TEMA 1.- PRINCIPIOS Y FUNDAMENTOS DE LA PRIVACIDAD Y LA PROTECCIÓN DE DATOS

• Contexto de la privacidad, la ciberseguridad y la protección de datos
• Diferencia entre derecho de la personalidad y derecho personalísimo
• Aproximación al GDPR (art. 1 RGPD) y la LOPDGDD
• Normas diferentes a GDPR sobre privacidad y protección de datos de carácter personal
• Normas diferentes a GDPR sobre protección de datos de carácter no personal
• Organismos competentes y autoridades de control
• Definiciones sobre privacidad y protección de datos (art. 4 RGPD)
• Principios sobre privacidad y protección de datos (art. 5 RGPD)

TEMA 2.- REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD / GDPR) Y LOPDGDD

• Introducción al GDPR (Considerandos 1 a 27 RGPD) y a la LOPDGDD
• Considerandos y artículos del GDPR (todos los considerandos e índice de artículos) y LOPDGDD
• Directrices de interpretación del GDPR y LOPDGDD: artículos, guías, opiniones, criterios, doctrina judicial y jurisprudencia
• Ámbito de aplicación material (art. 2 RGPD)
• Ámbito territorial (art. 3 RGPD)
• Limitaciones al GDPR por normativa europea o local (art. 23 RGPD)
• Introducción al Documento de Seguridad adecuado al GDPR y LOPDGDD

TEMA 3.- RESPONSABLE DEL TRATAMIENTO

• Quién es quién en el GDPR y la LOPDGDD
  • Responsable del Fichero (STS de 5 de junio de 2004 / copia)
  • Responsable del Tratamiento (art 4.7 RGPD)
  • Encargado del Tratamiento (art. 4.8 RGPD)
  • Subencargado del Tratamiento (art. 28.2 RGPD)
  • Encargado o subencargado de Servicios Auxiliares (Directrices para CET – AEPD)
• El Responsable del Tratamiento. Obligaciones y responsabilidades (art. 24 RGPD)
• Representante del Responsable del Tratamiento no establecido en la Unión (art. 27 RGPD)
• Cooperación con la autoridad de control (art. 31 RGPD)
• Corresponsables del tratamiento (art. 26 RGPD)

TEMA 4.- ENCARGADO DEL TRATAMIENTO

• El Encargado del Tratamiento. Obligaciones y responsabilidades (arts. 28 y 29 RGPD)
• El Contrato de Encargado del Tratamiento o CET en el GDPR y en la normativa local (art. 28 RGPD)
  • Qué y cómo es un CET
  • Sujetos, objeto, obligaciones y responsabilidades
  • Articulado obligatorio y anexos
  • Plazo de vigencia de los CET (Disposición Transitoria Segunda del RD-l de medidas urgentes)
• Introducción a las Normas Corporativas Vinculantes o BCR (Considerandos 107, 108 y 110 y artículo 4.20 RGPD)
• Representante del Encargado del Tratamiento no establecido en la Unión (art. 27 RGPD)
• Cooperación con la autoridad de control (art. 31 RGPD)

TEMA 5.- CONSENTIMIENTO PARA EL TRATAMIENTO DE DATOS

• Qué es el consentimiento (considerando 32 y art. 4.11 RGPD y arts. 8 a 13 LAP)
• Tipos de consentimiento:
  • informado (art. 4.11 RGPD)
    • inequívoco (art. 4.11 RGPD)
      • expreso o explícito (arts. 9, 22, 49.1 RGPD; art. 1 LO 1/82; art. 21 LSSI; y art. 8 LAP)
        • por escrito (arts. 2, 8, 10 LAP; art. 3 LO 1/82; art. 15 Ley 19/2003; Orden INT/3215/2010)
• Licitud del tratamiento de datos personales (art. 6 RGPD)
• El interés legítimo (art. 6.f RGPD)
• ¿Cómo se obtiene el consentimiento?
  • Principio de transparencia en la información (art. 12 RGPD)
  • Información que deberá facilitarse cuando los datos personales se obtengan del interesado (art. 13 RGPD)
  • Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado (art. 14 RGPD)
• La prueba documental del consentimiento recibido (Considerando 42 RGPD)
• El consentimiento para casos especiales:
  • Categorías especiales de datos personales (art. 9 RGPD)
  • Tratamiento de datos personales relativos a condenas e infracciones penales (art. 10 RGPD)
  • Decisiones individuales automatizadas, incluida la elaboración de perfiles (Considerando 71 y art. 22 RGPD)
  • Datos personales de menores de edad (art. 8 RGPD, art. 13 RLOPD, art. 3 LO 1/82 y arts. 9.2.c y 9.4 LAP)
  • Uso de cámaras de videovigilancia (Guía videovigilancia AEPD)
• Marketing y consentimiento
  • Transparencia, concisión y previsión del error del aceptante (art. 12 RGPD, art. 27 LSSI y arts. 18.3 y 80 LGDCU)
  • Envío de comunicaciones comerciales por vía electrónica y no electrónica (Considerando 47 y arts. 6.1.a, 6.1.b y 6.1.f RGPD y art. 21 LSSI)
  • Casilla sin marcar y la finalidad secundaria y diferente de la principal (art. 13 RGPD)
  • Información con silencio negativo (art. 13 RGPD)
  • Seguimiento de apertura de los mensajes por parte de los destinatarios (Considerando 47 RGPD)
  • Instalación de cookies y dispositivos similares (art. 22.2 LSSI)
  • Seguimiento por medio de señales emitidas por terminales móviles (art. 6 RGPD)
  • Toma y uso de fotografías o grabación de vídeos en eventos (arts. 12 a 14 RGPD)
  • Publicación de imágenes y otros datos en redes sociales (art. 49.1.a RGPD)
• Tratamientos que no requiere identificación (art. 11 RGPD)

