pablo@pablofb.com   Contenido basado en normas de España (Europa), salvo indicación expresa en contrario.

Documentación de Protección de Datos

Fecha de la última actualización: 30 de junio de 2021

Vídeo: Cómo cumplir RGPD (30 minutos)

Índice de la página

  1. Guías y documentos de ayuda
    1. Autoridades de control
    2. Normativa general y normativa por sectores
      1. Códigos de normativa
      2. Protección de datos – General
        1. Normativa europea
        2. Normativa española
        3. Material de interés
      3. Protección de datos – Sectorial
        1. Administración Pública
        2. Bio y Sanitario
        3. Comunicación, marketing y prensa
        4. Defensa
        5. Educación
        6. Financiero
        7. Logística y franquicias
        8. Telecomunicaciones
        9. Partidos políticos
        10. Laboral
    3. Guías sobre RGPD y sobre IoT, Cloud, reconocimiento de huellas…
      1. Guía para el responsable del tratamiento
      2. Análisis de riesgos y EIPD
      3. Transparencia, legitimidad y consentimiento
      4. Contratos de encargado del tratamiento
      5. Transferencias internacionales
      6. Normativa sobre cookies, pixels, fingerprint y otros rastreadores
      7. Documentación de protección de datos sobre nuevas tecnologías
      8. Brechas de seguridad
      9. Autoridades de control y multas administrativas
      10. Miscelána de normas y documentación de interés
    4. Consultas a la AEPD
    5. Sentencias de interés y resoluciones AEPD
    6. Recursos legales y técnicos
      1. Normativa de ciberseguridad
      2. Políticas de seguridad para la PYME
      3. Cómo certificar el envío de un email
      4. Contraseñas
      5. Antivirus
      6. Herramientas sencillas de cifrado
      7. Certificado y firma electrónica
      8. Herramientas gratuitas de ciberseguridad
      9. Manuales y formación en ciberseguridad
  2. Plantillas editables, modelos y textos de ejemplo
  3. Temario completo (formato desplegable)
  4. Acrónimos

Más vídeos de interés ↕

Consejos sobre ciberseguridad para padres
Masterclass online (gratis): ¿Cómo cumplir la Ley de Cookies?
Masterclass online (gratis): Ciberseguridad para abogados
Haz clic aquí para acceder a mi guía divulgativa 'Fundamentos de la Protección de Datos en España'

1.- Guías y Documentos de ayuda

⚠ Cuidado al usar estos documentos: los documentos publicados por la AEPD, por otras agencias o por el WP29 con anterioridad al 25 de mayo de 2018 solo deben sirvir para tomar ideas y saber interpretar mejor el RGPD para proteger a las personas a través del correcto tratamiento de datos de carácter personal. Para evitar cargarlos en mi web o tener que indicar las fechas he puesto enlaces externos a los mismos, alojados en servidores de terceros, en los que las fechas están visibles. En relación con las respuestas a consultas, están a vuestra disposición desde esta página web, con indicación del origen y su fecha.

– ¿Puedo redifundir los documentos de la AEPD a través de pablofb.com?

1.- Autoridades de control

A.- AC Españolas

B.- AC de otros países de la Unión

2.- Normativa general y normativa por sectores

1.- Códigos de normativa

Estos enlaces solo llevan a algunos textos normativos y otros documentos de refuerzo.

2.- Protección de Datos – General

A.- Normativa europea:

Fechas de interés sobre el RGPD:

  • 27/01/2012: Propuesta, por la Comisión Europea
  • 04/05/2016: Publicación en el Diario Oficial
  • 24/05/2016: Entrada en vigor
  • 23/05/2018: Corrección de errores
  • 25/05/2016: Plenos efectos directos

B.- Normativa española:

D.- Material de interés

3.- Protección de Datos – Sectorial:

La práctica totalidad del tejido empresarial español está formado por empresas de menos de 250 empleados, con una importante presencia en el sector servicios y menor en los otros tres: agrario, industria y construcción. Más información en el Portal PYME, del Ministerio de Industria.

Estas son las normas y recomendaciones de la AC de protección de datos que considero de mayor interés para estos sectores.

A.- Administración Pública

  • Reglamento (UE) 2018/1725: regula la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos.
  • Ley 23/2011 de depósito legal (art. 8): La Biblioteca Nacional podrá conservar copias de los sitios web que considere.
  • Reglamento eIDASREGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE
  • Ley 19/2013 de transparencia (arts. 5 y 15): Establece la obligación para las administraciones públicas de publicar sus registros de actividad y determina la forma de entregar documentos en los que consten datos personales.
  • Orden INT/3215/2010, del conductor habitual y del arrendatario a largo plazo: Exige la firma del conductor para su inscripción en el Registro de Vehículos.

