EL ROMPECABEZAS DEL RGPD. Zaragoza, 22 de noviembre de 2018.

1. Aplicación en las entidades deportivas.Aproximación al entorno regulatorio desde la perspectiva de las Federaciones. EL ROMPECABEZAS DEL RGPD. Zaragoza, 22 de noviembre de 2018.

2. Malum consilium quod mutari non potest. “Un mal plan no puede cambiarse”. PubliusSyrus, siglo II a.C.

4. Introducción. • La cuenta atrás ha terminado. • Desde el pasado 25 de mayo de 2018 es de obligado cumplimiento el Reglamento General de Protección de Datos de la Unión Europea (RGPD), • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. • Es necesario adoptar decisiones necesarias para estar en situación de cumplimiento. • El riesgo de no hacerlo es el de posibles sanciones pero también, de tipo reputacional. • La evolución del negocio en la senda de la transformación digital hace de este reto una necesidad imperativa.

5. Introducción. • Con la aplicación del RGPD, los organismos públicos, empresas y, por supuesto, las federaciones deportivas y diversas entidades deportivas se ven afectadas por las nuevas exigencias. • Es por ello que se deberían estar finalizando las diversas tareas de actualización y adaptación de sus políticas y protocolos de protección de datos a las nuevas directrices que establece el RGPD. • Se trata de reforzar la protección del derecho de las personas a la protección de sus datos personales dentro de la UE. • Esa armonización de la normativa de protección de datos coadyuva a la consecución de un verdadero mercado único digital. • Se trata de garantizar la confianza y seguridad de los consumidores y la libre circulación de los datos personales entre los Estados de la UE. 

6. ¿Qué es RGPD? • RGPD es la abreviatura del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. • La UE acordó la reforma de su política de protección de datos, instrumentalizada en la aprobación de un nuevo paquete legislativo entre cuyas medidas se incluye la aprobación del Reglamento RGPD. • Introduce novedades y mejoras significativas en la protección de este derecho fundamental de la UE. • El RGPD sustituye todas las normas nacionales anteriores, así como cualquier norma sectorial que contenga regulaciones sobre la protección de datos personales.

7. Delegado de Protección de Datos DPD DPO. • Destacamos la figura del DPD DPO, una de las medidas estrella de la proactividad de las empresas en la protección de los datos personales de los ciudadanos. • Constituye una figura fundamental en la reforma iniciada por el RGPD, puesto que será el encargado de instaurar la cultura de la protección de datos en el seno de la entidad (data compliance). • El DPO ha de tener total acceso a la cúpula directiva para asesorar y reformar aquellos procesos o métodos que sean necesarios para el cumplimiento de las nuevas políticas proactivas en esta materia. • El RGPD establece una serie de entidades en las que será obligatoria la presencia de un DPD, entre las que debemos incardinar a las federaciones deportivas o los clubes deportivos por tener entre sus actividades principales el tratamiento a gran escala de datos sensibles o la observación habitual y sistemática de un número elevado de interesados.

8. Delegado de Protección de Datos DPD DPO. • El DPOmantendrá el contacto con la autoridad competente en esta materia y debe de tener autonomía en el ejercicio de sus funciones. • El encargado o el responsable del tratamiento, debe facilitarle todos los recursos que requiera para que pueda desarrollar su actividad. • Será designado por sus cualidades profesionales y conocimientos especializados en esta materia. • Pudiendo formar parte interna de la plantilla de trabajo o ser externo y desempeñar sus funciones mediante un contrato de prestación de servicios. • En aras de facilitar la labor de aquellas empresas que se vean obligados a contratar a un DPD, la AEPD ha redactado un esquema de certificación de Delegados de Protección de Datos con este objeto.

9. AUDIDAT como EF ha desarrollado acciones formativas Homologadas por una EC para llevar a cabo la cualificación profesional que acredite la aptitud de los DPD DPO. • Véase: • https://escueladpo.com/ • La Escuela DPD DPO de AUDIDAT es la primera en España de estas características y una de las pioneras en la Unión Europea. • Nuestros cursos van dirigidos a personas tanto profesionales como autónomos, para organizaciones de todo tipo, sector de actividad y tamaño, así como tanto públicas como privadas.

