pablo@pablofb.com   Contenido basado en normas de España (Europa), salvo indicación expresa en contrario.

Documentación de Protección de Datos

Fecha de la última actualización: 15 de febrero de 2021

Vídeo: Cómo cumplir RGPD (30 minutos)

Índice de la página

  1. Guías y documentos de ayuda
    1. Autoridades de control
    2. Normativa general y normativa por sectores
      1. Códigos de normativa
      2. Protección de datos – General
        1. Normativa europea
        2. Normativa española
        3. Material de interés
      3. Protección de datos – Sectorial
        1. Administración Pública
        2. Bio y Sanitario
        3. Comunicación, marketing y prensa
        4. Defensa
        5. Educación
        6. Financiero
        7. Logística y franquicias
        8. Telecomunicaciones
        9. Partidos políticos
        10. Laboral
    3. Guías sobre RGPD y sobre IoT, Cloud, reconocimiento de huellas…
      1. Guía para el responsable del tratamiento
      2. Análisis de riesgos y EIPD
      3. Transparencia, legitimidad y consentimiento
      4. Contratos de encargado del tratamiento
      5. Transferencias internacionales
      6. Normativa sobre cookies, pixels, fingerprint y otros rastreadores
      7. Documentación de protección de datos sobre nuevas tecnologías
      8. Brechas de seguridad
      9. Autoridades de control y multas administrativas
      10. Miscelána de normas y documentación de interés
    4. Consultas a la AEPD
    5. Sentencias de interés y resoluciones AEPD
    6. Recursos legales y técnicos
      1. Normativa de ciberseguridad
      2. Políticas de seguridad para la PYME
      3. Cómo certificar el envío de un email
      4. Contraseñas
      5. Antivirus
      6. Herramientas gratuitas de ciberseguridad
      7. Manuales y formación en ciberseguridad
  2. Plantillas editables, modelos y textos de ejemplo
  3. Temario completo (formato desplegable)
  4. Acrónimos
Haz clic aquí para acceder a mi guía divulgativa 'Fundamentos de la Protección de Datos en España'

1.- Guías y Documentos de ayuda

⚠ Cuidado al usar estos documentos: los documentos publicados por la AEPD, por otras agencias o por el WP29 con anterioridad al 25 de mayo de 2018 solo deben sirvir para tomar ideas y saber interpretar mejor el RGPD para proteger a las personas a través del correcto tratamiento de datos de carácter personal. Para evitar cargarlos en mi web o tener que indicar las fechas he puesto enlaces externos a los mismos, alojados en servidores de terceros, en los que las fechas están visibles. En relación con las respuestas a consultas, están a vuestra disposición desde esta página web, con indicación del origen y su fecha.

– ¿Puedo redifundir los documentos de la AEPD a través de pablofb.com?

1.- Autoridades de control

A.- AC Españolas

B.- AC de otros países de la Unión

2.- Normativa general y normativa por sectores

1.- Códigos de normativa

Las normas principales están en la ppt del Día 1. Estos enlaces solo llevan a algunos textos normativos y otros documentos de refuerzo.

2.- Protección de Datos – General

A.- Normativa europea:

Fechas de interés sobre el RGPD:

  • 27/01/2012: Propuesta, por la Comisión Europea
  • 04/05/2016: Publicación en el Diario Oficial
  • 24/05/2016: Entrada en vigor
  • 23/05/2018: Corrección de errores
  • 25/05/2016: Plenos efectos directos

B.- Normativa española:

D.- Material de interés

3.- Protección de Datos – Sectorial:

La práctica totalidad del tejido empresarial español está formado por empresas de menos de 250 empleados, con una importante presencia en el sector servicios y menor en los otros tres: agrario, industria y construcción. Más información en el Portal PYME, del Ministerio de Industria.

Estas son las normas y recomendaciones de la AC de protección de datos que considero de mayor interés para estos sectores.