B.- Bio y sanitario

C.- Comunicación, marketing y prensa

  • Directiva 2000/31/CE sobre el comercio electrónico: Regula determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior
    • Transposición – Ley 34/2002 (LSSI). Incluye:
      • Información a mostrar en una web profesional (art. 10)
      • Responsabilidades por estar en Internet (arts. 13 a 17 LSSI)
      • Cómo enviar e-mails comerciales (arts. 19 a 22.1 LSSI)
        • Opción 1: con consentimiento expreso (art.21.1 LSSI) sobre los sectores de actividad sobre los que se enviará publi (art. 45 RLPOD). Las listas de exclusión publicitaria (Lista Robinson) no son aplicables, por existir un consentimiento expreso y por ser la LSSI una norma especial que prevé un sistema particular de oposición (gratuito, sencillo y electrónico) de obligatoria inclusión en cada envío, además del derecho de oposición tradicional del RGPD.
        • Opción 2: sin consentimiento (art. 21.2 LSSI, bajo el art. 6.f RGPD y el Informe 0195/2017 AEPD), solo sobre productos o servicios propios (no de empresas del Grupo) que sean similares, según apreciación del cliente, a los que este previamente adquirió, con independencia de si la relación contractual está o no en vigor. Las listas de exclusión publicitaria (Lista Robinson) no son aplicables, por ser la LSSI una norma especial que prevé un sistema particular de oposición (gratuito, sencillo y electrónico) de obligatoria inclusión en cada envío, además del derecho de oposición tradicional del RGPD. Dato de interés: La STS 4399/2020 recuerda que es obligatorio informar al cliente expresamente sobre este tratamiento y, en línea con la Resolución AEPD E/01423/2020, ofrecerle la oportunidad de oponerse incluso antes de que el tratamiento haya comenzado, además de tratar el dato solo mientras exista expectativa razonable por parte del receptor de las comunicaciones (Dictamen 06/2004 GT29Informe 0195/2017 AEPD y Considerando 47 RGPD).
      • Ley de Cookies (art. 22.2 LSSI)
      • Cómo vender a través de Internet (art. 23 y 24 LSSI)
  • RGPD (Considerando 50): «Las operaciones de tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos deben considerarse operaciones de tratamiento lícitas compatibles».
  • RLOPD (arts. 45 a 51 en lo que no contradigan al RGPD): Cómo obtener autorización y tratar los datos para actividades de publicidad y prospección comercial, incluso por vía electrónica.
  • Ley de Competencia Desleal (art. 29): Derecho de oposición en la propia llamada comercial, sin necesidad de usar otras vías.
    • PS/00258/2020 Multa de 12.000 euros a una empresa que, a través de un agente comercial externo, realizó llamadas no consentidas a una persona que se había opuesto verbalmente y cuyos datos estaban incluidos en Lista Robinson.
  • Ley de Prensa: Cómo publicar noticias por los periodistas y cuál es el alcance de su deber de secreto.
  • Ley Orgánica sobre la rectificación periodística: Cómo publicar una réplica en un medio de comunicación.
  • Ley Orgánica sobre honor, intimidad y propia imagen: Cómo hacer fotos en eventos; y cómo reaccionar ante opiniones de usuarios.
  • Ley de Consumidores y Usuarios: Cómo vender a través de Internet.

También te puede interesar:

  • E/09158/2018: Resolución de archivo de actuaciones sobre DIA SA: «Para poder participar en estos descuentos promocionales, el cliente no debe dar ningún dato personal más a la entidad reclamada, sino solamente permitir recibir publicidad comercial si no lo estaba recibiendo ya, y así poder aprovechar el descuento de esos cupones, por lo que no resulta desproporcionado a la finalidad para lo que se solicita el consentimiento, en este caso, el envío de publicidad comercial, siendo además libre la elección de proporcionarlo o no. Si no se proporciona, el cliente puede seguir disfrutando de otra serie de promociones o descuentos, sin ningún inconveniente. Por consiguiente, en este caso, si no se presta el consentimiento no se deniega la prestación del servicio, sino un mero descuento».
  • Informe 89/2020: El concepto «fuente accesible al público» o «fuentes accesibles al público» ya no existe desde que es de aplicación el RGPD. En su lugar, se debe realizar un juicio de ponderación al sopesar sobre la posibilidad de legitimar el tratamiento en algún interés legítimo debidamente concretado.  
  • Consejos sobre «Publicidad no deseada» (AEPD)
  • Informe jurídico sobre Comunicaciones comerciales por medios electrónicos (AEPD)
  • Informe jurídico sobre comunicaciones comerciales (AEPD)
  • Lista Robinson, de exclusión publicitaria

D.- Defensa y Justicia

E.- Educación

F.- Financiero

  • Ley 10/2014, de Entidades de Crédito: Establece cómo ha de ofrecerse la información, por escrito, en precontratos y contratos.
  • Ley 26/2013, de Cajas de Ahorros y Fundaciones: Legitima las cesiones de datos a Banco de España.
  • Ley 10/2010, de Prevención del Blanqueo de Capitales: Posibilita la creación de ficheros sin consentimiento de los interesados y sin informarlos e impone la obligación de custodia de los datos por 10 años. Los gestores de los ficheros comunes previstos en el artículo 33 precisan DPO, según interpretación de la AEPD en una de sus respuestas en su Sesión Anual de 2018.
  • Ley Hipotecaria, de 1946: Establece a los 20 años la prescripción de la acción hipotecaria.
  • Ley 58/2003, General Tributaria: Impone la obligación de informar a Hacienda, sin consentimiento de los interesados y posibilita la publicación de listados de deudores.
  • Ley 13/2011, de regulación del juego (arts. 16 y 22): Medidas de seguridad reforzadas en la homologación del software. Se registrarán determinados datos, sin consentimiento de los afectados, de personas vinculadas a operadores de juego o a las que les está prohibido el juego.

