MURGA FERNANDEZ, J. P. / FERNANDEZ SCAGLIUSI, Mª. A. / ESPEJO LERDO DE TEJADA, M. (DIRECTORES)
Abreviaturas DOMINIO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS Capítulo 1. Contexto normativo de la protección de datos personales,por Adrián Palma Ortigosa 1. Introducción 2. La protección de datos en el ámbito internacional 2.1. OCDE 2.2. ONU 2.3. EEUU 3. La protección de datos en Europa 3.1. Consejo de Europa 3.2. Unión Europea 3.2.1. Directiva 95/46 CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 3.2.2. Carta de derechos fundamentales de la Unión Europea 3.2.3. Tratado de Funcionamiento de la Unión Europea 3.2.4. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 4. La protección de datos en España 4.1. Constitución Española 4.2. Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de carácter personal 4.3. Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos 4.4. Proyecto de Ley Orgánica de Protección de datos 5. Estándares y buenas prácticas Capítulo 2. Ámbito de aplicación y definiciones del RGPD,por Adrián Palma Ortigosa 1. Ámbito de aplicación material 1.1. Ámbito de aplicación positivo 1.2. Ámbito de aplicación negativo (exclusiones) 2. Ámbito de aplicación territorial 3. Definiciones del RGPD 3.1. Introducción 3.2. Definiciones básicas 3.3. Definiciones novedosas Capítulo 3. Principios relativos al tratamiento de datos personales,por Adrián Palma Ortigosa 1. El binomio derecho/deber en la protección de datos 2. Los principios relativos al tratamiento de datos 2.1. Licitud del tratamiento 2.2. Lealtad y transparencia 2.3. Limitación de la finalidad 2.3.1. Fin legítimo 2.3.2. Fin determinado 2.3.3. Fin explícito 2.3.4. Incompatibilidad de los fines tratados ulteriormente 2.4. Minimización de datos 2.5. Exactitud 2.6. Limitación del plazo de conservación 2.7. Integridad y confidencialidad (seguridad de los datos) 2.8. Responsabilidad proactiva (accountability) 2.9. Principio de proporcionalidad Capítulo 4. Las bases de legitimación del tratamiento de datos personales. En especial, el consentimiento,por Carlos Trujillo Cabrera 1. Introducción 2. El consentimiento: otorgamiento y revocación 2.1. Consentimiento y autodeterminación informativa 2.2. Requisitos para el otorgamiento del consentimiento 2.2.1. Manifestación de voluntad libre 2.2.2. Manifestación de voluntad específica 2.2.3. Manifestación de voluntad informada 2.2.4. Manifestación de voluntad inequívoca 2.2.5. Mediante una declaración o una clara acción afirmativa 2.3. Revocación del consentimiento 3. El consentimiento de los niños 4. Categorías especiales de datos 5. Datos relativos a infracciones y condenas penales 6. Tratamiento que no requiere identificación 7. Bases jurídicas distintas del consentimiento 7.1. La existencia de una relación contractual en la que el interesado sea parte o la existencia de una obligación legal para el responsable 7.2. La necesidad de proteger intereses vitales del interesado o de otras personas 7.3. El interés legítimo como base del tratamiento Capítulo 5. Derechos de los individuos,por Juan Pablo Murga Fernández 1. Transparencia e información 1.1. El principio de transparencia (Sección 1, Capítulo III RGPD) 1.1.1. Origen y naturaleza del principio de transparencia 1.1.2. Concepto del principio de transparencia 1.1.3. Transparencia, corresponsabilidad y menores: Considerando 58 RGPD 1.1.4. Requisitos de la transparencia: art. 12 RGPD (transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado) 1.2. El deber de información (arts. 13 y 14 RGPD) 1.2.1. Información que deberá facilitarse cuando los datos personales se obtengan del interesado (art. 13 RGPD) 1.2.2. Información que deberá facilitarse cuando los datos nales no se hayan obtenido del interesado (art. 14 RGPD) 