10. Base legal. • Hasta el 27 de abril de 2016, tanto la Directiva 95/46 como la normativa nacional vigente en esta materia, en nuestro país era la LOPD y el RD 1720/2007, eran plenamente válidas y aplicables. • Después ha publicado en el BOE núm. 183, de 30/07/2018, con entrada en vigor: 31/07/2018 el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (RDL 5/18). • Viene a clarificar a espera de la aprobación de la nueva ley orgánica de protección de datos personales, ciertos aspectos del derecho interno que se encontraban desplazados desde que el pasado 25 de mayo de 2018, resultara de plena aplicación el reglamento RGPD (UE) 2016/679.

11. Base legal. • Como consecuencia del RGPD hay una mayor protección de los derechos de las personas sobre sus datos y el reforzamiento de los diferentes mecanismos de control sobre los mismos. • Ello es de aplicación a las entidades que tratan en su actividad diaria una gran cantidad de datos personales, algunos muy sensibles. • En este capítulo se encuentran las federaciones deportivas, clubes u otras entidades deportivas. • Para cumplir los requisitos deberán adaptar su política de protección de datos para no incurrir en responsabilidad disciplinaria desde el pasado 25 de Mayo.

12. Base legal. • Hay una serie de vías que permite el RGPD para tratar los datos personales, todas ellas igualmente válidas. • Las más importantes son: • El consentimiento, es decir una clara acción afirmativa. • La ejecución de un contrato. • El cumplimiento de obligaciones legales. • La protección de intereses vitales del interesado u otros. • El cumplimiento de misión de interés público. • El interés legítimo del responsable del tratamiento.

13. Consentimiento. • No se admite el consentimiento tácito o por omisión. • El consentimiento debe ser inequívoco y explícito, que se deduzca de una clara acción afirmativa del interesado. • Entre las principales acciones que se deberían realizar estarían la revisión de la redacción del clausulado legal de obtención de datos personales. • Con ello se persigue que estos se recaben desde el consentimiento expreso y no por omisión o tácitamente. • Asimismo, permite que se pueda revocar en cualquier momento, de forma fácil.

14. Transparencia e información a los interesados. • Se establecen nuevos requisitos de transparencia y derechos reforzados de información. • Concretamente, toda información que se facilite a los interesados, ya sea para el tratamiento de sus datos o en respuesta al ejercicio de alguno de los derechos que están previstos, debe ser por escrito. • Además debe ser concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje sencillo y claro. • Hasta ahora nuestra LOPD, sólo exige que se preste de forma expresa, precisa e inequívoca.

15. Transparencia e información a los interesados. • Se debería revisar y/o modificar el clausulado informativo o nota legal. • Con ello, su redacción deberá ser clara y concisa y que pueda resultar comprensible para cualquier lego en la materia. • El nuevo RGPD establece el contenido mínimo que debe ofrecerse: • fines para los que se está recabando el consentimiento, • intención de transferencias internacionales, • identificación del Delegado de Protección de Datos, • perfiles, • etc.

16. Reconocimiento de nuevos derechos. • A los derechos tradicionales de acceso, rectificación, cancelación y oposición (“ARCO”) reconocidos por la anterior Directiva comunitaria y por la LOPD, se reconoce a los interesados el ejercicio de nuevos derechos como: • el derecho al olvido, • a la portabilidad de los datos, • a la limitación del tratamiento de sus datos, • así como la ampliación del derecho de acceso a los interesados.

17. Reconocimiento de nuevos derechos. • Se ha de permitir la obtención de una copia del registro de los datos y la libertad de circulación de los mismos en el entorno comunitario. • Se debería incidir en la adaptación de los procedimientos implementados para que faciliten a los interesados el ejercicio de estos derechos de una forma sencilla. • Igualmente las entidades deben implementar mecanismos de respuesta ágil por parte del encargado del tratamiento. • Estos mecanismos se deben enfocar a que las federaciones deportivas no dilaten o ralenticen estas acciones.