G.- Logística y franquicias

H.- Telecomunicaciones

I.- Partidos políticos

J.- Laboral

  • Estatuto de los Trabajadores (18, 19, 20…): Determina condiciones sobre la inviolabilidad del trabajador, su seguridad y su salud, así como la forma en que el empleador puede controlar al empleado.
  • Ley 23/2015, de inspección de trabajo (arts. 16, 18 y 24): Los inspectores de trabajo pueden tener acceso a datos de trabajadores sin su consentimiento.
  • Real Decreto 1844/1994, de elección a órganos de representación laboral (art. 6): Establece qué datos de los empleados han de hacerse públicos en elecciones a órganos de representación de los trabajadores en la empresa.
  • Informes y resoluciones de interés:
    • Guía sobre La protección de datos en las relaciones laborales (AEPD)
    • SVS de PRL: El servicio de vigilancia de la salud externo (por prevención de riesgos laborales) es el responsable del tratamiento al que cede los datos de los empleados la empresa contratante (Informe 112/2008)
    • Comunicación de nóminas a subcontratas: En determinados casos, se puede comunicar el RNT (antiguo TC2) y nóminas de salarios de los trabajadores empleados en una subcontrata a la empresa principal (Informe 412/2009 y respuesta publicada por la AEPD)
    • ETT y CET: Una ETT y la empresa usuaria no han de firmar un CET (Informe 172/2006)
    • Portales de empleo: Infojobs debe informar, a quien ejercita su derecho de acceso, sobre las empresas a las que ha comunicado el CV de un candidato, entendiendo por comunicación o cesión de datos la puesta a disposición para que puedan ser vistos por un tercero en la web del portal de empleo sin que contractual sea posible su descarga. (Resolución R/00214/2021 AEPD)
  • Sentencias y resoluciones de interés:
    • TSJCV Social 22 junio 2021: Una empresa puede despedir de forma procedente a los empleados que pican en phishing y fraude del CEO. 
    • STS 3910/2016: La Sección Sindical, a través del derecho a la libertad sindical, está legitimada para enviar por email información sindical a los trabajadores, remitiendo las comunicaciones a una lista de distribución creada y gestionada por el departamento de recursos humanos de la empresa. En caso de que un trabajador solicite la baja a la Sección Sindical, dado que esta no tiene las direcciones de email ni puede gestionarlas, tendrá que responderle indicando que debe tramitarla él mismo solicitando a la empresa su exclusión de la lista de distribución, para lo cual es obligatorio que la Sección Sindical incluya información al respecto en cada comunicación sindical. 
    • SAN 4002/2020: La empresa no puede entregar las direcciones de correo electrónico o email de las personas trabajadoras a los representantes de los trabajadores. La información sindical se deberá entregar por otros medios, tales como los tablones de anuncios físicos o electrónicos, a través de la web o la intranet.
    • STS 1413/2021 (nota de prensa): El Tribunal Supremo confirma la pena de un año de prisión a un empresario que accedió en reiteradas ocasiones al correo electrónico particular de un trabajador.
    • PS/00245/2019: Se considera dato de carácter especial la respuesta que dé una persona cuando se le pregunta en un formulario por su sexo y se le ofrece, además de las opciones «chico» y «chica», la alternativa «otras opciones», ya que permite inferir de alguna forma la orientación sexual del interesado.

COVID-19: La información relacionada con las medidas sanitarias que pueden ser adoptadas por los servicios de vigilancia de la salud en las empresas contra el COVID-19 se encuentra en la sección de «bio y sanitario«.

2.3.- Guías sobre RGPD y sobre IoT, Cloud, reconocimiento de huellas...

Antes de continuar, quizá quieras consultar la Guía para el ciudadano (AEPD), de tipo introductorio, en relación con los derechos que tiene el usuario frente a quienes tratan sus datos; y la página de fundamentos de la protección de datos que he elaborado para facilitar un primer acceso a la normativa.

A.- Guía para el responsable del tratamiento

B.- Análisis de Riesgos y Evaluación de Impacto sobre la Protección de Datos

C.- Transparencia, legitimidad y consentimiento

D.- Contratos de Encargado del Tratamiento

E.- Transferencias internacionales

F.- Normativa sobre cookies, pixels, fingerprints y otros rastreadores

G.- Documentación de protección de datos sobre nuevas tecnologías

➔ Recomendación: Área AEPD sobre Protección de Datos y Nuevas Tecnologías

H.- Brechas de seguridad

I.- Autoridades de control y multas administrativas

J.- Miscelánea de normas y documentación de interés

Repositorios de documentos:

Vídeos de la 10ª Sesión Abierta AEPD sobre el RGPD (canal AEPD):

  1. Apertura de la 10ª Sesión Abierta AEPD
  2. Registro de actividades de tratamiento
  3. Análisis de riesgos, evaluación de impacto y brechas de seguridad
  4. Entrega de Premios Protección de Datos 2017
  5. Ley de sociedad de la información y comercio electrónico
  6. Principio de accountability, papel del DPD y códigos de conducta
  7. Potestad sancionadora, autoridades de control y procedimientos
  8. Orientaciones del GT29 en relación con el RGPD y el papel del CEPD
  9. Proyecto de Ley Orgánica
  10. Intervenciones Asistentes

2.4.- Consultas a la AEPD y Preguntas frecuentes (FAQ)

1.- Consultas AEPD

Durante estos años he presentado, por iniciativa propia o en representación de terceros, consultas a la AEPD. Muchas veces a los responsables nos les basta con que una norma imponga una obligación concreta, sino que demandan una respuesta escrita por parte de la AEPD. Por este motivo verás consultas que no habría sido necesario ni formular. A continuación comparto una selección de 10 consultas interesantes.

A.- ¿Un abogado necesita firmar CET con sus clientes?

B.- ¿Es necesario que los suscriptores a un boletín renueven sus consentimientos, que ya otorgaron de forma expresa antes del 25 de mayo de 2018? (Considerando 171 RGPD)

C.- ¿RGPD es aplicable al tratamiento de los datos de las personas de contacto en las empresas?

D.- ¿RGPD permite seguir usando usando casillas redactadas en negativo o premarcadas para obtener consentimientos u obtenerlos por el paso 30 días sin oposición?

E.- La existencia de la Lista Robinson presupone que todo nacido consiente tácitamente la recepción de publicidad dirigida. ¿Seguirá existiendo la Lista Robinson con el RGPD?

F.- Un grupo de empresas puede tener un único DPO que no sepa español, no esté en España y no conozca el derecho español, siempre que tenga a su cargo a un gestor español con un equipo en España formado por profesionales que sepan español y dominen el derecho español?