A.- Administración Pública

B.- Bio y sanitario

C.- Comunicación, marketing y prensa

  • Directiva 2000/31/CE sobre el comercio electrónico: Regula determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior
    • Transposición – Ley 34/2002 (LSSI). Incluye:
      • Información a mostrar en una web profesional (art. 10)
      • Responsabilidades por estar en Internet (arts. 13 a 17 LSSI)
      • Cómo enviar e-mails comerciales (arts. 19 a 22.1 LSSI)
        • Opción 1: con consentimiento expreso (art.21.1 LSSI) sobre los sectores de actividad sobre los que se enviará publi (art. 45 RLPOD). Las listas de exclusión publicitaria (Lista Robinson) no son aplicables, por existir un consentimiento expreso y por ser la LSSI una norma especial que prevé un sistema particular de oposición (gratuito, sencillo y electrónico) de obligatoria inclusión en cada envío, además del derecho de oposición tradicional del RGPD.
        • Opción 2: sin consentimiento (art. 21.2 LSSI, bajo el art. 6.f RGPD y el Informe 0195/2017 AEPD), solo sobre productos o servicios propios (no de empresas del Grupo) que sean similares, según apreciación del cliente, a los que este previamente adquirió, con independencia de si la relación contractual está o no en vigor. Las listas de exclusión publicitaria (Lista Robinson) no son aplicables, por ser la LSSI una norma especial que prevé un sistema particular de oposición (gratuito, sencillo y electrónico) de obligatoria inclusión en cada envío, además del derecho de oposición tradicional del RGPD. Dato de interés: La STS 4399/2020 recuerda que es obligatorio informar al cliente expresamente sobre este tratamiento y ofrecerle la oportunidad de oponerse incluso antes de que el tratamiento haya comenzado.
      • Ley de Cookies (art. 22.2 LSSI)
      • Cómo vender a través de Internet (art. 23 y 24 LSSI)
  • RLOPD (arts. 45 a 51 en lo que no contradigan al RGPD): Cómo obtener autorización y tratar los datos para actividades de publicidad y prospección comercial, incluso por vía electrónica.
  • Ley de Competencia Desleal (art. 29): Derecho de oposición en la propia llamada comercial, sin necesidad de usar otras vías.
  • Ley de Prensa: Cómo publicar noticias por los periodistas y cuál es el alcance de su deber de secreto.
  • Ley Orgánica sobre la rectificación periodística: Cómo publicar una réplica en un medio de comunicación.
  • Ley Orgánica sobre honor, intimidad y propia imagen: Cómo hacer fotos en eventos; y cómo reaccionar ante opiniones de usuarios.
  • Ley de Consumidores y Usuarios: Cómo vender a través de Internet.

También te puede interesar:

D.- Defensa y Justicia

E.- Educación

F.- Financiero

  • Ley 10/2014, de Entidades de Crédito: Establece cómo ha de ofrecerse la información, por escrito, en precontratos y contratos.
  • Ley 26/2013, de Cajas de Ahorros y Fundaciones: Legitima las cesiones de datos a Banco de España.
  • Ley 10/2010, de Prevención del Blanqueo de Capitales: Posibilita la creación de ficheros sin consentimiento de los interesados y sin informarlos e impone la obligación de custodia de los datos por 10 años. Los gestores de los ficheros comunes previstos en el artículo 33 precisan DPO, según interpretación de la AEPD en una de sus respuestas en su Sesión Anual de 2018.
  • Ley Hipotecaria, de 1946: Establece a los 20 años la prescripción de la acción hipotecaria.
  • Ley 58/2003, General Tributaria: Impone la obligación de informar a Hacienda, sin consentimiento de los interesados y posibilita la publicación de listados de deudores.
  • Ley 13/2011, de regulación del juego (arts. 16 y 22): Medidas de seguridad reforzadas en la homologación del software. Se registrarán determinados datos, sin consentimiento de los afectados, de personas vinculadas a operadores de juego o a las que les está prohibido el juego.

G.- Logística y franquicias

H.- Telecomunicaciones

I.- Partidos políticos

J.- Laboral

  • Estatuto de los Trabajadores (18, 19, 20…): Determina condiciones sobre la inviolabilidad del trabajador, su seguridad y su salud, así como la forma en que el empleador puede controlar al empleado.
  • Ley 23/2015, de inspección de trabajo (arts. 16, 18 y 24): Los inspectores de trabajo pueden tener acceso a datos de trabajadores sin su consentimiento.
  • Real Decreto 1844/1994, de elección a órganos de representación laboral (art. 6): Establece qué datos de los empleados han de hacerse públicos en elecciones a órganos de representación de los trabajadores en la empresa.
  • Informes de interés:
    • SVS de PRL: El servicio de vigilancia de la salud externo (por prevención de riesgos laborales) es el responsable del tratamiento al que cede los datos de los empleados la empresa contratante (Informe 112/2008)
    • Comunicación de nóminas a subcontratas: En determinados casos, se puede comunicar el RNT (antiguo TC2) y nóminas de salarios de los trabajadores empleados en una subcontrata a la empresa principal (Informe 412/2009 y respuesta publicada por la AEPD)
    • ETT y CET: Una ETT y la empresa usuaria no han de firmar un CET (Informe 172/2006)
  • Sentencias de interés:
    • Sentencia 984/2018: La Sección Sindical, a través del derecho a la libertad sindical. está legitimada para enviar por email información sindical a los trabajadores, remitiendo las comunicaciones a una lista de distribución creada y gestionada por el departamento de recursos humanos de la empresa. En caso de que un trabajador solicite la baja a la Sección Sindical, dado que esta no tiene las direcciones de email ni puede gestionarlas, tendrá que responderle indicando que debe tramitarla él mismo solicitando a la empresa su exclusión de la lista de distribución, para lo cual es obligatorio que la Sección Sindical incluya información al respecto en cada comunicación sindical. 

