ¿cuándo se requiere en realidad? Desde una perspectiva jurídica, se requiere cuando una actividad específica de procesamiento conlleva un alto riesgo para los derechos y libertades de las personas. Los ensayos también pueden establecer actividades específicas de procesamiento que califican por defecto como altos riesgos como el montaje de cámaras de circuito cerrado de televisión. ¿ Qué contiene un DPI? ¿ Ahora? Un DPI contiene una descripción del tratamiento analizado, una evaluación de la necesidad, proporcionalidad y riesgo para los derechos y libertades de los sujetos de datos y las medidas para abordar el riesgo. Si el riesgo residual es alto, eso significa que los riesgos que no se han reducido a un nivel aceptable siguen siendo altos, entonces el controlador está obligado a consultar con el ensayo antes de trasladarse adelante con esa actividad específica de procesamiento. Me gustaría señalar que un DPI también puede abordar una actividad de procesamiento, también un conjunto de operaciones de procesamiento similares. Ahora el GDPR también ha ordenado la creación del puesto de trabajo conocido como DPO o Oficial de Protección de Datos. Entonces, cuáles son las condiciones para nombrar a un DPO, el legal, al menos las actividades centrales del contralor o procedimiento incluyen lo siguiente. Actividades de procesamiento que requieren monitoreo regular y sistemático de los sujetos de datos a gran escala. Procesamiento de categorías especiales de datos a gran escala. Tramitación por organismos públicos excepto tribunales que actúen en capacidad judicial o si los miembros de la ley estatal o la Unión Europea ordenan nombrar a un DPO. Algunos países dentro la Unión Europea, como Alemania, tenían sus propias reglas para ordenar DPO adicionales a las del RGPD en términos de responsabilidades laborales tan profundas, su monitorea el cumplimiento de la organización, el asesoramiento tanto a los controladores como terceros para garantizar el cumplimiento. Sirven como punto de contacto y cooperan tanto con los sujetos de ensayo como con los datos. Contribuyen a la creación del DPI. Gestionan las actividades de procesamiento y son independientes. Eso significa que deben reportar el más alto nivel de gestión y no debe haber conflicto de intereses entre su rol como DPO y otros roles que puedan tener dentro de su organización. También son un puesto protegido, lo que significa que la organización no puede ordenar a un DPO sobre cómo hacer su trabajo y no puede despedir al DPO por actividades relacionadas con DPR. Ahora, los aspectos más publicitados del GDPR fueron las enormes multas. Existen paréntesis para los expedientes, siendo el primero hasta la suma de 10 millones de euros o el dos por ciento de la facturación global, lo que sea mayor, o 20 millones de euros, o el 4% de la facturación global, lo que sea mayor el tramo de 20 millones es por infracción de principios de procesamiento, derechos de los sujetos de datos, obligaciones de transferencia internacional, ley de los Estados miembros o incumplimiento de una orden de ensayo. El dos por ciento de multa, o tramo de 10 millones de euros, es para cualquier otro tipo de infracciones como la protección de datos por diseño o la protección de datos por incumplimiento. Ahora, quiero señalar que son las autoridades nacionales de control las que emiten multas. Tienen autonomía en las multas que emitan. El Grupo de Trabajo del Artículo 29, también conocido como EDP B ahora ha emitido orientaciones sobre factores que los ensayos tendrán en cuenta al emitir un expediente, como negligencia o intención, escala de la infracción, cumplimiento del ensayo, etc. Pero aún queda en manos de la autoridad fiscalizadora local, que establecerá la suma de la multa. Enhorabuena, hemos terminado el curso GDPR Made Easy, ellos habrán dado sus primeros pasos para entender Protección de Datos Europea y la regulación general de protección de datos. Agradezco su asistencia. Ten en cuenta que he adjuntado algunos documentos a este curso para ayudarte a implementar un programa de privacidad de cumplimiento del RGPD. Saludos.