TEMA 6.- DERECHOS DE LOS INTERESADOS

• Qué son los derechos de los interesados (arts. 12 y 15 a 22 RGPD, arts. 21 y 22 LSSI, arts. 4 a 7 LAP)
• Sujetos con derechos y sujetos obligados (art. 2 y 3 RGPD)
• Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado (art.12 RGPD)
• Formas de ejercicio y requisitos (considerando 64 RGPD)
• Derechos PARSOLO (o SOOPLAR):
  • Portabilidad (art. 20 RGPD)
  • Acceso (art. 15 RGPD y 18 LAP)
  • Rectificación (art. 16 RGPD)
  • Supresión con borrado o bloqueo (art. 17 RGPD)
  • Olvido (art. 17 RGPD)
  • Limitación con suspensión del tratamiento o con deber de conservación (art.18 RGPD)
  • Oposición (art. 21 RGPD y art. 29 LCD)
  • Otros:
    • A no ser objeto de decisiones individualizadas automatizadas, incluida la elaboración de perfiles (art. 22 RGPD)
    • A ser informado sobre el tratamiento pretendido (arts. 12 a 14 RGPD)
    • Revocación (art. 2 LO 1/1982)
    • Rectificación periodística (art. 1 LO 2/84)
• Marketing y Derechos… a través del caso:
  • Baja, Limitación y Oposición
  • Elaboración de perfiles
  • Fotografías, Publicidad impresa, vídeos y dibujos
• Plazos de respuesta y ejecución (art. 12 RGPD)
• Otros derechos desarrollados en la LOPDGDD

TEMA 7. DELEGADO DE PROTECCIÓN DE DATOS (DPO / DPD) Y RESPONSABLE DE SEGURIDAD (RS)

• Qué es y quién puede ser DPO
• Qué es y quién puede ser Responsable de Seguridad o RS
• Sujetos que requieren designar un DPO
• Comunicación del DPO a la Autoridad de Control
• Posición del delegado de protección de datos
• Funciones del delegado de protección de datos
• Esquema de certificación de DPO de la AEPD

TEMA 8.- MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES

• Protección de datos desde el diseño y por defecto (Considerandos 78, 108 y  arts. 25 y 47 RGPD)
• Actividad del DPO y del RS en la segurización del dato (Considerando 77 y arts. 35 y 39 RGPD)
• Medidas de seguridad y estado de la técnica (Considerando 29, 71, 78, 87 y 156, arts 4, 5, 24, 25, 28, 30, 32 y 34 RGPD y art. 14 LAP)
  • Medidas de Seguridad Físicas
  • Medidas de Seguridad Lógicas
  • Medidas de Seguridad Organizativas
  • Medidas de Seguridad Formativas
  • Generación y conservación de prueba documental
• Registro de las actividades de tratamiento (art. 30 RGPD)
• Designación de un DPO (art. 37 RGDP)
• Análisis de Riesgo (art. 32 RGPD)
• Evaluación de Impacto y Consulta Previa (art. 35 RGPD)
• Elección y mantenimiento de las medidas de seguridad (arts. 5, 25 y 32 RGPD)
  • Implantación y configuración de medidas de seguridad
  • Revisión y mejora continua de las medidas de seguridad