COVID-19: La información relacionada con las medidas sanitarias que pueden ser adoptadas por los servicios de vigilancia de la salud en las empresas contra el COVID-19 se encuentra en la sección de «bio y sanitario«.

2.3.- Guías sobre RGPD y sobre IoT, Cloud, reconocimiento de huellas...

Antes de continuar, quizá quieras consultar la Guía para el ciudadano (AEPD), de tipo introductorio, en relación con los derechos que tiene el usuario frente a quienes tratan sus datos; y la página de fundamentos de la protección de datos que he elaborado para facilitar un primer acceso a la normativa.

A.- Guía para el responsable del tratamiento

B.- Análisis de Riesgos y Evaluación de Impacto sobre la Protección de Datos

C.- Transparencia, legitimidad y consentimiento

D.- Contratos de Encargado del Tratamiento

E.- Transferencias internacionales

F.- Normativa sobre cookies, pixels, fingerprints y otros rastreadores

G.- Documentación de protección de datos sobre nuevas tecnologías

➔ Recomendación: Área AEPD sobre Protección de Datos y Nuevas Tecnologías

H.- Brechas de seguridad

I.- Autoridades de control y multas administrativas

J.- Miscelánea de normas y documentación de interés

Repositorios de documentos:

Vídeos de la 10ª Sesión Abierta AEPD sobre el RGPD (canal AEPD):

  1. Apertura de la 10ª Sesión Abierta AEPD
  2. Registro de actividades de tratamiento
  3. Análisis de riesgos, evaluación de impacto y brechas de seguridad
  4. Entrega de Premios Protección de Datos 2017
  5. Ley de sociedad de la información y comercio electrónico
  6. Principio de accountability, papel del DPD y códigos de conducta
  7. Potestad sancionadora, autoridades de control y procedimientos
  8. Orientaciones del GT29 en relación con el RGPD y el papel del CEPD
  9. Proyecto de Ley Orgánica
  10. Intervenciones Asistentes

2.4.- Consultas a la AEPD

1.- Consultas AEPD

Durante estos años he presentado, por iniciativa propia o en representación de terceros, consultas a la AEPD. Muchas veces a los responsables nos les basta con que una norma imponga una obligación concreta, sino que demandan una respuesta escrita por parte de la AEPD. Por este motivo verás consultas que no habría sido necesario ni formular. A continuación comparto una selección de 10 consultas interesantes.

A.- ¿Un abogado necesita firmar CET con sus clientes?

B.- ¿Es necesario que los suscriptores a un boletín renueven sus consentimientos, que ya otorgaron de forma expresa antes del 25 de mayo de 2018? (Considerando 171 RGPD)

C.- ¿RGPD es aplicable al tratamiento de los datos de las personas de contacto en las empresas?

D.- ¿RGPD permite seguir usando usando casillas redactadas en negativo o premarcadas para obtener consentimientos u obtenerlos por el paso 30 días sin oposición?

E.- La existencia de la Lista Robinson presupone que todo nacido consiente tácitamente la recepción de publicidad dirigida. ¿Seguirá existiendo la Lista Robinson con el RGPD?

F.- Un grupo de empresas puede tener un único DPO que no sepa español, no esté en España y no conozca el derecho español, siempre que tenga a su cargo a un gestor español con un equipo en España formado por profesionales que sepan español y dominen el derecho español?

G.- RGPD para influencers: Consulta jurídica sobre la posibilidad de convertir una base de datos de miles de usuarios obtenida para fines personales en una base de datos para el envío de comunicaciones comerciales de terceros por vía electrónica

H.- ¿Es necesario firmar un CET con empresas de correos y mensajería?

I.- ¿Hay que firmar contrato de encargado del tratamiento con auditores de cuentas?

J.- ¿Se debe permitir el acceso al interesado a datos que hayan sido bloqueados por el responsable?

  •  

2.5.- sentencias de interés y RESOLUCIONES AEPD

1.- Sentencias de interés

Las sentencias resuelven sobre casos concretos. Recuerda: cuando cites palabras de algún tribunal, debes siempre añadir el contexto.

