Movimientos nacionales e internacionales de datos de carácter personal.

Curso dedicado al estudio de los movimientos nacionales e internacionales que pueden darse a los datos personales que son tratados en el desarrollo de cualquier actividad empresarial o profesional. Los movimientos de datos personales pueden tener lugar dentro de un grupo de empresas; entre co-rresponsables del tratamiento; entre un responsable y un encargado del tratamiento o entre dos responsables del tratamiento.

La externalización de servicios es, cada vez más, el día a día de casi todos los profesionales. Para garantizar la protección de los datos personales durante los distintos tratamientos a los que pueden estar sometidos por distintos responsables o encargados del tratamiento, la normativa prevé un conjunto de garantías que bien articuladas reducen al mínimo el riesgo que para los datos supone salir de la esfera de control del responsable del tratamiento de origen.

Como novedad, abordaremos en este curso la propuesta de controles de cumplimiento que la ISO 27701:2019 sobre técnicas de seguridad como extensión de la ISO/IEC 27001 y la ISO/IEC 27002 para la gestión de la privacidad recoge para los responsables y para los encargados del tratamiento.

Uno de los objetivos esenciales del curso es saber identificar la figura de un prestador de servicios que actúa como encargado del tratamiento al tratar datos personales por cuenta del responsable del tratamiento, y poder diferenciarla de figuras afines, aprendiendo a reconocer cuándo la contratación de un servicio conlleva el acceso a datos por dicho encargado.

Estas contrataciones pueden tener lugar con empresas dentro del Espacio Económico Europeo o fuera del mismo, por tanto, en este curso se estudia el régimen jurídico en materia de transferencias internacionales, al cual se dedica una parte específica y separada. En concreto, en la segunda parte, se atenderá al concepto y requisitos aplicables a las transferencias internacionales de datos.

El alumno aprenderá a saber cómo dotar a la relación jurídica de las garantías contractuales necesarias para poder ser considerada como una prestación de servicios y no como una cesión de datos. Se analizarán las exigencias que derivan del hecho de subcontratar determinadas partes del servicio contratado; de la obligación de garantizar la seguridad de los datos a los que se tenga acceso para la prestación del servicio conociendo qué comprobaciones se deben realizar para elegir al encargado adecuado y cómo debe reflejar el encargado del tratamiento y el responsable del fichero la existencia de su relación en sus documentos de seguridad respectivos.

También se tratarán aspectos como los supuestos en los que el encargado debe y puede comunicar los datos a un tercero, las obligaciones relacionadas con la terminación del contrato y con la conservación de los datos y los acuerdos que se pueden adoptar para la correcta atención y respuesta al ejercicio de los derechos de los titulares de los datos afectados por la prestación del servicio atendiendo a los distintos supuestos de hecho que se pueden plantear.

Además, en este curso, en la segunda parte tal como se ha indicado, el alumno conocerá el régimen jurídico aplicable a las transferencias internacionales de datos, prestando especial atención a supuestos específicos tales como las transferencias internacionales de datos entre encargados del tratamiento. Se trata de conocer el concepto de nivel adecuado, el marco regulador aplicable en el Reglamento general de protección de datos a dichas transferencias internacionales, los instrumentos disponibles y casos específicos de aplicación. Entre dichos instrumentos se encuentran, por ejemplo, el Escudo de Privacidad, que sustituyó al invalidado Acuerdo de Puerto Seguro, o nuevos instrumentos que introduce el Reglamento General de Protección de Datos con la finalidad de flexibilizar el régimen que regula los movimientos internacionales de datos.

Objetivos académicos

  • Conocer los conceptos clave y el régimen jurídico aplicable tanto a la externalización de servicios como a las transferencias internacionales de datos.
  • Aprender los requisitos que debe incluir un contrato de externalización de servicios y los aplicables a una transferencia internacional de datos a partir de ejemplos prácticos.
  • Conocer los instrumentos existentes para las transferencias internacionales de datos, prestando especial atención al Comité Europeo de Protección de Datos, a las Decisiones de la Comisión Europea y el Reglamento general de protección de datos.
  • Conocer el significado y alcance del concepto de nivel adecuado y el origen de las garantías adecuadas aplicables a las transferencias internacionales de datos.
  • Atender a la aplicación práctica de instrumentos para las transferencias internacionales de datos en casos específicos, tales como las transferencias internacionales encargado a encargado del tratamiento.

Competencias

  • Conocimiento básico de la legislación aplicable en materia de protección de datos.
  • Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben.
  • Ser capaz de auditar las necesidades de protección de datos de una organización teniendo en cuenta el ordenamiento sectorial antes indicado (no exhaustivo).
  • Conocimiento profundo de la legislación aplicable en materia de protección de datos.
  • Ser capaz de evaluar y verificar el cumplimiento de los objetivos de seguridad definidos por el Reglamento General de Protección de Datos.
  • Ser capaz de integrar en su análisis los requerimientos derivados de la regulación específica en sistemas afectados por el Esquema Nacional de Seguridad y otras normas.
  • Ser capaz de verificar el grado de cumplimiento normativo en materia de protección de datos de una organización.
  • Ser capaz de establecer procedimientos de cooperación con la autoridad de control a solicitud de esta o a iniciativa propia.
  • Actualización al Reglamento general de protección de datos.
Programa

El curso está dividido en ocho (8) unidades didácticas, las cuatro primeras relativas a la parte de externalización de servicios y las cuatro últimas relativas a la parte de transferencia internacional:

Unidad 1. El encargado del tratamiento

  • Introducción.
  • Delimitación de conceptos.
  • Distinción con otras figuras.

