+34.911735181 pablo@pablofb.com   Contenido basado en normas de España (Europa), salvo indicación expresa en contrario.

Curso 'Delegado de Protección de datos'

Fecha de la última actualización: 14 de junio de 2019

1.- TEMARIO COMPLETO

TEMA 1.- PRINCIPIOS Y FUNDAMENTOS DE LA PRIVACIDAD Y LA PROTECCIÓN DE DATOS

  • Contexto de la privacidad, la ciberseguridad y la protección de datos
  • Diferencia entre derecho de la personalidad y derecho personalísimo
  • Aproximación al GDPR (art. 1 RGPD) y la LOPD
  • Normas diferentes a GDPR sobre privacidad y protección de datos de carácter personal
  • Normas diferentes a GDPR sobre protección de datos de carácter no personal
  • Organismos competentes y autoridades de control
  • Definiciones sobre privacidad y protección de datos (art. 4 RGPD)
  • Principios sobre privacidad y protección de datos (art. 5 RGPD)

TEMA 2.- REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD / GDPR) Y NUEVA LOPD

  • Introducción al GDPR (Considerandos 1 a 27 RGPD) y a la LOPD
  • Considerandos y artículos del GDPR (todos los considerandos e índice de artículos) y LOPD
  • Directrices de interpretación del GDPR y LOPD: artículos, guías, opiniones, criterios, doctrina judicial y jurisprudencia
  • Ámbito de aplicación material (art. 2 RGPD)
  • Ámbito territorial (art. 3 RGPD)
  • Limitaciones al GDPR por normativa europea o local (art. 23 RGPD)
  • Introducción al Documento de Seguridad adecuado al GDPR y LOPD

TEMA 3.- RESPONSABLE DEL TRATAMIENTO

  • Quién es quién en el GDPR y la LOPD
  • El Responsable del Tratamiento. Obligaciones y responsabilidades (art. 24 RGPD)
  • Representante del Responsable del Tratamiento no establecido en la Unión (art. 27 RGPD)
  • Cooperación con la autoridad de control (art. 31 RGPD)
  • Corresponsables del tratamiento (art. 26 RGPD)

TEMA 4.- ENCARGADO DEL TRATAMIENTO

  • El Encargado del Tratamiento. Obligaciones y responsabilidades (arts. 28 y 29 RGPD)
  • El Contrato de Encargado del Tratamiento o CET en el GDPR y en la normativa local (art. 28 RGPD)
    • Qué y cómo es un CET
    • Sujetos, objeto, obligaciones y responsabilidades
    • Articulado obligatorio y anexos
    • Plazo de vigencia de los CET (Disposición Transitoria Segunda del RD-l de medidas urgentes)
  • Introducción a las Normas Corporativas Vinculantes o BCR (Considerandos 107, 108 y 110 y artículo 4.20 RGPD)
  • Representante del Encargado del Tratamiento no establecido en la Unión (art. 27 RGPD)
  • Cooperación con la autoridad de control (art. 31 RGPD)

TEMA 5.- CONSENTIMIENTO PARA EL TRATAMIENTO DE DATOS

  • Qué es el consentimiento (considerando 32 y art. 4.11 RGPD y arts. 8 a 13 LAP)
  • Tipos de consentimiento:
    • informado (art. 4.11 RGPD)
      • inequívoco (art. 4.11 RGPD)
        • expreso o explícito (arts. 9, 22, 49.1 RGPD; art. 1 LO 1/82; art. 21 LSSI; y art. 8 LAP)
          • por escrito (arts. 2, 8, 10 LAP; art. 3 LO 1/82; art. 15 Ley 19/2003; Orden INT/3215/2010)
  • Licitud del tratamiento de datos personales (art. 6 RGPD)
  • El interés legítimo (art. 6.f RGPD)
  • ¿Cómo se obtiene el consentimiento?
    • Principio de transparencia en la información (art. 12 RGPD)
    • Información que deberá facilitarse cuando los datos personales se obtengan del interesado (art. 13 RGPD)
    • Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado (art. 14 RGPD)
  • La prueba documental del consentimiento recibido (Considerando 42 RGPD)
  • El consentimiento para casos especiales:
    • Categorías especiales de datos personales (art. 9 RGPD)
    • Tratamiento de datos personales relativos a condenas e infracciones penales (art. 10 RGPD)
    • Decisiones individuales automatizadas, incluida la elaboración de perfiles (Considerando 71 y art. 22 RGPD)
    • Datos personales de menores de edad (art. 8 RGPD, art. 13 RLOPD, art. 3 LO 1/82 y arts. 9.2.c y 9.4 LAP)
    • Uso de cámaras de videovigilancia (Guía videovigilancia AEPD)
  • Marketing y consentimiento
    • Transparencia, concisión y previsión del error del aceptante (art. 12 RGPD, art. 27 LSSI y arts. 18.3 y 80 LGDCU)
    • Envío de comunicaciones comerciales por vía electrónica y no electrónica (Considerando 47 y arts. 6.1.a, 6.1.b y 6.1.f RGPD y art. 21 LSSI)
    • Casilla sin marcar y la finalidad secundaria y diferente de la principal (art. 13 RGPD)
    • Información con silencio negativo (art. 13 RGPD)
    • Seguimiento de apertura de los mensajes por parte de los destinatarios (Considerando 47 RGPD)
    • Instalación de cookies y dispositivos similares (art. 22.2 LSSI)
    • Seguimiento por medio de señales emitidas por terminales móviles (art. 6 RGPD)
    • Toma y uso de fotografías o grabación de vídeos en eventos (arts. 12 a 14 RGPD)
    • Publicación de imágenes y otros datos en redes sociales (art. 49.1.a RGPD)
  • Tratamientos que no requiere identificación (art. 11 RGPD)