A.- Derecho al Olvido:

B.- Miscelánea de sentencias imprescindibles:

C.- Otras sentencias de interés:

  • TJUE – C-25/17 – Jehovan todistajat (nota de prensa en español): Una comunidad religiosa, como la comunidad los Testigos de Jehová, es responsable, junto con sus miembros predicadores, del tratamiento de los datos personales recogidos durante una actividad de predicación puerta a puerta.
  • TJUE – Asunto C‑40/17: El Tribunal considera que el responsable de un sitio web y FB son corresponsables en determinados tratamientos vinculados a la extracción de datos a través de un botón «me gusta» integrado en dicho sitio web.
  • TS – Sentencia 2484/2019: El TS considera que las mediciones de consumo eléctrico son un dato personal.
  • TC – Sentencia 169/2018: El Tribunal considera inconstitucional el uso genérico de la cámara oculta en el periodismo.
  • TS – Sentencia 363/2016 (nota de prensa del CGPJ): Prohibición de publicar, incluso por periodistas, fotografías tomadas de Facebook sin los correspondientes consentimientos expresos.
  • TS – Sentencia 5731/2012: El Tribunal considera una intromisión la toma de fotografías no consentidas (robados) a una famosa en una playa pública.

2.- Resoluciones sancionadoras seleccionadas (bajo RGPD)

  • Sanciones RGPD en países miembros de la UE: GDPR Enforcement Tracker
  • Selección de PS con multas RGPD en España (accede a las demás a través de la web de la AEPD):
    • PS/00477/2019: CAIXABANK, S.A. (6.000.000 €)
    • PS/00070/2019: BANCO BILBAO VIZCAYA ARGENTARIA, S.A. – BBVA (5.000.000 €)
    • PS/00334/2019: D. B.B.B. (10.000 €): AEPD impone multa de 10.000 euros a una persona que difunde por WhatsApp fotos íntimas de otra. Para determinar el importe de la multa se tiene en cuenta que el infractor es una persona física que no se dedica al tratamiento de datos y que divulgó sin dolo y solo localmente las imágenes, siendo afectada una sola persona.
    • PS/00300/2019: VUELING AIRLINES, S.L. (30.000 € reducida a 18.000 €)
    • PS/00299/2019: TWITTER SPAIN, S.L. (30.000 €)
    • PS/00233/2019: VIAQUA XESTIÓN INTEGRAL DE AUGAS DE GALICIA, S.A. (60.000 €)
    • PS/00159/2019: AVON COSMETICS SAU (60.000 €)
    • PS/00127/2019: IKEA IBERICA, S.A.U. (10.000 €)
    • PS/00121/2019: GESTIÓN DE COBROS, YO COBRO SL. (60.000 €)
    • PS/00092/2019: VODAFONE ONO, S.A.U. (60.000 € reducida a 36.000 €)
    • PS/00074/2019: ENDESA ENERGÍA XXI, S.L.U. (100.000 €, reducida a 60.000 €)
    • PS/00411/2018: VODAFONE ESPAÑA, S.A.U. (45.000 €, reducida a 27.000 €)
    • PS/00331/2018: VODAFONE ESPAÑA, S.A.U. (5.000 €)
    • PS/00326/2018: LIGA NACIONAL DE FÚTBOL PROFESIONAL (250.000 €)
  • Resolución de Tutela de Derechos de interés:
    • R/00540/2019: No es necesario solicitar el DNI para el ejercicio de derechos (en este caso, de supresión) si la persona interesada se identifica suficientemente por otros medios (en este caso, una dirección de email es suficiente), ya que «carece de sentido que sea mayor el rigor para dar de baja que el rigor para dar de alta».
  • Apercibimientos de interés:
    • PS/00195/2019: DESSAU ARTE INMOBILIARIO, S.L. [Incorporación a grupo de WhatsApp sin consentimiento]
    • A/0023/2019: VOYAGE PRIVE ESPAÑA, S.L. [Incumplimiento de la normativa de cookies]
    • A/00001/2019: LIVING TERRITORIWEB, S.L. [Incumplimiento de la normativa de cookies]
  • Archivos de interés:
    • E/08205/2019: PROMOFARMA ECOM S.L [brecha de seguridad con filtración de datos personales de 1.3 millones de personas]

2.6.- Recursos legales y técnicos de ciberseguridad

1.- Normativa de Ciberseguridad

2.- Políticas de seguridad para la PYME (por INCIBE)

3.- Cómo certificar el envío de un e-mail

4.- Contraseñas

Recomiendo seguir las recomendaciones de INCIBE dispuestas en su Política de Seguridad de Contraseñas y superar este listado.

