Fecha de la última actualización: 30 de junio de 2021
Personas, bienvenidas a mi área privada de ciberseguridad y protección de datos. Soy Pablo Fdez. Burgueño, docente y abogado. A través de esta página os ofrezco una selección de recursos útiles para seguir estudiando y descubrir novedades sobre derecho europeo y español en esta materia.
Si estás estudiando en uno de mis cursos de protección de datos, pulsa aquí: Sección privada del curso.
Te recomiendo visitar este texto legal: mi política de privacidad y cookies.
⚠ Cuidado al usar estos documentos: los documentos publicados por la AEPD, por otras agencias o por el WP29 con anterioridad al 25 de mayo de 2018 solo deben sirvir para tomar ideas y saber interpretar mejor el RGPD para proteger a las personas a través del correcto tratamiento de datos de carácter personal. Para evitar cargarlos en mi web o tener que indicar las fechas he puesto enlaces externos a los mismos, alojados en servidores de terceros, en los que las fechas están visibles. En relación con las respuestas a consultas, están a vuestra disposición desde esta página web, con indicación del origen y su fecha.
– ¿Puedo redifundir los documentos de la AEPD a través de pablofb.com?
B.- AC de otros países de la Unión
Estos enlaces solo llevan a algunos textos normativos y otros documentos de refuerzo.
A.- Normativa europea:
Fechas de interés sobre el RGPD:
B.- Normativa española:
D.- Material de interés
La práctica totalidad del tejido empresarial español está formado por empresas de menos de 250 empleados, con una importante presencia en el sector servicios y menor en los otros tres: agrario, industria y construcción. Más información en el Portal PYME, del Ministerio de Industria.
Estas son las normas y recomendaciones de la AC de protección de datos que considero de mayor interés para estos sectores.
A.- Administración Pública
B.- Bio y sanitario
C.- Comunicación, marketing y prensa
Fechas de interés para las comunicaciones comerciales publicitarias o promocionales:
Las siguientes fechas obedecen a máximos de buenas prácticas. Pueden ser rebajadas o ampliadas como resultado de un juicio de ponderación (es decir, la empresa puede justificar que el plazo tiene que ser diferente para respetar mejor los intereses de las personas).
Otras normas y documentos de interés:
También te puede interesar:
D.- Defensa y Justicia
E.- Educación
F.- Financiero
G.- Logística y franquicias
H.- Telecomunicaciones
I.- Partidos políticos
J.- Laboral
COVID-19: La información relacionada con las medidas sanitarias que pueden ser adoptadas por los servicios de vigilancia de la salud en las empresas contra el COVID-19 se encuentra en la sección de «bio y sanitario«.
Antes de continuar, quizá quieras consultar la Guía para el ciudadano (AEPD), de tipo introductorio, en relación con los derechos que tiene el usuario frente a quienes tratan sus datos; y la página de fundamentos de la protección de datos que he elaborado para facilitar un primer acceso a la normativa.
➔ Recomendación: Área AEPD sobre Protección de Datos y Nuevas Tecnologías
Repositorios de documentos:
Vídeos de la 10ª Sesión Abierta AEPD sobre el RGPD (canal AEPD):
Durante estos años he presentado, por iniciativa propia o en representación de terceros, consultas a la AEPD. Muchas veces a los responsables nos les basta con que una norma imponga una obligación concreta, sino que demandan una respuesta escrita por parte de la AEPD. Por este motivo verás consultas que no habría sido necesario ni formular. A continuación comparto una selección de 10 consultas interesantes.
A.- ¿Un abogado necesita firmar CET con sus clientes?
B.- ¿Es necesario que los suscriptores a un boletín renueven sus consentimientos, que ya otorgaron de forma expresa antes del 25 de mayo de 2018? (Considerando 171 RGPD)
C.- ¿RGPD es aplicable al tratamiento de los datos de las personas de contacto en las empresas?
D.- ¿RGPD permite seguir usando usando casillas redactadas en negativo o premarcadas para obtener consentimientos u obtenerlos por el paso 30 días sin oposición?
E.- La existencia de la Lista Robinson presupone que todo nacido consiente tácitamente la recepción de publicidad dirigida. ¿Seguirá existiendo la Lista Robinson con el RGPD?
F.- Un grupo de empresas puede tener un único DPO que no sepa español, no esté en España y no conozca el derecho español, siempre que tenga a su cargo a un gestor español con un equipo en España formado por profesionales que sepan español y dominen el derecho español?
G.- RGPD para influencers: Consulta jurídica sobre la posibilidad de convertir una base de datos de miles de usuarios obtenida para fines personales en una base de datos para el envío de comunicaciones comerciales de terceros por vía electrónica
H.- ¿Es necesario firmar un CET con empresas de correos y mensajería?
I.- ¿Hay que firmar contrato de encargado del tratamiento con auditores de cuentas?
J.- ¿Se debe permitir el acceso al interesado a datos que hayan sido bloqueados por el responsable?
Aquí respondo a algunas preguntas frecuentes sobre protección de datos personales
A.- ¿Una UTE es Responsable del Tratamiento?