TEMA 9.- INSTRUMENTOS PARA LA ACREDITACIÓN DEL CUMPLIMIENTO

• La responsabilidad proactiva (Considerando 85 y art. 5.2 RGPD)
• El Responsable y la carga de la prueba
• Documento de Seguridad adaptado al GDPR
  • Tratamiento de Datos y DPO
    • Registro de actividades
    • Análisis sobre la necesidad de un DPO para cada una de las actividades de tratamiento como responsable y como encargado
    • Metodologías para la generación de procesos de nuevos tratamiento de datos con protección desde el diseño y por defecto
    • Pre-evaluaciones y, en su caso, evaluaciones de impacto sobre los datos personales
    • Análisis de riesgo por cada tratamiento e implantación de medidas físicas y lógicas
  • Personal y soportes
    • Funciones y obligaciones del personal
    • Certificados de formación de las personas que vayan a tener acceso a datos personales
    • Gestión de salida y entrada de soportes
    • Análisis de riesgos por cada tratamiento e implantación de medidas organizativas
  • Contratos de encargado del tratamiento, siempre localizables
  • Protocolos de actuación
    • Solicitud de derechos
    • Respaldos
    • Recuperación de datos
    • Brechas de seguridad
  • Mantenimiento constante por parte del Responsable de Seguridad o el DPO 
• Sistemas para la obtención, gestión y custodia de pruebas documentales
  • Consentimiento y tratamiento
  • Gestión de usuarios
  • Cifrado por archivo
• Códigos de conducta
• Certificación

TEMA 10.- TRANSFERENCIAS INTERNACIONALES

• Principio general de las transferencias
• Transferencias basadas en una decisión de adecuación
• Transferencias mediante garantías adecuadas
• Normas corporativas vinculantes o BCR
• Transferencias o comunicaciones no autorizadas por el Derecho de la Unión
• Excepciones para situaciones específicas
• Cooperación internacional en el ámbito de la protección de datos personales

TEMA 11.- AUTORIDADES DE CONTROL INDEPENDIENTES Y COMITÉ EUROPEO

• Autoridad de control (art. 51 RGPD)
  • Independencia y principios (art. 52 RGPD)
  • Competencia, funciones y poderes
  • Cooperación, coherencia y asistencia mutua
• Comité Europeo de Protección de Datos

TEMA 12.- AUDITORÍAS DE SEGURIDAD Y DE PROTECCIÓN DE DATOS

• Auditorías de Seguridad
  • Proceso de Auditoría documental y técnica
  • Elaboración de informes de auditoría
  • Acciones correctoras y acciones correctivas y preventivas
• ISO 27001
• Acercamiento a la auditoría técnica por medio del hacking ético
  • Revisiones de código fuente en software, apps y webs
  • Revisión de servicios externos e internos
  • Revisión de redes y sistemas
  • Revisión de la gestión de usuarios y permisos de acceso
  • BYOD, dispositivos móviles y soluciones MDM

TEMA 13.- ACCIONES ANTE UNA BRECHA DE SEGURIDAD

• Qué es un incidente o brecha de seguridad y cómo puede afectar a los datos
• Notificación de una violación de la seguridad de los datos personales a la autoridad de control
• Comunicación de una violación de la seguridad de los datos personales al interesado

TEMA 14.- RECURSOS, INDEMNIZACIÓN Y SANCIONES

• Recursos
• Derecho a indemnización
• Daño reputacional
• Tipos de sanciones
• Multas administrativas
• Delitos

TEMA 15.- NORMATIVAS SECTORIALES DE PROTECCIÓN DE DATOS Y NUEVAS TECNOLOGÍAS

• E-commerce, marketing, estadística y ventas
  • Ley de Cookies
  • Sistemas de rastreo sin cookies
  • Comunicaciones comerciales por vía electrónica
  • Contenidos en sitios web propios
• Laboral
  • Estatuto de los Trabajadores
  • Contrato laboral
  • Normativa interna y Códigos de Conducta
• Telecomunicaciones
• Prensa, Publicidad y entretenimiento
  • Ley de Prensa
  • Derecho de rectificación periodística o réplica
  • Derecho al honor y a la intimidad personal y familiar
  • Derecho a la propia imagen
• Sanidad y farmacia
• Videovigilancia
• Banca y Seguros
  • Prevención del Blanqueo de Capitales
  • Solvencia Patrimonial
  • Videovigilancia para para la banca
• Blockchain
• IoT, Cloud, Big Data y Smartphones
• Operadores de infraestructuras críticas