A.- Gestor de contraseñas (mis 5 favoritos)

Con estos gestores no tendrás que volver a recordar una contraseña.

B.- Generador de contraseñas

Recuerda: siempre más de 8 caracteres y al menos una mayúscula, una minúscula, un número y un símbolo. No uses fechas ni nombres. Ayúdate con generadores.

5. Antivirus

Instala y configura correctamente un antivirus profesional. Estas son mis recomendaciones:

6.- Herramientas sencillas de cifrado

7.- Herramientas gratuitas de ciberseguridad

La ciberseguridad completa es un destino deseable e inalcanzable.

Soluciones ciber de analítica web: Estas páginas ayudan a saber qué es lo próximo que debes arreglar en tu web:

Herramientas ciber:

  • La Oficina de Seguridad del Internauta (OSI) ofrece un listado de enlaces a sitios desde los que puedes acceder a herramientas de ciberseguridad gratuitas: Herramientas.
  • Jigsaw: Test anti-phising de Google

8.- Manuales y formación en ciberseguridad

Manuales y formación gratuita online

Congresos de pago o gratuitos en España

Congresos de pago o gratuitos en fuera de España

1.- Plantillas editables, modelos y textos de ejemplo

1.- Documentos para preparar una adecuación:

  1. Plantilla – RAT Responsable
  2. Plantilla – RAT Encargado
  3. Plantilla – Sopesamiento sobre el interés legítimo
  4. Plantilla – Análisis sobre la necesidad de DPD
  5. Plantilla – Análisis sobre la necesidad de hacer una EIPD
  6. Plantilla – Análisis básico de riesgos
  7. Evaluación de Impacto sobre la Protección de Datos (EIPD):
    1. Plantilla de Metodología para una EIPD
    2. Plantilla – Ciclo de vida del dato para una EIPD
    3. Plantilla – Gestión de riesgos para una EIPD
    4. (opcional: Modelo de informe para ayudar a realizar una EIPD, elaborado por AEPD)
  8. Plantilla – Certificado de adecuación

Descarga una herramienta y una guía completa para una EIPD: GDPR Data Protection Impact Assessments (ISACA)

2.- Información al interesado sobre el tratamiento pretendido

3.- Contratos

4.- Ejemplo de aviso legal, privacidad y cookies para una web

5.- Modelo de aviso de privacidad para el pie de los correos electrónicos

Antes del aviso, en la firma, considero importante indicar en el correo electrónico el nombre del remitente junto con un teléfono, sea fijo o móvil, de contacto, para aportar humanidad al mensaje. En el aviso, partiendo del desconocimiento, podemos aportar información básica de privacidad.

[Firma del correo con nombre del remitente y teléfono de contacto]

Sus datos son tratados por Marca (denominación social) para atender su mensaje o prestarle el servicio solicitado. Puede ponerse en contacto con nuestro [delegado de protección de datos / responsable de seguridad] y ejercitar sus derechos de acceso, rectificación o supresión, entre otros, como se explica en nuestra política de privacidad.

6.- Ejercicio de Derechos (ver guía de la AEPD):

7.- Modelos para presentar reclamaciones

8.- Documentos para preparar una revisión:

  1. Plantilla – Revisión orientativa de una web
  2. Plantilla – Listado de cumplimiento
Haz clic aquí para acceder a mi guía divulgativa 'Fundamentos de la Protección de Datos en España'

3.- Dominio I del curso para ser DPD

El temario del Dominio I, que puedes desplegar un poco más abajo, para el curso de DPD puede servirte como guía para el curso que estés realizando para formarte y obtener el certificado de DPD.

La Agencia Española de Protección de Datos mantiene (a 16 de febrero de 2020) en esta página un listado con siete entidades de certificación para DPD acreditadas por ENAC:

  1. IVAC INSTITUTO DE CERTIFICACIÓN, SL: Autorizada el 07/09/2018.
  2. ASOCIACIÓN PARA EL FOMENTO DE LA SEGURIDAD DE LA INFORMACIÓN, ISMS FORUM: Autorizada el 11/10/2018.
  3. ASOCIACIÓN ESPAÑOLA PARA LA CALIDAD (AEC): Autorizada el 26/10/2018.
  4. ANF AUTORIDAD DE CERTIFICACIÓN ASOCIACIÓN, ANF AC: Autorizada el 25/01/2019.
  5. CUALICONTROL – ACI, S.A. (Unipersonal): Autorizada el 27/09/2019.
  6. AENOR INTERNACIONAL, S.A. (Unipersonal): Autorizada el 30/09/2019.
  7. ADOK CERTIFICACIÓN INTERNACIONAL, SL: Autorizada el 22/11/2019.