2. Acceso, rectificación, supresión (olvido) 2.1. Derecho de acceso (art. 15 RGPD) 2.2. Derecho de rectificación (art. 16 RGPD) 2.3. Derecho de supresión (el derecho al olvido): art. 17 RGPD 2.3.1. El derecho de supresión 2.3.2. El derecho al olvido 3. Derecho de oposición (art. 21 RGPD) 3.1. Oposición a tratamientos basados en el interés público o interés legítimo 3.2. Oposición a tratamientos que tengan por objeto la mercadotecnia directa 3.3. El derecho de oposición en el caso de tratamientos con fines de investigación: un caso excepcional 3.4. Ejercicio del derecho de oposición, efectos del ejercicio y comunicación de su existencia 4. Decisiones individuales automatizadas (art. 22 RGPD) 5. Derecho a la portabilidad (art. 20 RGPD) 5.1. Introducción y concepto 5.2. Operaciones de tratamiento y datos cubiertos por el derecho a la portabilidad 5.3. ¿Cómo deben proporcionarse los datos que deben portarse? 5.4. Plazo en que debe facilitarse la portabilidad 5.5. Excepciones al derecho a la portabilidad 6. Limitación del tratamiento (art. 23 RGPD) Capítulo 6. Posición jurídica de los intervinientes en el tratamiento de datos personales. Medidas de cumplimiento,por Sara Lorenzo Cabrera 1. Las políticas de protección de datos 1.1. Aproximación a las políticas de protección de datos 1.2. Clasificación de las distintas políticas de protección de datos 2. Posición jurídica de los intervinientes en el tratamiento de datos 2.1. Responsable del tratamiento: definición y régimen jurídico 2.2. Elementos configuradores del concepto de responsable del tratamiento 2.2.1. Fuentes de atribución del poder de determinación 2.2.2. ¿Sobre qué elementos recae el poder de determinación? 2.2.3. Finalidad del tratamiento 2.2.4. Medios del tratamiento 2.3. Responsabilidad del responsable del tratamiento 2.3.1. Consideraciones generales: cambio de paradigma 2.3.2. Las obligaciones del responsable del tratamiento 2.4. Régimen de corresponsabilidad 2.4.1. Delimitación del supuesto de «corresponsabilidad» 2.4.2. Relación entre corresponsables y su formalización 2.5. Encargado y subencargado del tratamiento 2.5.1. Aproximación a la figura del «encargado del tratamiento» 2.5.2. Relación entre el responsable y el encargado. Breve referencia a los subencargados del tratamiento 2.6. Representante del responsable o del encargado del tratamiento y las relaciones entre ellos 3. El registro de actividades de tratamiento 3.1. Introducción 3.2. Configuración legal de la obligación de llevanza de un registro de actividades Capítulo 7. Responsabilidad proactiva,por Sara Lorenzo Cabrera, Adrián Palma Ortigosa y Carlos Trujillo Cabrera 1. Privacidad desde el diseño y por defecto. Principios fundamentales 1.1. Introducción 1.2. Principios fundamentales 1.3. Implementación en el artículo 25 del Reglamento General de Protección de Datos 1.3.1. Privacidad desde el diseño 1.3.2. Privacidad por defecto 2. Evaluación de impacto de protección de datos y los tratamientos de alto riesgo 2.1. Consideraciones generales 2.2. Obligación de realizar una evaluación de impacto: ¿en qué supuestos? 2.3. ¿Quién es el sujeto obligado a realizar la EIPD y cuándo debe hacerlo? 2.4. Ámbito y contenido mínimo de la EIPD 2.5. Revisión de la evaluación de impacto 2.6. Consulta previa 2.6.1. Supuestos de consulta previa 2.6.2. Sujeto obligado y procedimiento de consulta 3. Seguridad de los datos personales 3.1. Introducción 3.2. Medidas técnicas y organizativas relativas a la seguridad del tratamiento 4. Las violaciones de seguridad. Notificación y comunicación de las violaciones de seguridad 4.1. Notificación de una violación de seguridad. Art 33. RGPD. 4.1.1. Sujeto al que se ha de notificar y deber de notificación 4.1.2. Contenido mínimo de la notificación 4.1.3. Otras