Índice
1. DOMINIO. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
1.1. Contexto normativo...................................................................................................................... 13
1.1.1. Privacidad y protección de datos en el panorama internacional............................. 13
1.1.2. La protección de datos en Europa................................................................................. 15
1.1.3. La protección de datos en España................................................................................. 27
1.1.4. Estándares y buenas prácticas/..................................................................................................................................... 32
1.2. El Reglamento Europeo de Protección de datos y actualización de LOPD. Fundamentos...................................................................................................................................................... 41
1.2.1. Ámbito de aplicación...................................................................................................... 41
1.2.1.1. El ámbito territorial de la protección de datos...................................... 47
1.2.2. Definiciones..................................................................................................................... 49
1.2.3. Sujetos obligados.............................................................................................................. 55
1.2.3.1. Cuestiones Generales.................................................................................. 55
1.2.3.2. El tratamiento de datos de personas fallecidas....................................... 55
1.3. Los principios................................................................................................................................. 57
1.3.1. El binomio derecho/deber en la protección de datos............................................... 57
1.3.2. Licitud del tratamiento................................................................................................... 59
1.3.2.1. La licitud del tratamiento y otros valores jurídicos que lo legitiman. 59
1.3.3. Lealtad y transparencia................................................................................................... 62
1.3.4. Limitación de la finalidad............................................................................................... 63
1.3.5. Minimización de datos.................................................................................................... 64
1.3.6. Principio de exactitud, conservación de los datos personales, integridad y confidencialidad de los datos personales............................................................................ 64
1.4. El Reglamento Europeo de Protección de Datos y actualización de la LOPD. Legitimación................................................................................................................................................... 64
1.4.1. El consentimiento: otorgamiento y revocación......................................................... 64
1.4.2. El consentimiento informado: finalidad, transparencia, conservación, información y deber de comunicación al interesado............................................................... 68
1.4.3. Consentimiento de los menores y niños..................................................................... 70
1.4.4. Categorías especiales de datos....................................................................................... 72
1.4.5. Datos relativos a infracciones a infracciones y sanciones penales.......................... 80
1.4.6. Tratamiento que no requiere identificación............................................................... 81
1.4.6.1. La información anónima y la seudo anonimización............................. 81
1.4.7. Bases jurídicas distintas del consentimiento............................................................... 82
1.5. Derechos de los individuos........................................................................................................... 91
1.5.1. Transparencia e información......................................................................................... 91
1.5.2. Acceso................................................................................................................................ 103
1.5.2.1. Derecho de Acceso...................................................................................... 103
1.5.2.2. Derecho de rectificación............................................................................ 106
1.5.2.3. Derecho de supresión (Derecho al olvido)......................................... 107
1.5.3. Derecho de oposición...................................................................................................... 109
1.5.4. Decisiones individuales automatizadas....................................................................... 112
8 Índice general
1.5.5. Derecho a la portabilidad............................................................................................... 114
1.5.6. Limitación del tratamiento............................................................................................ 118
1.5.7. Excepciones a los derechos............................................................................................. 121
1.6. Las medidas de cumplimiento..................................................................................................... 122
1.6.1. Las políticas de protección de datos............................................................................. 122
1.6.2. Posición jurídica de los intervinientes. Responsables, corresponsables, encargados,
sub encargado del tratamiento y sus representantes. Relaciones entre ellos
y formalización................................................................................................................. 127
1.6.2.1. El responsable del tratamiento.................................................................. 127
1.6.2.1.1. Cuestiones Generales............................................................ 127
1.6.2.1.2. La responsabilidad del responsable del tratamiento....... 134
1.6.2.2. El Encargado del Tratamiento................................................................... 138
1.6.2.3. El tratamiento de datos bajo la autoridad del responsable o del encargado
del tratamiento.............................................................................. 144
1.6.2.4. Los corresponsables del tratamiento........................................................ 144
1.6.2.5. Los Representantes de responsables o encargados del tratamiento
no establecidos en la Unión Europea....................................................... 145
1.6.3. El registro de las actividades de tratamiento............................................................... 147
1.6.3.1. La supresión del Registro General de Protección de Datos de la
Agencia Española de Protección de Datos............................................. 147
1.6.3.2. El registro de actividades de tratamiento................................................ 148
1.7. La responsabilidad proactiva........................................................................................................ 150
1.7.1. Privacidad desde el diseño y por defecto. Principios fundamentales..................... 150
1.7.2. Evaluación de impacto relativa a la protección de datos y consulta previa. Los
tratamientos de alto riesgo............................................................................................. 152
1.7.2.1. La evaluación de impacto relativa a la protección de datos................. 152
1.7.2.2. La consulta previa a la Agencia Española de Protección de Datos.... 160
1.7.3. Seguridad de los datos personales. Seguridad técnica y organizativa.................... 162
1.7.4. Las violaciones de la seguridad. Notificación de violaciones de seguridad........... 163
1.7.4.1. Las violaciones de seguridad...................................................................... 163
1.7.4.2. La comunicación de una violación de la seguridad de los datos personales
al interesado.................................................................................... 165
1.7.5. El Delegado de Protección de Datos (DPD). Marco normativo........................... 167
1.7.6. Códigos de conducta y certificaciones......................................................................... 168