18. Medidas de responsabilidad proactiva. • El RGPD no establece medidas concretas de control y seguridad, pero invoca el principio de responsabilidad proactiva, o prevención, de los procesadores de datos en función de los riesgos inherentes a cada organización. • Entre las principales acciones que se establecen destacamos: • 1) análisis de riesgos, protección de datos desde el diseño y por defecto; • 2) mantenimiento de un registro de actividades de tratamiento • (desaparece la inscripción de ficheros en la AEPD, • obligando al responsable y al encargado del tratamiento a la llevanza de ese registro de actividades, • equivalentes al anterior documento de seguridad)

19. Medidas de responsabilidad proactiva. • Entre las principales acciones que se establecen destacamos (continuación): • 3) notificación de violaciones de seguridad: • el responsable del tratamiento deberá notificar los fallos y violaciones de la seguridad de sus datos a ponerlo en conocimiento en las siguientes 72 horas a la autoridad de protección de datos competente, en España la AEPD; • 4) evaluación de impacto de la protección de datos: • conocida como EIPD, los responsables del tratamiento deberán identificar, con carácter previo a la implementación de una determinada medida, aquellas que puedan ocasionar un grave riesgo para los derechos y libertades de los interesados.

20. Otros aspectos de Protección de Datos. • Otros aspectos como: • el establecimiento de los catorce años como la edad mínima en la que el menor puede prestar su consentimiento para el tratamiento de sus datos, • la transferencia de datos a nivel internacional. • o el régimen sancionador que prevé para los supuestos muy graves la imposición de multas administrativas de hasta veinte millones de euros o del 4% del volumen del negocio anual total si se trata de una empresa, • reiteran la apuesta de la UE por este nuevo marco de protección de datos único para todos los Estados miembros.

21. Novedades del RDL. • Entre las principales novedades destacables del Real Decreto-ley 5/2018, de 27 de julio, podemos enfatizar las siguientes: • Se establecen los plazos de prescripción de las infracciones: • 3 años ante alguno de los supuestos sancionados por el RGPD con multas de hasta 20 millones de € o de una cuantía equivalente al 4% como máximo, del volumen de negocio total anual global del ejercicio financiero anterior. • 2 años ante alguno de los supuestos sancionados por el RGPD con multa de hasta 10 millones de € o de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

22. Novedades del RDL. • Se establecen los plazos de prescripción de las sanciones una vez impuestas, esto es, el período del que dispone la administración para requerir el pago: • 1 año las sanciones con importe igual o inferior a 40.000 €. • 2 años para las sanciones cuyo importe oscile entre 40.0001 € y 300.000 €. • 3 años para las sanciones por importe superior a 300.000 €.

23. Novedades del RDL. • Se recoge expresamente la posibilidad de que la AEPD redirija una reclamación al DPO de un Responsable o Encargado para que este responda en el plazo de un mes a la reclamación planteada. • En caso de no contar con dicha figura del DPOse podrá redirigir directamente al Responsable o Encargado del tratamiento. • El RDL establece la validez de contratos de Encargado de tratamiento, decretándose la validez de todos los que se hayan formalizado con anterioridad al 25 de mayo de 2018 conforme a lo establecido en la Ley Orgánica 15/1999 de protección de datos de carácter personal, hasta que finalice la vigencia de dichos contratos. • En caso de que dichos contratos sean indefinidos los mismos tendrán que adaptarse al RGPD antes del 25 de mayo de 2022.

24. La gestión de riesgos se puede dividir en tres etapas diferenciadas:

25. Contexto y enfoque. Partes Interesadas Activos Medidas • Clientes: • Personas. • Organizaciones . • Privadas . • Públicas . • Proveedores : • Proveedores de servicios de internet . • Proveedores de servicios de aplicaciones . • Personas: • Activos físicos. • Activos virtuales. • Organizaciones: • Activos físicos . • Activos virtuales. • Buenas prácticas : • Preventivas . • De detección . • Reactivas. • Coordinar y compartir información. Fuente: ISO/IEC 27032.

26. El rol de las partes interesadas. Partes Interesadas o Grupos de Interés • Clientes. • Personas. • Usuarios de aplicaciones, juegos online, web surfer, etc. • Vendedor/comprador de bienes o servicios . • Bloggery otros generadores de contenidos. • Miembros de organizaciones, etc. • Organizaciones . • Publicidad e información de la compañía. • Parte de una red de entrega y recepción de mensajes . • Proactividad en la extensión de sus compromisos de responsabilidad al Ciberespacio (incluir el ciberespacio). • Proveedores. • Proporcionar acceso al ciberespacio a sus empleados y socios de negocios . • Proporcionar servicios a clientes en el ciberespacio . • Cuando sean asociaciones o grupos empresariales: • Proporcionar servicios y productos seguros . • Proporcionar guías de seguridad a los usuarios finales.