G.- RGPD para influencers: Consulta jurídica sobre la posibilidad de convertir una base de datos de miles de usuarios obtenida para fines personales en una base de datos para el envío de comunicaciones comerciales de terceros por vía electrónica

H.- ¿Es necesario firmar un CET con empresas de correos y mensajería?

  • Consulta
  • Respuesta AEPD, de 21 de febrero de 2019.
  • Informe 64/2020 (AEPD): Por norma general, Correos será Encargada cuando sea contratada de acuerdo con la legislación de contratación del sector público o por un Responsable privado, siempre que no se trate de prestaciones incluidas en el servicio postal universal o en la “excepción doméstica”, en cuyo caso será Responsable. No obstante, Correos podrá ser tanto Responsable como Encargada para un mismo servicio pero en relación con tratamientos diferentes. En definitiva, se debe analizar caso por caso, cada situación, debido a que la apariencia formal de la existencia o inexistencia de un contrato puede no corresponder con la naturaleza material de la toma de decisiones que se haga sobre los tratamientos.

I.- ¿Hay que firmar contrato de encargado del tratamiento con auditores de cuentas?

J.- ¿Se debe permitir el acceso al interesado a datos que hayan sido bloqueados por el responsable?

  •  

2.- Preguntas frecuentes (FAQ)

Aquí respondo a algunas preguntas frecuentes sobre protección de datos personales

A.- ¿Una UTE es Responsable del Tratamiento?

A efectos de cumplimiento normativo, una Unión Temporal de Empresas (UTE) funciona de forma similar a un Grupo de Empresas (GE). Ambas (UTE y GE) carecen de personalidad jurídica y son las sociedades que las componen las que siguen siendo responsables de sus respectivas actividades de tratamientos de datos. Solo en caso de que todas las sociedades de la UTE determinen conjuntamente los objetivos y los medios del tratamiento, la UTE será considerada corresponsable de la actividad de tratamiento que corresponda. De lo contrario, solo habrá responsables independientes (ya sean empresas que actúan de forma autónoma, o empresas en corresponsabilidad con otras empresas, sean estas de la UTE o externas.

Estos documentos soportan las conclusiones:

  • Memoria 2000 AEPD (página 12) – «En los casos de Grupo de Empresas y de Unión Temporal de Empresas, habrá que tener en cuenta que el grupo como tal carece de personalidad jurídica y que las sociedades integradas en el Grupo conservan su personalidad jurídica propia, por lo que cada una de éstas seguirá siendo responsable de sus ficheros. Las Agrupaciones de Interés Económico al tener personalidad jurídica podrán ser responsables de ficheros».
  • Informe 245/2010 AEPD (página 3) – «Por tanto, cada sociedad será responsable de forma individual, de tantos ficheros como conjuntos estructurados de datos, adscritos a una determinada finalidad legítima, según el artículo 4.1 de la Ley, utilice».
  • Informe Jurídico 0494/2008 AEPD (página 2): «cada una de las empresas que integran el grupo será responsable del fichero de datos de sus correspondientes empleados».
  • Reglamento General de Protección de Datos (Considerando 48) – «Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener un interés legítimo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos».
  • Reglamento General de Protección de Datos (Art. 26) – «Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento».

.

2.5.- sentencias de interés y RESOLUCIONES AEPD

1.- Sentencias de interés

Las sentencias resuelven sobre casos concretos. Recuerda: cuando cites palabras de algún tribunal, debes siempre añadir el contexto.

A.- Derecho al Olvido:

Sentencias fundamentales sobre Derecho al Olvido (Unión Europea y España):

  • TJUE – Sentencia del Derecho al Olvido: Explica qué es y qué alcance tiene el Derecho al Olvido.
  • TS – Sentencia 964/2016: Google Spain S.L. carece de legitimación pasiva para ser parte en los procedimientos de tutela de derechos seguidos ante la Agencia Española de Protección de Datos.
  • TS – Sentencia 545/2015 (ver post): Los periódicos digitales deben imposibilitar que los motores de búsqueda indexen ciertas noticias antiguas cuando los afectados se lo soliciten, al entender que que en tales casos los derechos fundamentales al honor, a la intimidad y a la protección de datos prevalecen sobre la libertad de información.
  • TS – Sentencia 1280/2016: Google Spain SL condenada a indemnizar por no retirar información de un indulto de 1999.
  • TS – Sentencia 4016/2020 (post): Reconocer solo el derecho al olvido cuando se busque el nombre y un apellido no es coherente.

Recursos adicionales:

Formularios para ejercitar el derecho al olvido:

B.- Miscelánea de sentencias imprescindibles:

C.- Otras sentencias de interés:

  • TJUE – C-25/17 – Jehovan todistajat (nota de prensa en español): Una comunidad religiosa, como la comunidad los Testigos de Jehová, es responsable, junto con sus miembros predicadores, del tratamiento de los datos personales recogidos durante una actividad de predicación puerta a puerta.
  • STS – 698/2021 – Testigos Cristianos de Jehová: la Confesión Religiosa de Testigos Cristianos de Jehová tiene interés legítimo en conservar datos de las personas expulsadas o desasociadas
  • TJUE – Asunto C‑40/17: El Tribunal considera que el responsable de un sitio web y FB son corresponsables en determinados tratamientos vinculados a la extracción de datos a través de un botón «me gusta» integrado en dicho sitio web.
  • STS 1090/2021: El TS condena a prisión (2a 6m 1d) a una enfermera que accedió al historial clínico de tres pacientes que no tenía asignados en el centro de salud donde trabajaba.
  • STS 2484/2019: El TS considera que las mediciones de consumo eléctrico son un dato personal.
  • STC 169/2018: El Tribunal considera inconstitucional el uso genérico de la cámara oculta en el periodismo.
  • STS 363/2016 (nota de prensa del CGPJ): Prohibición de publicar, incluso por periodistas, fotografías tomadas de Facebook sin los correspondientes consentimientos expresos.
  • STS 5731/2012: El TS considera una intromisión la toma de fotografías no consentidas (robados) a una famosa en una playa pública.