TEMA 6.- DERECHOS DE LOS INTERESADOS

  • Qué son los derechos de los interesados (arts. 12 y 15 a 22 RGPD, arts. 21 y 22 LSSI, arts. 4 a 7 LAP)
  • Sujetos con derechos y sujetos obligados (art. 2 y 3 RGPD)
  • Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado (art.12 RGPD)
  • Formas de ejercicio y requisitos (considerando 64 RGPD)
  • Derechos PARSOLO:
    • Portabilidad (art. 20 RGPD)
    • Acceso (art. 15 RGPD y 18 LAP)
    • Rectificación (art. 16 RGPD)
    • Supresión con borrado o bloqueo (art. 17 RGPD)
    • Olvido (art. 17 RGPD)
    • Limitación con suspensión del tratamiento o con deber de conservación (art.18 RGPD)
    • Oposición (art. 21 RGPD y art. 29 LCD)
    • Otros:
      • A no ser objeto de decisiones individualizadas automatizadas, incluida la elaboración de perfiles (art. 22 RGPD)
      • A ser informado sobre el tratamiento pretendido (arts. 12 a 14 RGPD)
      • Revocación (art. 2 LO 1/1982)
      • Rectificación periodística (art. 1 LO 2/84)
  • Marketing y Derechos… a través del caso:
    • Baja, Limitación y Oposición
    • Elaboración de perfiles
    • Fotografías, Publicidad impresa, vídeos y dibujos
  • Plazos de respuesta y ejecución (art. 12 RGPD)
  • Otros derechos desarrollados en la [nueva] LOPD

TEMA 7. DELEGADO DE PROTECCIÓN DE DATOS (DPO / DPD) Y RESPONSABLE DE SEGURIDAD (RS)

  • Qué es y quién puede ser DPO
  • Qué es y quién puede ser Responsable de Seguridad o RS
  • Sujetos que requieren designar un DPO
  • Comunicación del DPO a la Autoridad de Control
  • Posición del delegado de protección de datos
  • Funciones del delegado de protección de datos
  • Esquema de certificación de DPO de la AEPD

TEMA 8.- MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES

  • Protección de datos desde el diseño y por defecto (Considerandos 78, 108 y  arts. 25 y 47 RGPD)
  • Actividad del DPO y del RS en la segurización del dato (Considerando 77 y arts. 35 y 39 RGPD)
  • Medidas de seguridad y estado de la técnica (Considerando 29, 71, 78, 87 y 156, arts 4, 5, 24, 25, 28, 30, 32 y 34 RGPD y art. 14 LAP)
    • Medidas de Seguridad Físicas
    • Medidas de Seguridad Lógicas
    • Medidas de Seguridad Organizativas
    • Medidas de Seguridad Formativas
    • Generación y conservación de prueba documental
  • Registro de las actividades de tratamiento (art. 30 RGPD)
  • Designación de un DPO (art. 37 RGDP)
  • Análisis de Riesgo (art. 32 RGPD)
  • Evaluación de Impacto y Consulta Previa (art. 35 RGPD)
  • Elección y mantenimiento de las medidas de seguridad (arts. 5, 25 y 32 RGPD)
    • Implantación y configuración de medidas de seguridad
    • Revisión y mejora continua de las medidas de seguridad