27. Naturaleza de la ciberseguridad. SEGURIDAD DE LA INFORMACIÓN-e CIBERSALUBRIDAD CIBERCRIMEN SEGURIDAD EN LAS APLICACIONES CIBERSEGURIDAD SEGURIDAD EN LAS REDES SEGURIDAD EN INTERNET PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS DE INFORMACIÓN Relación entre ciberseguridad y otros dominios de seguridad. Fuente: ISO/IEC 27032.

29. En la siguiente gráfica podemos ver como ambos conceptos, riesgo y coste de protección, se relacionan. • El punto en el que el coste de protección es el adecuado para mantener los riesgos por debajo del umbral fijado de riesgo es el coste de equilibrio. Este punto dependerá del umbral de riesgo de acuerdo con los objetivos de la empresa. • Fuente INCIBE. www.incibe.es

30. Dimensiones de seguridad. • A fin de poder determinar el impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas y de poder establecer la categoría del sistema, se tienen en cuenta las siguientes cincodimensiones de la seguridad, que están identificadas por sus correspondientes iniciales (DAICT), que están definidas más adelante: • a) Disponibilidad [D]. • b) Autenticidad [A]. • c) Integridad [I]. • d) Confidencialidad [C]. • e) Trazabilidad [T].

31. Soluciones de ciberseguridad. Fuente INCIBE.

32. Servicios de ciberseguridad. Fuente INCIBE.

33. Niveles de Exposición e Impacto. • La Exposición a Amenazas y Vulnerabilidades, así como el Impacto Potencial, se clasifican en el MODELO AUDIDAT en 4 niveles, que caracterizan la categoría del riesgo, en orden decreciente: • CRÍTICO. • SIGNIFICATIVO. • RELATIVO. • BAJO. • Cuando un sistema maneje diferentes informaciones y preste diferentes servicios, el nivel del sistema en cada dimensión será el mayor de los establecidos para cada información y cada servicio. CRÍTICO. SIGNIFICATIVO. RELATIVO. BAJO.

34. Perfiles del riesgo, en orden creciente: ACTIVOS DE INFORMACIÓN CRÍTICO. EXPOSICIÓN AMENAZAS IMPACTO POTENCIAL SIGNIFICATIVO. VULNERABILIDADES RELATIVO. DIMENSIONES DE SEGURIDAD BAJO.

35. Determinación de los requisitos de seguridad. EXIGENCIAS FUNCIONALES OBJETIVOS DE SEGURIDAD RIESGOS VULNERABILIDADES ORIGEN DE LOS ATAQUES IMPACTOS ACTIVOS ACTIVOS CRÍTICOS EXIGENCIAS DE SEGURIDAD 35

36. Naturaleza del impacto. ACTIVOS CRÍTICOS + MEDIOS QUE SOPORTAN LOS ACTIVOS ATAQUE DE LAS AMENAZAS VALOR DE LOS ACTIVOS SERVICIOS Y DATOS DEL SI - - + DEGRADACIÓN PERJUICIO IMPACTO SI SE MATERIALIZA LA AMENAZA A mayor valor de un activo y a mayor impacto causado por una amenaza, mayor degradación y perjuicio potencial, en servicios del SI y en los activos.

37. 3.1. Dimensión de valoración y aceptación de riesgos. • La organización tiene que valorar la repercusión de la interrupción del servicio, estimando hasta cuándo se pueden asumir paradas sin consecuencias, a partir de cuándo es grave y a partir de qué momento es catastrófico. • En el ejemplo, paradas de hasta seis horas se pueden asumir sin consecuencias, pero a partir de las 6 horas, se disparan las alarmas que aumentarán si la parada supera los 2 días. • Si la parada supera el mes, se puede decir que la organización ha perdido su capacidad de operar, lo cual supone su defunción. • Fuente: Consejo Superior de Administración Electrónica (CSAE).