Unidad 2. Contrato de acceso a datos por cuenta de terceros

  • Regulación legal.
  • Contenido y forma.
  • Subcontratación.
  • Destino de los datos al finalizar el contrato: devolución, destrucción y conservación de los datos.

Unidad 3. Obligaciones legales del encargado del tratamiento

  • Introducción.
  • Tratamiento legal de datos.
  • Registro de actividades del tratamiento.
  • Garantizar la seguridad de los datos.
  • Atención y respuesta al ejercicio de los derechos en protección de datos.
  • Incumplimiento: régimen sancionador.

Unidad 4. Cuestiones prácticas a considerar en la externalización de servicios

  • Revisión y actualización de contratos u otros instrumentos jurídicos vigentes.
  • Diligencia debida en relación con la contratación de encargados del tratamiento y garantías suficientes.
  • Supervisar el tratamiento que realiza el encargado.
  • Finalización del servicio y destino de los datos personales.

Unidad 5. Transferencias internacionales de datos.

  • Concepto
  • Destino de la transferencia internacional de datos: países con y sin nivel adecuado.
  • Finalidad de las transferencias: responsable-responsable, responsable-encargado y encargado-encargado.
  • Régimen aplicable a las transferencias internacionales de datos

Unidad 6. Instrumentos para las transferencias internacionales de datos I

  • Decisiones de adecuación
  • En particular, el Escudo de Privacidad
  • Garantías adecuadas

Unidad 7. Instrumentos para las transferencias internacionales de datos II

  • Cláusulas contractuales tipo:
    – Decisiones de la Comisión Europea: base jurídica y conjuntos de cláusulas contractuales tipo. Cláusulas para responsable-responsable del tratamiento y cláusulas para responsable-encargado del tratamiento.
    – Decisiones de las Autoridades de control
  • Normas corporativas vinculantes:
    – Concepto y contenido de las normas corporativas vinculantes.
    – Procedimiento de aprobación por la autoridad líder y reconocimiento mutuo y documentos relevantes del Comité Europeo de Protección de Datos.
  • Excepciones

Unidad 8. Cuestiones prácticas a considerar en las transferencias internacionales de datos

  • Transferencias internacionales encargado-encargado.
  • Transferencias internacionales responsable-encargado.
Fechas del curso

20/01/20 – 15/03/20

 

Duración

8 semanas / 60 horas

 

Formato

100% Online

 

Precios

425 € (asociados) 850 € (no asociados) IVA incluido

 

Matricularse
Profesores
Maria Arias Pou

María Arias Pou es doctora en Derecho y profesora en distintas universidades y centros de negocios. Consultora en materia de protección de datos y comercio electrónico con más de 15 años de experiencia. Ha trabajado en proyectos de empresa privada y de Administración Pública.

Consultor perfil jurídico certificado por APEP desde 2013.

Autor de numerosas publicaciones relacionadas con la protección de datos y el comercio electrónico.

Vicepresidenta primera de APEP y responsable desde 2016 del desarrollo y ejecución del plan de formación de la Asociación. Participa como vicepresidente en el Capítulo de la Asociación Internacional de Profesionales de Privacidad, IAPP, para Panamá, donde reside hace tres años.

Linkedin: https://www.linkedin.com/in/mar%C3%ADa-arias-pou-2244284/

Profesores invitados

Dentro del programa tendremos la participación de los especialistas invitados Javier Aparicio y María Vidal de finReg360.

 

Javier Aparicio cuenta con más de 20 años de experiencia asesorando y representando a entidades e instituciones en el ámbito de la protección de datos, con alta especialización en sector financiero.

Es Abogado del Estado en excedencia. Fue Jefe del Gabinete jurídico de la Agencia Española de Protección de Datos y socio responsable del departamento de protección de Datos y Nuevas Tecnologías de Cuatrecasas, Durante 15 años. Javier colabora como Of Counsel en finReg desde enero de 2017.

Durante su carrera profesional podríamos destacar que Javier: (i) representó a España en el grupo del artículo 29 de la Directiva de PD en la Comisión Europea, (ii) fue parte del equipo redactor de la Ley Orgánica de Protección de Datos en el Congreso de los Diputados, (iv) abogado de Google en el caso del buscador frente a la AEPD.

Linkedin: https://www.linkedin.com/in/javierapariciosalom/

 

 

María Vidal es abogada experta en protección de datos y nuevas tecnologías. En la actualidad colabora como Of Counsel en finReg360.

La mayoría de su carrera profesional la desarrolló en Deloitte Legal liderando multitud de proyectos de tecnología. Asimismo, es y ha sido profesora de cursos y masters en la materia como, la Universidad de Navarra, el Instituto de Empresa (IE), el Instituto de Estudios Bursátiles (IEB), la Universidad Carlos III de Madrid y el Instituto de Formación Empresarial de la Oficial Cámara de Comercio e Industria de Madrid.

Es co- autora del libro “Memento Experto de Protección de Datos” y “Memento de Transmisiones de Empresas 2014-2015” (editados por Ediciones Francis Lefebvre).

Licenciada en Derecho por la Universidad de Navarra y con Master en Derecho de las Nuevas Tecnologías de la Información y las Comunicaciones por la Universidad Pontificia Comillas, ICADE.

María es acreditada CIPP/E por la IAPP, y ha sido reconocida como abogada a seguir en materia de Tecnologías de la Información por el directorio internacional, Chambers & Partners, 2016.

Linkedin: https://www.linkedin.com/in/maria-vidal-5680527/

Volver arriba