TEMA 9.- INSTRUMENTOS PARA LA ACREDITACIÓN DEL CUMPLIMIENTO

  • La responsabilidad proactiva (Considerando 85 y art. 5.2 RGPD)
  • El Responsable y la carga de la prueba
  • Documento de Seguridad adaptado al GDPR
    • Tratamiento de Datos y DPO
      • Registro de actividades
      • Análisis sobre la necesidad de un DPO para cada una de las actividades de tratamiento como responsable y como encargado
      • Metodologías para la generación de procesos de nuevos tratamiento de datos con protección desde el diseño y por defecto
      • Pre-evaluaciones y, en su caso, evaluaciones de impacto sobre los datos personales
      • Análisis de riesgo por cada tratamiento e implantación de medidas físicas y lógicas
    • Personal y soportes
      • Funciones y obligaciones del personal
      • Certificados de formación de las personas que vayan a tener acceso a datos personales
      • Gestión de salida y entrada de soportes
      • Análisis de riesgos por cada tratamiento e implantación de medidas organizativas
    • Contratos de encargado del tratamiento, siempre localizables
    • Protocolos de actuación
      • Solicitud de derechos
      • Respaldos
      • Recuperación de datos
      • Brechas de seguridad
    • Mantenimiento constante por parte del Responsable de Seguridad o el DPO 
  • Sistemas para la obtención, gestión y custodia de pruebas documentales
    • Consentimiento y tratamiento
    • Gestión de usuarios
    • Cifrado por archivo
  • Códigos de conducta
  • Certificación

TEMA 10.- TRANSFERENCIAS INTERNACIONALES

  • Principio general de las transferencias
  • Transferencias basadas en una decisión de adecuación
  • Transferencias mediante garantías adecuadas
  • Normas corporativas vinculantes o BCR
  • Transferencias o comunicaciones no autorizadas por el Derecho de la Unión
  • Excepciones para situaciones específicas
  • Cooperación internacional en el ámbito de la protección de datos personales

TEMA 11.- AUTORIDADES DE CONTROL INDEPENDIENTES Y COMITÉ EUROPEO

  • Autoridad de control (art. 51 RGPD)
    • Independencia y principios (art. 52 RGPD)
    • Competencia, funciones y poderes
    • Cooperación, coherencia y asistencia mutua
  • Comité Europeo de Protección de Datos

TEMA 12.- AUDITORÍAS DE SEGURIDAD Y DE PROTECCIÓN DE DATOS

  • Auditorías de Seguridad
    • Proceso de Auditoría documental y técnica
    • Elaboración de informes de auditoría
    • Acciones correctoras y acciones correctivas y preventivas
  • ISO 27001
  • Acercamiento a la auditoría técnica por medio del hacking ético
    • Revisiones de código fuente en software, apps y webs
    • Revisión de servicios externos e internos
    • Revisión de redes y sistemas
    • Revisión de la gestión de usuarios y permisos de acceso
    • BYOD, dispositivos móviles y soluciones MDM

TEMA 13.- ACCIONES ANTE UNA BRECHA DE SEGURIDAD

  • Qué es un incidente o brecha de seguridad y cómo puede afectar a los datos
  • Notificación de una violación de la seguridad de los datos personales a la autoridad de control
  • Comunicación de una violación de la seguridad de los datos personales al interesado

TEMA 14.- RECURSOS, INDEMNIZACIÓN Y SANCIONES

  • Recursos
  • Derecho a indemnización
  • Daño reputacional
  • Tipos de sanciones
  • Multas administrativas
  • Delitos

TEMA 15.- NORMATIVAS SECTORIALES DE PROTECCIÓN DE DATOS Y NUEVAS TECNOLOGÍAS

  • E-commerce, marketing, estadística y ventas
    • Ley de Cookies
    • Sistemas de rastreo sin cookies
    • Comunicaciones comerciales por vía electrónica
    • Contenidos en sitios web propios
  • Laboral
    • Estatuto de los Trabajadores
    • Contrato laboral
    • Normativa interna y Códigos de Conducta
  • Telecomunicaciones
  • Prensa, Publicidad y entretenimiento
    • Ley de Prensa
    • Derecho de rectificación periodística o réplica
    • Derecho al honor y a la intimidad personal y familiar
    • Derecho a la propia imagen
  • Sanidad y farmacia
  • Videovigilancia
  • Banca y Seguros
    • Prevención del Blanqueo de Capitales
    • Solvencia Patrimonial
    • Videovigilancia para para la banca
  • Blockchain
  • IoT, Cloud, Big Data y Smartphones
  • Operadores de infraestructuras críticas

2.- PRESENTACIONES, TEMARIO Y TAREAS POR DÍA

Tabla de presentaciones (ppt) organizadas por día. El material docente es solo un apoyo para las explicaciones en el aula. Para estudiar, acude a la normativa y a los documentos enlazados en la sección Guías y Documentos de Ayuda.