38. Evaluación y análisis con la Herramienta AUDIDAT. La Figura a continuación es la visualización de dicho gráfico, dividido en cuatro cuadrantes, etiquetados como "baja exposición, bajo impacto", "alta exposición, bajo impacto", "baja exposición, alto impacto“ y "alta exposición, alto impacto". Representación de la Herramienta AUDIDAT de AR/GR para la organización: Exposición a Amenazas y Vulnerabilidadese Impacto Potencial.

39. Representación de laCalificación del Perfil de Riesgo de AUDIDAT. Figura de representación con 14 segmentos de Calificación del Perfil de Riesgo de AUDIDAT.

40. Resumen Ejecutivo. • Una parte importante es la representación gráfica del Perfil de Riesgo que se obtiene como resultado de la Evaluación, aunque se repite nuevamente más adelante en el apartado de Resultados del Informe, también se incluye en el Resumen Ejecutivo, para facilitar esa toma de contacto con el resultado de forma abreviada y rápida.Ejemplo: Tabla 4.2. Posicionamiento de los resultados de la Calificación. Véase la zona marcada en amarillo nº12RELATIVO -CRÍTICO, resaltada en negrita.

41. Respuestas del gabinete jurídico de la AEPD sobre el deporte. • En el Informe 0107/2010, Cesión de datos para tramitar las licencias deportivas, la consulta plantea, si el cumplimiento de un fallo emitido por el Comité Español de Disciplina Deportiva, puede constituir una infracción de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD). La AEPD dictamina que debe ejecutarse el fallo del Comité de Disciplina Deportiva, lo que obliga analizar si ese cumplimiento puede vulnerar la normativa de protección de datos, sin que de este análisis de desprenda vulneración alguna. • En el Informe 0108/2010, Cesión de datos por parte de las Federaciones Deportivas Autonómicas a la Federación Española, la consulta plantea, si para que la entidad consultante pueda comunicar los datos a la Federación Española, es necesario que entre ambas partes se firme un contrato del artículo 12 “Acceso a datos por cuenta de terceros” de la LOPD. La Agencia responde que la entidad consultante puede comunicar los datos a la Federación Española, sin necesidad de recabar el consentimiento, dado que se trata de una cesión amparada en el artículo 11.2 a) de la Ley Orgánica 15/1999, en conexión con el artículo 32 de la Ley Del Deporte. Por ello, tratándose de una cesión, no resulta necesaria la firma de ningún contrato del artículo 12 de “Acceso a datos por cuenta de terceros”. • En el Informe 0414/2009, Comunicación de datos al Comité de Disciplina Deportiva, la consulta plantea si la comunicación de determinados datos relacionados con un expediente de disciplina deportiva resulta conforme con la LOPD. La AEPD aclara que siempre y cuando la información no se utilice para ningún otro fin, está entre las atribuciones legales de los Comités de Disciplina Deportiva recabar todos los datos necesarios para ejercer correctamente sus funciones investigadoras y sancionadoras. • En el Informe 0445/2009, La realización de test psicotécnicos implica el tratamiento de datos de salud, se analiza la actividad de una empresa que realiza evaluaciones psicotécnicas de aptitudes, características de personalidad y preferencias profesionales de los alumnos. Además de la obvia declaración del título, en el informe se aclara que podemos concluir que al tratarse de datos relacionados con la salud de los escolares, deberá contarse con su consentimiento expreso para que pueda procederse al tratamiento y tratándose de menores de edad, el artículo 13.1 del reglamento de desarrollo de la Ley Orgánica 15/1999 establece, como criterio general que “Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores”.

42. Recomendación final. • Recomendamos a todas aquellas entidades deportivas que no hayan iniciado ningún trabajo de adaptación al nuevo RGPD, concierten convenios a la mayor brevedad. • Estos convenios pueden ser de colaboración empresarial con expertos en data compliance, como es el caso de AUDIDAT. • Con ello, podemos actuar como agente facilitador para implementar de la forma más eficaz posible las principales tareas de adaptación al nuevo RGPD. • Asimismo la prestación del servicio de Delegado de Protección de Datos, es imprescindible para estar en condiciones de demostrar tanto la responsabilidad proactiva, como que se han tomado todas las medidas de cumplimiento reglamentarias.

43. FIN DE LA PRESENTACIÓN. • GRACIAS POR SU ATENCIÓN. • aeneriz@audidat.com • albertogomez@audidat.com • delegacion.zaragoza@audidat.com