Si quieres un curso online o presencial que esté reconocido para certificarte, ahora puedes encontrar las entidades de formación reconocidas, con enlaces a sus programas, precios y fichas de inscripción, en la web de la AEPD sobre Certificación de delegado de protección de datos (cuando esta web esté disponible).

TEMA 1.- PRINCIPIOS Y FUNDAMENTOS DE LA PRIVACIDAD Y LA PROTECCIÓN DE DATOS

  • Contexto de la privacidad, la ciberseguridad y la protección de datos
  • Diferencia entre derecho de la personalidad y derecho personalísimo
  • Aproximación al GDPR (art. 1 RGPD) y la LOPDGDD
  • Normas diferentes a GDPR sobre privacidad y protección de datos de carácter personal
  • Normas diferentes a GDPR sobre protección de datos de carácter no personal
  • Organismos competentes y autoridades de control
  • Definiciones sobre privacidad y protección de datos (art. 4 RGPD)
  • Principios sobre privacidad y protección de datos (art. 5 RGPD)

TEMA 2.- REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD / GDPR) Y LOPDGDD

  • Introducción al GDPR (Considerandos 1 a 27 RGPD) y a la LOPDGDD
  • Considerandos y artículos del GDPR (todos los considerandos e índice de artículos) y LOPDGDD
  • Directrices de interpretación del GDPR y LOPDGDD: artículos, guías, opiniones, criterios, doctrina judicial y jurisprudencia
  • Ámbito de aplicación material (art. 2 RGPD)
  • Ámbito territorial (art. 3 RGPD)
  • Limitaciones al GDPR por normativa europea o local (art. 23 RGPD)
  • Introducción al Documento de Seguridad adecuado al GDPR y LOPDGDD

TEMA 3.- RESPONSABLE DEL TRATAMIENTO

  • Quién es quién en el GDPR y la LOPDGDD
  • El Responsable del Tratamiento. Obligaciones y responsabilidades (art. 24 RGPD)
  • Representante del Responsable del Tratamiento no establecido en la Unión (art. 27 RGPD)
  • Cooperación con la autoridad de control (art. 31 RGPD)
  • Corresponsables del tratamiento (art. 26 RGPD)

TEMA 4.- ENCARGADO DEL TRATAMIENTO

  • El Encargado del Tratamiento. Obligaciones y responsabilidades (arts. 28 y 29 RGPD)
  • El Contrato de Encargado del Tratamiento o CET en el GDPR y en la normativa local (art. 28 RGPD)
    • Qué y cómo es un CET
    • Sujetos, objeto, obligaciones y responsabilidades
    • Articulado obligatorio y anexos
    • Plazo de vigencia de los CET (Disposición Transitoria Segunda del RD-l de medidas urgentes)
  • Introducción a las Normas Corporativas Vinculantes o BCR (Considerandos 107, 108 y 110 y artículo 4.20 RGPD)
  • Representante del Encargado del Tratamiento no establecido en la Unión (art. 27 RGPD)
  • Cooperación con la autoridad de control (art. 31 RGPD)

TEMA 5.- CONSENTIMIENTO PARA EL TRATAMIENTO DE DATOS

  • Qué es el consentimiento (considerando 32 y art. 4.11 RGPD y arts. 8 a 13 LAP)
  • Tipos de consentimiento:
    • informado (art. 4.11 RGPD)
      • inequívoco (art. 4.11 RGPD)
        • expreso o explícito (arts. 9, 22, 49.1 RGPD; art. 1 LO 1/82; art. 21 LSSI; y art. 8 LAP)
          • por escrito (arts. 2, 8, 10 LAP; art. 3 LO 1/82; art. 15 Ley 19/2003; Orden INT/3215/2010)
  • Licitud del tratamiento de datos personales (art. 6 RGPD)
  • El interés legítimo (art. 6.f RGPD)
  • ¿Cómo se obtiene el consentimiento?
    • Principio de transparencia en la información (art. 12 RGPD)
    • Información que deberá facilitarse cuando los datos personales se obtengan del interesado (art. 13 RGPD)
    • Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado (art. 14 RGPD)
  • La prueba documental del consentimiento recibido (Considerando 42 RGPD)
  • El consentimiento para casos especiales:
    • Categorías especiales de datos personales (art. 9 RGPD)
    • Tratamiento de datos personales relativos a condenas e infracciones penales (art. 10 RGPD)
    • Decisiones individuales automatizadas, incluida la elaboración de perfiles (Considerando 71 y art. 22 RGPD)
    • Datos personales de menores de edad (art. 8 RGPD, art. 13 RLOPD, art. 3 LO 1/82 y arts. 9.2.c y 9.4 LAP)
    • Uso de cámaras de videovigilancia (Guía videovigilancia AEPD)
  • Marketing y consentimiento
    • Transparencia, concisión y previsión del error del aceptante (art. 12 RGPD, art. 27 LSSI y arts. 18.3 y 80 LGDCU)
    • Envío de comunicaciones comerciales por vía electrónica y no electrónica (Considerando 47 y arts. 6.1.a, 6.1.b y 6.1.f RGPD y art. 21 LSSI)
    • Casilla sin marcar y la finalidad secundaria y diferente de la principal (art. 13 RGPD)
    • Información con silencio negativo (art. 13 RGPD)
    • Seguimiento de apertura de los mensajes por parte de los destinatarios (Considerando 47 RGPD)
    • Instalación de cookies y dispositivos similares (art. 22.2 LSSI)
    • Seguimiento por medio de señales emitidas por terminales móviles (art. 6 RGPD)
    • Toma y uso de fotografías o grabación de vídeos en eventos (arts. 12 a 14 RGPD)
    • Publicación de imágenes y otros datos en redes sociales (art. 49.1.a RGPD)
  • Tratamientos que no requiere identificación (art. 11 RGPD)