1.7.6.1. Cuestiones generales................................................................................... 168
1.7.6.2. La supervisión de códigos de conducta aprobados............................... 173
1.7.6.3. Las certificaciones........................................................................................ 174
1.7.6.4. El organismo de certificación.................................................................... 176
1.8. El Delegado de Protección de Datos (DPD, DPO o Data Privacy Officer)...................... 179
1.8.1. La designación del delegado de protección de datos. Proceso de toma de decisión.
Formalidades en el nombramiento, renovación y cese. Análisis de conflicto
de interés....................................................................................................................... 179
1.8.2. Obligaciones y responsabilidades. Independencia. Identificación y reporte a
dirección............................................................................................................................ 182
1.8.3. Procedimientos. Colaboración, autorizaciones previas, relación con los interesados
y gestión de las reclamaciones............................................................................. 185
1.8.4. Comunicaciones con la autoridad de protección de datos...................................... 186
Índice general 9
1.8.5./1.8.6./1.8.7..................... Competencia profesional. Negociación. Comunicación.
Presupuestos. Formación. Habilidades personales, trabajo en equipo, liderazgo,
gestión de equipos............................................................................................................ 186
1.9. Las transferencias internacionales de datos............................................................................... 191
1.9.1. Cuestiones generales sobre las transferencias internacionales de datos................ 191
1.9.2. Las transferencias internacionales de datos, basadas en una decisión de adecuación....................................................................................................................
................. 194
1.9.3. Las transferencias internacionales de datos mediante garantías adecuadas......... 202
1.9.4. Los supuestos de transferencias internacionales de datos, sometidos a autorización
previa de las autoridades de protección de datos.............................................. 204
1.9.5. Las normas corporativas vinculantes (BCRs)............................................................ 204
1.9.6. Las transferencias o comunicaciones internacionales de datos no autorizadas
por el Derecho de la Unión Europea............................................................................ 208
1.9.7. Las excepciones existentes para situaciones específicas............................................ 208
1.9.8. Cooperación internacional en el ámbito de la protección de datos personales... 211
1.9.9. Las transferencias internacionales de datos, y el papel a desempeñar por la
Agencia Española de Protección de Datos.................................................................. 211
1.9.10. Otras consideraciones sobre las transferencias internacionales de datos.............. 213
1.10. Las Autoridades de Control......................................................................................................... 217
1.10.1. Autoridades de Control.................................................................................................. 217
1.10.1.1. Conceptos generales.................................................................................... 217
1.10.1.2. La independencia de las autoridades de control.................................... 219
1.10.1.3. Las condiciones generales aplicables a los miembros de la autoridad
de control....................................................................................................... 220
1.10.1.4. Las normas relativas al establecimiento de la autoridad de control... 221
1.10.1.5. La competencia de la autoridad de control............................................. 222
1.10.1.6. La competencia de la autoridad de control principal........................... 223
1.10.1.7. Las funciones de la autoridad de control................................................ 226
1.10.1.8. El informe de actividad............................................................................... 229
1.10.1.9. La cooperación y coherencia..................................................................... 229
1.10.1.9.1. La cooperación entre la autoridad de control principal y
las demás autoridades de control interesadas................... 229
1.10.1.10. La asistencia mutua entre autoridades de control................................. 235
1.10.1.11. Las operaciones conjuntas de las autoridades de control..................... 238
1.10.1.12. El mecanismo de coherencia...................................................................... 240
1.10.1.12.1. Concepto y características.................................................... 240
1.10.1.13. El dictamen del Comité.............................................................................. 241
1.10.1.14. La resolución de conflictos por el Comité.............................................. 243
1.10.1.15. El llamado procedimiento de urgencia................................................. 244
1.10.1.16. El intercambio de información entre autoridades de control, el Comité
y la Comisión...................................................................................... 245
10.2. Las potestades de la autoridad de control.................................................................................. 246
1.10.3. Régimen sancionador...................................................................................................... 249
1.10.3.1. Régimen sancionador.................................................................................. 249
1.10.3.1.1. Los sujetos responsables....................................................... 249
1.10.3.1.2. Actos y conductas susceptibles de ser sancionadas y su
tiempo de prescripción......................................................... 250
10 Índice general