2.- Resoluciones sancionadoras seleccionadas (bajo RGPD)

  • Sanciones RGPD en países miembros de la UE: GDPR Enforcement Tracker
  • Selección de PS con multas RGPD en España (accede a las demás a través de la web de la AEPD):
    • PS/00059/2020: VODAFONE ESPAÑA, S.A.U. (8.150.000 €)
    • PS/00477/2019: CAIXABANK, S.A. (6.000.000 €)
    • PS/00070/2019: BANCO BILBAO VIZCAYA ARGENTARIA, S.A. – BBVA (5.000.000 €)
    • PS/00334/2019: D. B.B.B. (10.000 €): AEPD impone multa de 10.000 euros a una persona que difunde por WhatsApp fotos íntimas de otra. Para determinar el importe de la multa se tiene en cuenta que el infractor es una persona física que no se dedica al tratamiento de datos y que divulgó sin dolo y solo localmente las imágenes, siendo afectada una sola persona.
    • PS/00300/2019: VUELING AIRLINES, S.L. (30.000 € reducida a 18.000 €)
    • PS/00299/2019: TWITTER SPAIN, S.L. (30.000 €)
    • PS/00233/2019: VIAQUA XESTIÓN INTEGRAL DE AUGAS DE GALICIA, S.A. (60.000 €)
    • PS/00159/2019: AVON COSMETICS SAU (60.000 €)
    • PS/00127/2019: IKEA IBERICA, S.A.U. (10.000 €)
    • PS/00121/2019: GESTIÓN DE COBROS, YO COBRO SL. (60.000 €)
    • PS/00092/2019: VODAFONE ONO, S.A.U. (60.000 € reducida a 36.000 €)
    • PS/00074/2019: ENDESA ENERGÍA XXI, S.L.U. (100.000 €, reducida a 60.000 €)
    • PS/00411/2018: VODAFONE ESPAÑA, S.A.U. (45.000 €, reducida a 27.000 €)
    • PS/00331/2018: VODAFONE ESPAÑA, S.A.U. (5.000 €)
    • PS/00326/2018: LIGA NACIONAL DE FÚTBOL PROFESIONAL (250.000 €)
  • Resolución de Tutela de Derechos de interés:
    • R/00540/2019: No es necesario solicitar el DNI para el ejercicio de derechos (en este caso, de supresión) si la persona interesada se identifica suficientemente por otros medios (en este caso, una dirección de email es suficiente), ya que «carece de sentido que sea mayor el rigor para dar de baja que el rigor para dar de alta».
  • Apercibimientos de interés:
    • PS/00195/2019: DESSAU ARTE INMOBILIARIO, S.L. [Incorporación a grupo de WhatsApp sin consentimiento]
    • A/0023/2019: VOYAGE PRIVE ESPAÑA, S.L. [Incumplimiento de la normativa de cookies]
    • A/00001/2019: LIVING TERRITORIWEB, S.L. [Incumplimiento de la normativa de cookies]
  • Archivos de interés:
    • E/08205/2019: PROMOFARMA ECOM S.L [brecha de seguridad con filtración de datos personales de 1.3 millones de personas]
    • E/09159/2020: MAPFRE ESPAÑA COMPAÑÍA DE SEGUROS Y REASEGUROS, S.A. [brecha de seguridad con filtración de datos de menos de 10 personas]

2.6.- Recursos legales y técnicos de ciberseguridad

1.- Normativa de Ciberseguridad

2.- Políticas de seguridad para la PYME (por INCIBE)

3.- Cómo certificar el envío de un e-mail

4.- Contraseñas

Recomiendo seguir las recomendaciones de INCIBE dispuestas en su Política de Seguridad de Contraseñas y superar este listado.

A.- Gestor de contraseñas (mis 5 favoritos)

Con estos gestores no tendrás que volver a recordar una contraseña.

B.- Generador de contraseñas

Recuerda: siempre más de 8 caracteres y al menos una mayúscula, una minúscula, un número y un símbolo. No uses fechas ni nombres. Ayúdate con generadores.

5. Antivirus

Instala y configura correctamente un antivirus profesional. Estas son mis recomendaciones:

6.- Herramientas sencillas de cifrado

7.- Certificado y firma electrónica

Solución de firma electrónica:

Validador de firma electrónica

Resoluciones y sentencias de interés sobre firma electrónica

  • SAP L 54/2021 (Nº de Recurso: 158/2020 y Nº de Resolución: 74/2021): La Audiencia Provincial de Lleida anula la validez de la firma de un contrato remitido por email utilizando la solución DocuSign, similar a Signaturit.

8.- Herramientas gratuitas de ciberseguridad

La ciberseguridad completa es un destino deseable e inalcanzable.