El contenido de esta sección está disponible en el área privada del curso.

3.- Guías y Documentos de ayuda

⚠ Cuidado al usar estos documentos: los documentos publicados por la AEPD, por otras agencias o por el WP29 con anterioridad al 25 de mayo de 2018 solo deben sirvir para tomar ideas y saber interpretar mejor el RGPD para proteger a las personas a través del correcto tratamiento de datos de carácter personal. Para evitar cargarlos en mi web o tener que indicar las fechas he puesto enlaces externos a los mismos, alojados en servidores de terceros, en los que las fechas están visibles. En relación con las respuestas a consultas, están a vuestra disposición desde esta página web, con indicación del origen y su fecha.

– ¿Puedo redifundir los documentos de la AEPD a través de pablofb.com?

1.- Códigos y selecciones de normativas:

Las normas principales están en la ppt del Día 1. Estos enlaces solo llevan a algunos textos normativos y otros documentos de refuerzo.

2.- Protección de Datos – General:

A.- Normativa europea:

B.- Normativa española:

C.- LOPD 3/2018 o LOPDGDD (e histórico del proyecto)

D.- Crossover para su descarga y uso gratuitos

3.- Protección de Datos – Sectorial:

La práctica totalidad del tejido empresarial español está formado por empresas de menos de 250 empleados, con una importante presencia en el sector servicios y menor en los otros tres: agrario, industria y construcción. Más información en el Portal PYME, del Ministerio de Industria.

Estas son las normas y recomendaciones de la AC de protección de datos que considero de mayor interés para estos sectores.

A.- Marketing, comunicación y prensa

También te puede interesar:

B.- Justicia y Defensa

C.- Laboral

D.- Sanitario

  • Ley 41/2002 de la autonomía del paciente (arts. 8 a 19): Establece las condiciones genéricas para la obtención del consentimiento, debiendo constar por escrito en determinadas circunstancias. La documentación clínica debe conservarse por, al menos, 5 años. Es una ley básica dado que son las Comunidades Autónomas las que deben adoptar medidas para su efectividad.
  • Ley Orgánica 3/2013 contra el dopaje (arts. 15, 16, 54 y 63): Establece criterios para que el personal médico habilitado realice controles a los deportistas en horario, salvo excepciones, de 6h a 23h. Los clubes y entidades deportivas mantendrán un libro registrado en la Agencia Española de Protección de la Salud en el Deporte, con consideración de documento sanitario, con los tratamientos prescritos. Se habilita a los sujetos para realizar ciertas cesiones de datos.
  • Ley 33/2011 General de Salud Pública (art. 7): Respeto a la dignidad sobre las personas que participen en actuaciones de salud pública. 
  • Ley Orgánica 2/2010 de interrupción del embarazo (arts. 20 y 21): Exige el cifrado de los datos y su custodia separada de los de carácter clínico, debiendo cancelarse aquellos, de oficio y salvo excepciones, a los 5 años.
  • Ley 54/2007, de adopción internacional (art. 13): Permite determinadas transferencias internacionales de datos personales.
  • Ley Orgánica 10/2007 sobre el ADN: Establece normas para la obtención, gestión y custodia de bases de datos de ADN, a las que se deberán aplicar los más altos estándares de seguridad.

E.- Financiero

  • Ley 10/2014, de Entidades de Crédito: Establece cómo ha de ofrecerse la información, por escrito, en precontratos y contratos.
  • Ley 26/2013, de Cajas de Ahorros y Fundaciones: Legitima las cesiones de datos a Banco de España.
  • Ley 10/2010, de Prevención del Blanqueo de Capitales: Posibilita la creación de ficheros sin consentimiento de los interesados y sin informarlos e impone la obligación de custodia de los datos por 10 años. Los gestores de los ficheros comunes previstos en el artículo 33 precisan DPO, según interpretación de la AEPD en una de sus respuestas en su Sesión Anual de 2018. 
  • Ley Hipotecaria, de 1946: Establece a los 20 años la prescripción de la acción hipotecaria.
  • Ley 58/2003, General Tributaria: Impone la obligación de informar a Hacienda, sin consentimiento de los interesados y posibilita la publicación de listados de deudores.
  • Ley 13/2011, de regulación del juego (arts. 16 y 22): Medidas de seguridad reforzadas en la homologación del software. Se registrarán determinados datos, sin consentimiento de los afectados, de personas vinculadas a operadores de juego o a las que les está prohibido el juego.