A efectos de cumplimiento normativo, una Unión Temporal de Empresas (UTE) funciona de forma similar a un Grupo de Empresas (GE). Ambas (UTE y GE) carecen de personalidad jurídica y son las sociedades que las componen las que siguen siendo responsables de sus respectivas actividades de tratamientos de datos. Solo en caso de que todas las sociedades de la UTE determinen conjuntamente los objetivos y los medios del tratamiento, la UTE será considerada corresponsable de la actividad de tratamiento que corresponda. De lo contrario, solo habrá responsables independientes (ya sean empresas que actúan de forma autónoma, o empresas en corresponsabilidad con otras empresas, sean estas de la UTE o externas.
Estos documentos soportan las conclusiones:
.
Las sentencias resuelven sobre casos concretos. Recuerda: cuando cites palabras de algún tribunal, debes siempre añadir el contexto.
A.- Derecho al Olvido:
Sentencias fundamentales sobre Derecho al Olvido (Unión Europea y España):
Recursos adicionales:
Formularios para ejercitar el derecho al olvido:
B.- Miscelánea de sentencias imprescindibles:
C.- Otras sentencias de interés:
1) Conservación (periodo en el que se mantiene activo el tratamiento):
——– terminada la conservación del dato, llega el momento de suprimirlo, procediendo para ello a su destrucción física, salvo que una norma con rango de ley obligue a mantenerlo bloqueado durante un periodo con carácter previo a la referida destrucción —————
2) Bloqueo:
Si hay datos personales: el plazo inicia el día siguiente a la finalización del plazo de conservación únicamente si una norma con rango de ley obliga a bloquear los datos. Si no existe esta norma (como, por ejemplo en el caso de videovigilancia), el dato no se bloquea sino que se destruye directamente.
Si no hay datos personales en el documento: el plazo inicia el día desde el que se pudo ejercer la acción o desde la fecha de la infracción, como norma general.
Importante: todos los plazos de prescripción y caducidad fueron suspendidos durante 82 días (desde el 14 de marzo de 2020 hasta el 3 de junio de 2020), por así disponerse en el Real Decreto 463/2020.
Más información: Informe jurídico 00148/2019 de la AEPD.
Recomiendo seguir las recomendaciones de INCIBE dispuestas en su Política de Seguridad de Contraseñas y superar este listado.
A.- Gestor de contraseñas (mis 5 favoritos)
Con estos gestores no tendrás que volver a recordar una contraseña.
B.- Generador de contraseñas
Recuerda: siempre más de 8 caracteres y al menos una mayúscula, una minúscula, un número y un símbolo. No uses fechas ni nombres. Ayúdate con generadores.
Instala y configura correctamente un antivirus profesional. Estas son mis recomendaciones:
Solución de firma electrónica:
Validador de firma electrónica
Resoluciones y sentencias de interés sobre firma electrónica
La ciberseguridad completa es un destino deseable e inalcanzable.
Soluciones ciber de analítica web: Estas páginas ayudan a saber qué es lo próximo que debes arreglar en tu web:
Herramientas ciber:
Manuales y formación gratuita online
Congresos de pago o gratuitos en España
1.- Documentos para preparar una adecuación:
Descarga una herramienta y una guía completa para una EIPD GDPR Data Protection Impact Assessments (ISACA)
Descarga gratis los libros de la Metodología Magerit v.3 de análisis y gestión de riesgos de los sistemas de información (Portal Administración Electrónica)
2.- Información al interesado sobre el tratamiento pretendido
3.- Contratos
4.- Ejemplo de aviso legal, privacidad y cookies para una web
5.- Modelo de aviso de privacidad para el pie de los correos electrónicos
Antes del aviso, en la firma, considero importante indicar en el correo electrónico el nombre del remitente junto con un teléfono, sea fijo o móvil, de contacto, para aportar humanidad al mensaje. En el aviso, partiendo del desconocimiento, podemos aportar información básica de privacidad.
[Firma del correo con nombre del remitente y teléfono de contacto]
Sus datos son tratados por Marca (denominación social) para atender su mensaje o prestarle el servicio solicitado. Puede ponerse en contacto con nuestro [delegado de protección de datos / responsable de seguridad] y ejercitar sus derechos de acceso, rectificación o supresión, entre otros, como se explica en nuestra política de privacidad.
6. – Cláusula de protección de datos para firmantes de contratos B2B
Los datos de las personas firmantes serán tratados por las Partes para la ejecución de esta relación mercantil. Pueden obtener más información sobre este tratamiento, así como solicitar la supresión o el acceso a sus datos y ejercitar otros derechos contactando con los responsables dirigiendo un escrito a las correspondientes direcciones de contacto indicadas en este contrato.
7.- Ejercicio de Derechos (ver guía de la AEPD):
8.- Modelos para presentar reclamaciones
9.- Documentos para preparar una revisión:
Smart contract modelo: https://raw.githubusercontent.com/Pablofb/Tokens/master/Token-ERC20.sol (descargar smart contract)
El temario del Dominio I, que puedes desplegar un poco más abajo, para el curso de DPD puede servirte como guía para el curso que estés realizando para formarte y obtener el certificado de DPD.
La Agencia Española de Protección de Datos mantiene (a 16 de febrero de 2020) en esta página un listado con siete entidades de certificación para DPD acreditadas por ENAC:
Si quieres un curso online o presencial que esté reconocido para certificarte, ahora puedes encontrar las entidades de formación reconocidas, con enlaces a sus programas, precios y fichas de inscripción, en la web de la AEPD sobre Certificación de delegado de protección de datos (cuando esta web esté disponible).