Soluciones ciber de analítica web: Estas páginas ayudan a saber qué es lo próximo que debes arreglar en tu web:

Herramientas ciber:

  • La Oficina de Seguridad del Internauta (OSI) ofrece un listado de enlaces a sitios desde los que puedes acceder a herramientas de ciberseguridad gratuitas: Herramientas.
  • Jigsaw: Test anti-phising de Google

9.- Manuales y formación en ciberseguridad

Manuales y formación gratuita online

Congresos de pago o gratuitos en España

Congresos de pago o gratuitos en fuera de España

1.- Plantillas editables, modelos y textos de ejemplo

1.- Documentos para preparar una adecuación:

  1. Plantilla – RAT Responsable
  2. Plantilla – RAT Encargado
  3. Plantilla – Juicio de ponderación sobre el interés legítimo
  4. Plantilla – Análisis sobre la necesidad de DPD
  5. Plantilla – Análisis sobre la necesidad de hacer una EIPD
  6. Plantilla – Análisis básico de riesgos
  7. Evaluación de Impacto sobre la Protección de Datos (EIPD):
    1. Plantilla de Metodología para una EIPD
    2. Plantilla – Ciclo de vida del dato para una EIPD
    3. Plantilla – Gestión de riesgos para una EIPD
    4. (opcional: Modelo de informe para ayudar a realizar una EIPD, elaborado por AEPD)
  8. Plantilla – Certificado de adecuación

Descarga una herramienta y una guía completa para una EIPD GDPR Data Protection Impact Assessments (ISACA)

Descarga gratis los libros de la Metodología Magerit v.3 de análisis y gestión de riesgos de los sistemas de información (Portal Administración Electrónica)

2.- Información al interesado sobre el tratamiento pretendido

3.- Contratos

4.- Ejemplo de aviso legal, privacidad y cookies para una web

5.- Modelo de aviso de privacidad para el pie de los correos electrónicos

Antes del aviso, en la firma, considero importante indicar en el correo electrónico el nombre del remitente junto con un teléfono, sea fijo o móvil, de contacto, para aportar humanidad al mensaje. En el aviso, partiendo del desconocimiento, podemos aportar información básica de privacidad.

[Firma del correo con nombre del remitente y teléfono de contacto]

Sus datos son tratados por Marca (denominación social) para atender su mensaje o prestarle el servicio solicitado. Puede ponerse en contacto con nuestro [delegado de protección de datos / responsable de seguridad] y ejercitar sus derechos de acceso, rectificación o supresión, entre otros, como se explica en nuestra política de privacidad.

6.- Ejercicio de Derechos (ver guía de la AEPD):

7.- Modelos para presentar reclamaciones

8.- Documentos para preparar una revisión:

  1. Plantilla – Revisión orientativa de una web
  2. Plantilla – Listado de cumplimiento
Haz clic aquí para acceder a mi guía divulgativa 'Fundamentos de la Protección de Datos en España'

3.- Dominio I del curso para ser DPD

El temario del Dominio I, que puedes desplegar un poco más abajo, para el curso de DPD puede servirte como guía para el curso que estés realizando para formarte y obtener el certificado de DPD.

La Agencia Española de Protección de Datos mantiene (a 16 de febrero de 2020) en esta página un listado con siete entidades de certificación para DPD acreditadas por ENAC:

  1. IVAC INSTITUTO DE CERTIFICACIÓN, SL: Autorizada el 07/09/2018.
  2. ASOCIACIÓN PARA EL FOMENTO DE LA SEGURIDAD DE LA INFORMACIÓN, ISMS FORUM: Autorizada el 11/10/2018.
  3. ASOCIACIÓN ESPAÑOLA PARA LA CALIDAD (AEC): Autorizada el 26/10/2018.
  4. ANF AUTORIDAD DE CERTIFICACIÓN ASOCIACIÓN, ANF AC: Autorizada el 25/01/2019.
  5. CUALICONTROL – ACI, S.A. (Unipersonal): Autorizada el 27/09/2019.
  6. AENOR INTERNACIONAL, S.A. (Unipersonal): Autorizada el 30/09/2019.
  7. ADOK CERTIFICACIÓN INTERNACIONAL, SL: Autorizada el 22/11/2019.

Si quieres un curso online o presencial que esté reconocido para certificarte, ahora puedes encontrar las entidades de formación reconocidas, con enlaces a sus programas, precios y fichas de inscripción, en la web de la AEPD sobre Certificación de delegado de protección de datos (cuando esta web esté disponible).

TEMA 1.- PRINCIPIOS Y FUNDAMENTOS DE LA PRIVACIDAD Y LA PROTECCIÓN DE DATOS

  • Contexto de la privacidad, la ciberseguridad y la protección de datos
  • Diferencia entre derecho de la personalidad y derecho personalísimo
  • Aproximación al GDPR (art. 1 RGPD) y la LOPDGDD
  • Normas diferentes a GDPR sobre privacidad y protección de datos de carácter personal
  • Normas diferentes a GDPR sobre protección de datos de carácter no personal
  • Organismos competentes y autoridades de control
  • Definiciones sobre privacidad y protección de datos (art. 4 RGPD)
  • Principios sobre privacidad y protección de datos (art. 5 RGPD)

TEMA 2.- REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD / GDPR) Y LOPDGDD

  • Introducción al GDPR (Considerandos 1 a 27 RGPD) y a la LOPDGDD
  • Considerandos y artículos del GDPR (todos los considerandos e índice de artículos) y LOPDGDD
  • Directrices de interpretación del GDPR y LOPDGDD: artículos, guías, opiniones, criterios, doctrina judicial y jurisprudencia
  • Ámbito de aplicación material (art. 2 RGPD)
  • Ámbito territorial (art. 3 RGPD)
  • Limitaciones al GDPR por normativa europea o local (art. 23 RGPD)
  • Introducción al Documento de Seguridad adecuado al GDPR y LOPDGDD

TEMA 3.- RESPONSABLE DEL TRATAMIENTO

  • Quién es quién en el GDPR y la LOPDGDD
  • El Responsable del Tratamiento. Obligaciones y responsabilidades (art. 24 RGPD)
  • Representante del Responsable del Tratamiento no establecido en la Unión (art. 27 RGPD)
  • Cooperación con la autoridad de control (art. 31 RGPD)
  • Corresponsables del tratamiento (art. 26 RGPD)