1.10.3.1.3. Otras consideraciones sobre las infracciones.................... 256
1.10.3.1.4. La prescripción de las sanciones.......................................... 258
1.10.3.2. Las multas administrativas. Condiciones para su imposición............ 259
1.10.3.3. Las sanciones................................................................................................. 262
1.10.4. Comité Europeo de Protección de Datos................................................................... 265
1.10.4.1. Características............................................................................................... 265
1.10.4.2. La independencia del Comité................................................................... 267
1.10.4.3. Las funciones del Comité.......................................................................... 267
1.10.4.4. Los informes del Comité............................................................................ 270
1.10.4.5. El procedimiento de funcionamiento del Comité................................ 270
1.10.4.6. La Presidencia del Comité......................................................................... 271
1.10.4.7. Las funciones del presidente del Comité................................................ 271
1.10.4.8. La Secretaría del Comité............................................................................ 271
1.10.4.9. La confidencialidad en el funcionamiento del Comité....................... 272
1.10.5. Procedimientos seguidos por la AEPD....................................................................... 273
1.10.5.1. Cuestiones generales................................................................................... 273
1.10.5.2. La admisión a trámite de las reclamaciones............................................ 273
1.10.5.3. La determinación del alcance territorial................................................. 274
1.10.5.4. Las actuaciones previas de investigación................................................. 275
1.10.6. La tutela jurisdiccional.................................................................................................... 276
1.10.6.1. El derecho a presentar una reclamación ante una autoridad de control...................................................................................................................
276
1.10.6.2. El derecho a la tutela judicial efectiva contra una autoridad de control...................................................................................................................
278
1.10.6.3. El derecho a la tutela judicial efectiva contra un responsable o encargado
del tratamiento................................................................................... 282
1.10.6.4. La representación de los interesados........................................................ 283
1.10.6.5. La suspensión de los procedimientos....................................................... 284
1.10.7. El derecho de indemnización......................................................................................... 285
1.11. Directrices de interpretación del RGPD................................................................................... 288
1.11.1./1.11.2...Guías del GT art. 29, y Opiniones del Comité Europeo de Protección
de Datos............................................................................................................................ 288
1.11.3. Criterios de órganos jurisdiccionales........................................................................... 288
1.12. Normativas sectoriales afectadas por la protección de datos................................................. 354
1.12.1. Sanitaria, Farmacéutica, Investigación......................................................................... 354
1.12.1.1. Sanitaria......................................................................................................... 354
1.12.1.2. Farmacéutica................................................................................................. 358
1.12.1.3. Investigación................................................................................................. 358
1.12.2. Protección de los menores.............................................................................................. 359
1.12.3. Solvencia Patrimonial...................................................................................................... 361
1.12.4. Telecomunicaciones......................................................................................................... 364
1.12.5. Video vigilancia................................................................................................................ 364
1.12.6. Seguros.............................................................................................................................. 366
1.12.7. Publicidad......................................................................................................................... 367
1.13. Normativa española con implicaciones en protección de datos............................................ 369
1.13.1. LSSI, Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información
y de comercio electrónico............................................................................................... 369
Índice general 11
1.13.2. LGT, Ley 9/2014, de 9 de mayo, General de Telecomunicaciones....................... 372
1.13.3. Ley firma-e, Ley 59/2003, de 19 de diciembre, de firma electrónica.................... 381
1.13.4. Las facultades de investigación, régimen sancionador y procedimientos en caso
de vulneración de la normativa de protección de datos........................................... 385
1.13.4.1. Inspección en materia de protección de datos....................................... 385
1.13.4.2. Régimen sancionador en materia de protección de datos................... 386
1.13.4.3. Los procedimientos en caso de posible vulneración de la normativa
de protección de datos................................................................................ 388
1.14. Normativa europea con implicaciones en protección de datos............................................. 396
1.14.1. Directiva e-Privacy: Directiva 2002/58/CE del Parlamento Europeo y del