TEMA 6.- DERECHOS DE LOS INTERESADOS

  • Qué son los derechos de los interesados (arts. 12 y 15 a 22 RGPD, arts. 21 y 22 LSSI, arts. 4 a 7 LAP)
  • Sujetos con derechos y sujetos obligados (art. 2 y 3 RGPD)
  • Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado (art.12 RGPD)
  • Formas de ejercicio y requisitos (considerando 64 RGPD)
  • Derechos PARSOLO (o SOOPLAR):
    • Portabilidad (art. 20 RGPD)
    • Acceso (art. 15 RGPD y 18 LAP)
    • Rectificación (art. 16 RGPD)
    • Supresión con borrado o bloqueo (art. 17 RGPD)
    • Olvido (art. 17 RGPD)
    • Limitación con suspensión del tratamiento o con deber de conservación (art.18 RGPD)
    • Oposición (art. 21 RGPD y art. 29 LCD)
    • Otros:
      • A no ser objeto de decisiones individualizadas automatizadas, incluida la elaboración de perfiles (art. 22 RGPD)
      • A ser informado sobre el tratamiento pretendido (arts. 12 a 14 RGPD)
      • Revocación (art. 2 LO 1/1982)
      • Rectificación periodística (art. 1 LO 2/84)
  • Marketing y Derechos… a través del caso:
    • Baja, Limitación y Oposición
    • Elaboración de perfiles
    • Fotografías, Publicidad impresa, vídeos y dibujos
  • Plazos de respuesta y ejecución (art. 12 RGPD)
  • Otros derechos desarrollados en la LOPDGDD

TEMA 7. DELEGADO DE PROTECCIÓN DE DATOS (DPO / DPD) Y RESPONSABLE DE SEGURIDAD (RS)

  • Qué es y quién puede ser DPO
  • Qué es y quién puede ser Responsable de Seguridad o RS
  • Sujetos que requieren designar un DPO
  • Comunicación del DPO a la Autoridad de Control
  • Posición del delegado de protección de datos
  • Funciones del delegado de protección de datos
  • Esquema de certificación de DPO de la AEPD

TEMA 8.- MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES

  • Protección de datos desde el diseño y por defecto (Considerandos 78, 108 y  arts. 25 y 47 RGPD)
  • Actividad del DPO y del RS en la segurización del dato (Considerando 77 y arts. 35 y 39 RGPD)
  • Medidas de seguridad y estado de la técnica (Considerando 29, 71, 78, 87 y 156, arts 4, 5, 24, 25, 28, 30, 32 y 34 RGPD y art. 14 LAP)
    • Medidas de Seguridad Físicas
    • Medidas de Seguridad Lógicas
    • Medidas de Seguridad Organizativas
    • Medidas de Seguridad Formativas
    • Generación y conservación de prueba documental
  • Registro de las actividades de tratamiento (art. 30 RGPD)
  • Designación de un DPO (art. 37 RGDP)
  • Análisis de Riesgo (art. 32 RGPD)
  • Evaluación de Impacto y Consulta Previa (art. 35 RGPD)
  • Elección y mantenimiento de las medidas de seguridad (arts. 5, 25 y 32 RGPD)
    • Implantación y configuración de medidas de seguridad
    • Revisión y mejora continua de las medidas de seguridad