F.- Educación

G.- Logística

H.- Telecomunicaciones

I.- Administración Pública

J.- Partidos políticos

A.- Introducción al RGPD

B.- Guía para el responsable del tratamiento 

C.- Análisis de Riesgos y Evaluación de Impacto sobre la Protección de Datos

D.- Transparencia, legitimidad y consentimiento

E.- Contratos de Encargado del Tratamiento

F.- Transferencias internacionales

G.- Ley de Cookies

H.- Miscelánea sobre nuevas tecnologías

I.- Brechas de seguridad

J.- Autoridades de control y multas administrativas

K.- Repositorios de documentos

L.- Vídeos de la 10ª Sesión Abierta AEPD sobre el RGPD (canal AEPD)

  1. Apertura de la 10ª Sesión Abierta AEPD
  2. Registro de actividades de tratamiento
  3. Análisis de riesgos, evaluación de impacto y brechas de seguridad
  4. Entrega de Premios Protección de Datos 2017
  5. Ley de sociedad de la información y comercio electrónico
  6. Principio de accountability, papel del DPD y códigos de conducta
  7. Potestad sancionadora, autoridades de control y procedimientos
  8. Orientaciones del GT29 en relación con el RGPD y el papel del CEPD
  9. Proyecto de Ley Orgánica
  10. Intervenciones Asistentes

1.- Autoridades de Control

A.- AC Españolas

B.- AC de otros países de la Unión

2.- Consultas AEPD

A.- ¿Un abogado necesita firmar CET con sus clientes?

B.- Antes del 25 de mayo de 2018, pedí a mis suscriptores que renovasen el consentimientos para que pudiera seguir enviándoles la newsletter. ¡Casi nadie contestó! ¿Qué hago? ¿Borro la base de datos?

C.- La LOPD 15/1999 no regulaba el tratamiento de los datos de las personas de contacto en las empresas. ¿El RGPD sí?

D.- Me gustaría seguir usando casillas en negativo y consentimientos obtenidos por el paso 30 días sin oposición. ¿Es posible con el RGPD?

E.- La existencia de la Lista Robinson presupone que todo nacido consiente tácitamente la recepción de publicidad dirigida. ¿Seguirá existiendo la Lista Robinson con el RGPD?

F.- Un grupo de empresas puede tener un único DPO que no sepa español, no esté en España y no conozca el derecho español, siempre que tenga a su cargo a un gestor español con un equipo en España formado por profesionales que sepan español y dominen el derecho español?

G.- RGPD para influencers: Consulta jurídica sobre la posibilidad de convertir una base de datos de miles de usuarios obtenida para fines personales en una base de datos para el envío de comunicaciones comerciales de terceros por vía electrónica

H.- ¿Es necesario firmar un CEt con empresas de correos y mensajería?

I.- ¿Hay que firmar contrato de encargado del tratamiento con auditores de cuentas?

3.- Sentencias de interés

A.- Derecho al Olvido:

B.- Miscelánea de sentencias imprescindibles:

C.- Otras sentencias de interés:

4.- Resoluciones seleccionadas (bajo RGPD)

El contenido de esta sección está disponible en el área privada del curso.

1.- Normativa de Ciberseguridad

2.- Políticas de seguridad para la PYME (por INCIBE)

3.- Cómo certificar el envío de un e-mail

4.- Contraseñas

Recomiendo seguir las recomendaciones de INCIBE dispuestas en su Política de Seguridad de Contraseñas y superar este listado.

A.- Gestor de contraseñas (mis 5 favoritos)

Con estos gestores no tendrás que volver a recordar una contraseña.

B.- Generador de contraseñas

Recuerda: siempre más de 8 caracteres y al menos una mayúscula, una minúscula, un número y un símbolo. No uses fechas ni nombres. Ayúdate con generadores.

5. Antivirus

Instala y configura correctamente un antivirus profesional. Estas son mis recomendaciones:

6.- Herramientas sencillas de cifrado

7.- Herramientas gratuitas de ciberseguridad

La ciberseguridad completa es un destino deseable e inalcanzable.

Soluciones ciber de analítica web: Estas páginas ayudan a saber qué es lo próximo que debes arreglar en tu web:

Herramientas ciber: La Oficina de Seguridad del Internauta (OSI) ofrece un listado de enlaces a sitios desde los que puedes acceder a herramientas de ciberseguridad gratuitas: Herramientas.

8.- Formación en ciberseguridad

Formación gratuita online

Cursos de pago

Congresos de pago o gratuitos en España

Congresos de pago o gratuitos en fuera de España

Foto de j zamora en Unsplash.