TEMA 4.- ENCARGADO DEL TRATAMIENTO

  • El Encargado del Tratamiento. Obligaciones y responsabilidades (arts. 28 y 29 RGPD)
  • El Contrato de Encargado del Tratamiento o CET en el GDPR y en la normativa local (art. 28 RGPD)
    • Qué y cómo es un CET
    • Sujetos, objeto, obligaciones y responsabilidades
    • Articulado obligatorio y anexos
    • Plazo de vigencia de los CET (Disposición Transitoria Segunda del RD-l de medidas urgentes)
  • Introducción a las Normas Corporativas Vinculantes o BCR (Considerandos 107, 108 y 110 y artículo 4.20 RGPD)
  • Representante del Encargado del Tratamiento no establecido en la Unión (art. 27 RGPD)
  • Cooperación con la autoridad de control (art. 31 RGPD)

TEMA 5.- CONSENTIMIENTO PARA EL TRATAMIENTO DE DATOS

  • Qué es el consentimiento (considerando 32 y art. 4.11 RGPD y arts. 8 a 13 LAP)
  • Tipos de consentimiento:
    • informado (art. 4.11 RGPD)
      • inequívoco (art. 4.11 RGPD)
        • expreso o explícito (arts. 9, 22, 49.1 RGPD; art. 1 LO 1/82; art. 21 LSSI; y art. 8 LAP)
          • por escrito (arts. 2, 8, 10 LAP; art. 3 LO 1/82; art. 15 Ley 19/2003; Orden INT/3215/2010)
  • Licitud del tratamiento de datos personales (art. 6 RGPD)
  • El interés legítimo (art. 6.f RGPD)
  • ¿Cómo se obtiene el consentimiento?
    • Principio de transparencia en la información (art. 12 RGPD)
    • Información que deberá facilitarse cuando los datos personales se obtengan del interesado (art. 13 RGPD)
    • Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado (art. 14 RGPD)
  • La prueba documental del consentimiento recibido (Considerando 42 RGPD)
  • El consentimiento para casos especiales:
    • Categorías especiales de datos personales (art. 9 RGPD)
    • Tratamiento de datos personales relativos a condenas e infracciones penales (art. 10 RGPD)
    • Decisiones individuales automatizadas, incluida la elaboración de perfiles (Considerando 71 y art. 22 RGPD)
    • Datos personales de menores de edad (art. 8 RGPD, art. 13 RLOPD, art. 3 LO 1/82 y arts. 9.2.c y 9.4 LAP)
    • Uso de cámaras de videovigilancia (Guía videovigilancia AEPD)
  • Marketing y consentimiento
    • Transparencia, concisión y previsión del error del aceptante (art. 12 RGPD, art. 27 LSSI y arts. 18.3 y 80 LGDCU)
    • Envío de comunicaciones comerciales por vía electrónica y no electrónica (Considerando 47 y arts. 6.1.a, 6.1.b y 6.1.f RGPD y art. 21 LSSI)
    • Casilla sin marcar y la finalidad secundaria y diferente de la principal (art. 13 RGPD)
    • Información con silencio negativo (art. 13 RGPD)
    • Seguimiento de apertura de los mensajes por parte de los destinatarios (Considerando 47 RGPD)
    • Instalación de cookies y dispositivos similares (art. 22.2 LSSI)
    • Seguimiento por medio de señales emitidas por terminales móviles (art. 6 RGPD)
    • Toma y uso de fotografías o grabación de vídeos en eventos (arts. 12 a 14 RGPD)
    • Publicación de imágenes y otros datos en redes sociales (art. 49.1.a RGPD)
  • Tratamientos que no requiere identificación (art. 11 RGPD)

TEMA 6.- DERECHOS DE LOS INTERESADOS

  • Qué son los derechos de los interesados (arts. 12 y 15 a 22 RGPD, arts. 21 y 22 LSSI, arts. 4 a 7 LAP)
  • Sujetos con derechos y sujetos obligados (art. 2 y 3 RGPD)
  • Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado (art.12 RGPD)
  • Formas de ejercicio y requisitos (considerando 64 RGPD)
  • Derechos PARSOLO (o SOOPLAR):
    • Portabilidad (art. 20 RGPD)
    • Acceso (art. 15 RGPD y 18 LAP)
    • Rectificación (art. 16 RGPD)
    • Supresión con borrado o bloqueo (art. 17 RGPD)
    • Olvido (art. 17 RGPD)
    • Limitación con suspensión del tratamiento o con deber de conservación (art.18 RGPD)
    • Oposición (art. 21 RGPD y art. 29 LCD)
    • Otros:
      • A no ser objeto de decisiones individualizadas automatizadas, incluida la elaboración de perfiles (art. 22 RGPD)
      • A ser informado sobre el tratamiento pretendido (arts. 12 a 14 RGPD)
      • Revocación (art. 2 LO 1/1982)
      • Rectificación periodística (art. 1 LO 2/84)
  • Marketing y Derechos… a través del caso:
    • Baja, Limitación y Oposición
    • Elaboración de perfiles
    • Fotografías, Publicidad impresa, vídeos y dibujos
  • Plazos de respuesta y ejecución (art. 12 RGPD)
  • Otros derechos desarrollados en la LOPDGDD

TEMA 7. DELEGADO DE PROTECCIÓN DE DATOS (DPO / DPD) Y RESPONSABLE DE SEGURIDAD (RS)

  • Qué es y quién puede ser DPO
  • Qué es y quién puede ser Responsable de Seguridad o RS
  • Sujetos que requieren designar un DPO
  • Comunicación del DPO a la Autoridad de Control
  • Posición del delegado de protección de datos
  • Funciones del delegado de protección de datos
  • Esquema de certificación de DPO de la AEPD