TEMA 9.- INSTRUMENTOS PARA LA ACREDITACIÓN DEL CUMPLIMIENTO

  • La responsabilidad proactiva (Considerando 85 y art. 5.2 RGPD)
  • El Responsable y la carga de la prueba
  • Documento de Seguridad adaptado al GDPR
    • Tratamiento de Datos y DPO
      • Registro de actividades
      • Análisis sobre la necesidad de un DPO para cada una de las actividades de tratamiento como responsable y como encargado
      • Metodologías para la generación de procesos de nuevos tratamiento de datos con protección desde el diseño y por defecto
      • Pre-evaluaciones y, en su caso, evaluaciones de impacto sobre los datos personales
      • Análisis de riesgo por cada tratamiento e implantación de medidas físicas y lógicas
    • Personal y soportes
      • Funciones y obligaciones del personal
      • Certificados de formación de las personas que vayan a tener acceso a datos personales
      • Gestión de salida y entrada de soportes
      • Análisis de riesgos por cada tratamiento e implantación de medidas organizativas
    • Contratos de encargado del tratamiento, siempre localizables
    • Protocolos de actuación
      • Solicitud de derechos
      • Respaldos
      • Recuperación de datos
      • Brechas de seguridad
    • Mantenimiento constante por parte del Responsable de Seguridad o el DPO 
  • Sistemas para la obtención, gestión y custodia de pruebas documentales
    • Consentimiento y tratamiento
    • Gestión de usuarios
    • Cifrado por archivo
  • Códigos de conducta
  • Certificación

TEMA 10.- TRANSFERENCIAS INTERNACIONALES

  • Principio general de las transferencias
  • Transferencias basadas en una decisión de adecuación
  • Transferencias mediante garantías adecuadas
  • Normas corporativas vinculantes o BCR
  • Transferencias o comunicaciones no autorizadas por el Derecho de la Unión
  • Excepciones para situaciones específicas
  • Cooperación internacional en el ámbito de la protección de datos personales

TEMA 11.- AUTORIDADES DE CONTROL INDEPENDIENTES Y COMITÉ EUROPEO

  • Autoridad de control (art. 51 RGPD)
    • Independencia y principios (art. 52 RGPD)
    • Competencia, funciones y poderes
    • Cooperación, coherencia y asistencia mutua
  • Comité Europeo de Protección de Datos

TEMA 12.- AUDITORÍAS DE SEGURIDAD Y DE PROTECCIÓN DE DATOS

  • Auditorías de Seguridad
    • Proceso de Auditoría documental y técnica
    • Elaboración de informes de auditoría
    • Acciones correctoras y acciones correctivas y preventivas
  • ISO 27001
  • Acercamiento a la auditoría técnica por medio del hacking ético
    • Revisiones de código fuente en software, apps y webs
    • Revisión de servicios externos e internos
    • Revisión de redes y sistemas
    • Revisión de la gestión de usuarios y permisos de acceso
    • BYOD, dispositivos móviles y soluciones MDM

TEMA 13.- ACCIONES ANTE UNA BRECHA DE SEGURIDAD

  • Qué es un incidente o brecha de seguridad y cómo puede afectar a los datos
  • Notificación de una violación de la seguridad de los datos personales a la autoridad de control
  • Comunicación de una violación de la seguridad de los datos personales al interesado

TEMA 14.- RECURSOS, INDEMNIZACIÓN Y SANCIONES

  • Recursos
  • Derecho a indemnización
  • Daño reputacional
  • Tipos de sanciones
  • Multas administrativas
  • Delitos

TEMA 15.- NORMATIVAS SECTORIALES DE PROTECCIÓN DE DATOS Y NUEVAS TECNOLOGÍAS

  • E-commerce, marketing, estadística y ventas
    • Ley de Cookies
    • Sistemas de rastreo sin cookies
    • Comunicaciones comerciales por vía electrónica
    • Contenidos en sitios web propios
  • Laboral
    • Estatuto de los Trabajadores
    • Contrato laboral
    • Normativa interna y Códigos de Conducta
  • Telecomunicaciones
  • Prensa, Publicidad y entretenimiento
    • Ley de Prensa
    • Derecho de rectificación periodística o réplica
    • Derecho al honor y a la intimidad personal y familiar
    • Derecho a la propia imagen
  • Sanidad y farmacia
  • Videovigilancia
  • Banca y Seguros
    • Prevención del Blanqueo de Capitales
    • Solvencia Patrimonial
    • Videovigilancia para para la banca
  • Blockchain
  • IoT, Cloud, Big Data y Smartphones
  • Operadores de infraestructuras críticas

4.- Acrónimos

Foto de j zamora en Unsplash.