Consejo de 12 de julio de 2002, relativa al tratamiento de los datos personales
y a la protección de la intimidad en el sector de las comunicaciones electrónicas
(Directiva sobre privacidad y las comunicaciones electrónicas) o Reglamento
e-Privacy cuando se apruebe.......................................................................................... 396
1.14.1.1. Capítulo I. Disposiciones generales......................................................... 396
1.14.1.2. Capítulo II. La protección de las comunicaciones electrónicas de
las personas físicas y jurídicas y de la información almacenada en sus
equipos terminales....................................................................................... 401
1.14.1.3. Capítulo III. Derechos de las personas físicas y jurídicas en relación
con el control de las comunicaciones electrónicas................................ 407
1.14.1.4. Capítulo IV. Autoridades de control independientes y ejecución..... 413
1.14.1.5. Capítulo V. Recursos, responsabilidad y sanciones.............................. 416
1.14.1.6. Capítulo VI. Actos delegados y actos de ejecución............................... 420
1.14.1.7. Capítulo VII. Disposiciones finales......................................................... 421
1.14.2. Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre
de 2009, por la que se modifican la Directiva 2002/22/CE relativa al
servicio universal y los derechos de los usuarios en relación con las redes y los
servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al
tratamiento de los datos personales y a la protección de la intimidad en el sector
de las comunicaciones electrónicas y el Reglamento (CE) número 2006/2004
sobre la cooperación en materia de protección de los consumidores.................... 422
1.14.3. Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril
de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales por parte de las autoridades competentes para
fines de prevención, investigación, detección o enjuiciamiento de infracciones
penales o de ejecución de sanciones penales, y a la libre circulación de dichos
datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo....... 430
ANEXO I
Documento Número 1º. WP.242. Directrices sobre el derecho a la portabilidad de los datos. 447
Documento Número 2º. Anexo WP 242. Preguntas más frecuentes............................................ 453
Documento Número 3º. WP. 243. Directrices sobre los delegados de protección de datos
(DPD).............................................................................................................................................. 479
Documento Número 4º. WP. 244. Directrices para determinar la autoridad de control principal
de un responsable o encargado del tratamiento.............................................................. 509
Documento Número 5º. Anexo WP 244. Preguntas más frecuentes............................................ 523
12 Índice general
Documento Número 6º. WP. 248. Directrices sobre la evaluación de impacto relativa a la
protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente
un alto riesgo» a efectos del Reglamento (UE) 2016/679....................................... 529
Documento Número 7º. WP. 250. Directrices sobre la notificación de las violaciones de la
seguridad de los datos personales de acuerdo con el Reglamento 2016/679..................... 557
Documento Número 8º. WP. 251. Directrices sobre decisiones individuales automatizadas y
elaboración de perfiles a los efectos del Reglamento 2016/679........................................... 597
Documento Número 9º. WP. 253. Directrices sobre la aplicación y la fijación de multas administrativas
a efectos del Reglamento 2016/679................................................................... 641
Documento Número 10º. WP. 254. Article 29 Working Party. Adecuacy Referential............. 661
Documento Número 11º. WP. 256. Working Document setting up a table with the elements
and principles to be found in Binding Corporate Rules........................................................ 673
Documento Número 12º. WP. 257. Working Document setting up a table with the elements
and principles to be found in Processor Binding Corporate Rules...................................... 695
Documento Número 13º. WP. 259. Directrices sobre el consentimiento en el sentido
del Reglamento (UE) 2016/679 adoptadas el 28 de noviembre de 2017
y revisadas por última vez y adoptadas el 10 de abril de 2018............................................... 719
Documento Número 14º. WP. 260. Directrices sobre transparencia en virtud del Reglamento
(UE) 2016/679.......................................................................................................................... 757
ANEXO II
Guía práctica de aplicación del Reglamento Europeo de Protección de Datos........................... 807
ANEXO III
Código Tipo de Farmaindustria de Protección de Datos Personales en el ámbito de la Investigación
Clínica y de la Farmacovigilancia................................................................................ 827
La presente Obra, trata de proporcionar un instrumento de trabajo práctico y eficaz para aquellos que quieran superar con éxito el Curso de Delegado de Protección de Datos (DPD/DPO). La rigurosidad con que están concebidas dichas pruebas, exige una alta preparación por parte del alumno, que debe conocer en profundidad el contenido del programa homologado por la AEPD para el acceso a esta nueva titulación, donde prima el conocimiento exhaustivo de la normativa vigente, y en el que es fundamental, por tanto, el estudio en profundidad del Reglamento General de Protección de Datos y de la Ley Orgánica 3/2018, de 5 de diciembre, así como de aquellas otras normas de carácter complementario, que son muy especializadas en este ámbito de actuación.
En esta Obra, se ha procedido a elaborar aquellas cuestiones que componen el temario del llamado "DOMINIO" 1, y en las que en aras de facilitar la tarea de estudio del futuro DPD/DPO, se han acompañado de una documentación básica, que proporciona al mismo tiempo, la mejor y más práctica comprensión de aquellos aspectos que integran este "DOMINIO" 1.