TEMA 8.- MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES

  • Protección de datos desde el diseño y por defecto (Considerandos 78, 108 y  arts. 25 y 47 RGPD)
  • Actividad del DPO y del RS en la segurización del dato (Considerando 77 y arts. 35 y 39 RGPD)
  • Medidas de seguridad y estado de la técnica (Considerando 29, 71, 78, 87 y 156, arts 4, 5, 24, 25, 28, 30, 32 y 34 RGPD y art. 14 LAP)
    • Medidas de Seguridad Físicas
    • Medidas de Seguridad Lógicas
    • Medidas de Seguridad Organizativas
    • Medidas de Seguridad Formativas
    • Generación y conservación de prueba documental
  • Registro de las actividades de tratamiento (art. 30 RGPD)
  • Designación de un DPO (art. 37 RGDP)
  • Análisis de Riesgo (art. 32 RGPD)
  • Evaluación de Impacto y Consulta Previa (art. 35 RGPD)
  • Elección y mantenimiento de las medidas de seguridad (arts. 5, 25 y 32 RGPD)
    • Implantación y configuración de medidas de seguridad
    • Revisión y mejora continua de las medidas de seguridad

TEMA 9.- INSTRUMENTOS PARA LA ACREDITACIÓN DEL CUMPLIMIENTO

  • La responsabilidad proactiva (Considerando 85 y art. 5.2 RGPD)
  • El Responsable y la carga de la prueba
  • Documento de Seguridad adaptado al GDPR
    • Tratamiento de Datos y DPO
      • Registro de actividades
      • Análisis sobre la necesidad de un DPO para cada una de las actividades de tratamiento como responsable y como encargado
      • Metodologías para la generación de procesos de nuevos tratamiento de datos con protección desde el diseño y por defecto
      • Pre-evaluaciones y, en su caso, evaluaciones de impacto sobre los datos personales
      • Análisis de riesgo por cada tratamiento e implantación de medidas físicas y lógicas
    • Personal y soportes
      • Funciones y obligaciones del personal
      • Certificados de formación de las personas que vayan a tener acceso a datos personales
      • Gestión de salida y entrada de soportes
      • Análisis de riesgos por cada tratamiento e implantación de medidas organizativas
    • Contratos de encargado del tratamiento, siempre localizables
    • Protocolos de actuación
      • Solicitud de derechos
      • Respaldos
      • Recuperación de datos
      • Brechas de seguridad
    • Mantenimiento constante por parte del Responsable de Seguridad o el DPO 
  • Sistemas para la obtención, gestión y custodia de pruebas documentales
    • Consentimiento y tratamiento
    • Gestión de usuarios
    • Cifrado por archivo
  • Códigos de conducta
  • Certificación

TEMA 10.- TRANSFERENCIAS INTERNACIONALES

  • Principio general de las transferencias
  • Transferencias basadas en una decisión de adecuación
  • Transferencias mediante garantías adecuadas
  • Normas corporativas vinculantes o BCR
  • Transferencias o comunicaciones no autorizadas por el Derecho de la Unión
  • Excepciones para situaciones específicas
  • Cooperación internacional en el ámbito de la protección de datos personales

TEMA 11.- AUTORIDADES DE CONTROL INDEPENDIENTES Y COMITÉ EUROPEO

  • Autoridad de control (art. 51 RGPD)
    • Independencia y principios (art. 52 RGPD)
    • Competencia, funciones y poderes
    • Cooperación, coherencia y asistencia mutua
  • Comité Europeo de Protección de Datos

TEMA 12.- AUDITORÍAS DE SEGURIDAD Y DE PROTECCIÓN DE DATOS

  • Auditorías de Seguridad
    • Proceso de Auditoría documental y técnica
    • Elaboración de informes de auditoría
    • Acciones correctoras y acciones correctivas y preventivas
  • ISO 27001
  • Acercamiento a la auditoría técnica por medio del hacking ético
    • Revisiones de código fuente en software, apps y webs
    • Revisión de servicios externos e internos
    • Revisión de redes y sistemas
    • Revisión de la gestión de usuarios y permisos de acceso
    • BYOD, dispositivos móviles y soluciones MDM

TEMA 13.- ACCIONES ANTE UNA BRECHA DE SEGURIDAD

  • Qué es un incidente o brecha de seguridad y cómo puede afectar a los datos
  • Notificación de una violación de la seguridad de los datos personales a la autoridad de control
  • Comunicación de una violación de la seguridad de los datos personales al interesado

TEMA 14.- RECURSOS, INDEMNIZACIÓN Y SANCIONES

  • Recursos
  • Derecho a indemnización
  • Daño reputacional
  • Tipos de sanciones
  • Multas administrativas
  • Delitos

TEMA 15.- NORMATIVAS SECTORIALES DE PROTECCIÓN DE DATOS Y NUEVAS TECNOLOGÍAS

  • E-commerce, marketing, estadística y ventas
    • Ley de Cookies
    • Sistemas de rastreo sin cookies
    • Comunicaciones comerciales por vía electrónica
    • Contenidos en sitios web propios
  • Laboral
    • Estatuto de los Trabajadores
    • Contrato laboral
    • Normativa interna y Códigos de Conducta
  • Telecomunicaciones
  • Prensa, Publicidad y entretenimiento
    • Ley de Prensa
    • Derecho de rectificación periodística o réplica
    • Derecho al honor y a la intimidad personal y familiar
    • Derecho a la propia imagen
  • Sanidad y farmacia
  • Videovigilancia
  • Banca y Seguros
    • Prevención del Blanqueo de Capitales
    • Solvencia Patrimonial
    • Videovigilancia para para la banca
  • Blockchain
  • IoT, Cloud, Big Data y Smartphones
  • Operadores de infraestructuras críticas

4.- Acrónimos

Foto de j zamora en Unsplash.