obligaciones 4.2. Comunicación de una violación de seguridad. Art 34 4.2.1. Sujeto al que se ha de comunicar y deber de comunicación 4.2.2. Contenido mínimo de la comunicación 4.2.3. Otras obligaciones 4.2.4. Justificación de las comunicaciones 5. Códigos de conducta y certificaciones 5.1. Códigos de conducta 5.2. Certificaciones Capítulo 8. El Reglamento Europeo de Protección de Datos. Delegados de Protección de Datos (DPD, DPO O DATA PRIVACY OFFICER),por Salvador Tomás Tomás 1. Designación. Proceso de toma de decisión. Formalidades en el nombramiento, renovación y cese. Análisis de conflicto de intereses 1.1. Consideraciones previas 1.2. Designación 1.3. Proceso de toma de decisión y cualificación 1.4. Formalidades en la designación, nombramiento y cese 1.5. Análisis de conflicto de intereses 2. Obligaciones y responsabilidades. Independencia. Identificación y reporte a dirección 2.1. Obligaciones 2.2. Responsabilidades 2.3. Independencia 2.4. Reporte a dirección 3. Procedimientos. Colaboración, autorizaciones previas, relación con los interesados y gestión de reclamaciones 3.1. Colaboración 3.2. Autorizaciones previas 3.3. Relación con los interesados 3.4. Gestión de reclamaciones 4. Comunicación con la autoridad de protección de datos Capítulo 9. Transferencias internacionales de datos, por Sara Lorenzo Cabrera 1. Introducción 2. Principio general de transferencias internacionales de datos 3. Concepto de «transferencia internacional de datos». Breve referencia al «tratamiento transfronterizo de datos» 4. Transferencias basadas en una decisión de adecuación 4.1. La decisión de adecuación como primera fuente de legitimación de las transferencias internacionales de datos 4.2. ¿Qué se entiende por «nivel de protección adecuado»? 4.3. Competencia y objeto de adecuación 4.4. Procedimiento para adoptar la decisión de adecuación 4.4.1. Iniciativa 4.4.2. Evaluación 4.4.3. Aprobación de la adecuación 4.4.4. Publicación 4.4.5. Decisiones de adecuación adoptadas bajo el régimen de la Directiva 95/46/CE 4.5. Principales efectos jurídicos de la decisión de adecuación 5. Transferencias internacionales mediante garantías adecuadas 5.1. La aportación de garantías adecuadas como segunda fuente de legitimación de las transferencias internacionales de datos 5.2. Clasificación de los diferentes cauces legales para aportar las garantías adecuadas 5.2.1. Primera modalidad de garantías adecuadas 5.2.2. Segunda modalidad de garantías adecuadas 5.3. Especial atención a las «normas corporativas vinculantes» y a las «cláusulas contractuales tipo» como garantías adecuadas 5.3.1. Normas corporativas vinculantes 5.3.2. Cláusulas contractuales tipo 5. Excepciones al principio general de transferencias 6. Otros supuestos específicos de transferencias internacionales de datos 7. Cooperación internacional en el ámbito de la protección de datos personales 8. Suspensión temporal de los flujos internacionales de datos Capítulo 10. Las Autoridades de Control,por Mª de los Ángeles Fernández Scagliusi 1. Autoridades de control independientes 1.1. Concepto 1.2. Independencia 2. Competencias, funciones y poderes 2.1. Competencias 2.2. Funciones 2.3. Poderes 3. Régimen sancionador 3.1. Consideraciones previas 3.2. Sujetos responsables 3.3. Infracciones 3.3.1. Clases de infracciones 3.3.1.1. Clases de infracciones según el RGPD 3.3.1.2. Clases de infracciones según el Proyecto de LOPD 3.3.2. Prescripción de infracciones 3.4. Sanciones y medidas coercitivas 3.4.1. Clases de sanciones 3.4.2. Criterios de graduación de las sanciones y multas coercitivas 3.4.3. Prescripción de las sanciones 3.4.4. Multas administrativas 3.4.5. Multas administrativas a autoridades y organismos públicos 4. Comité Europeo de Protección de Datos 4.1. Concepto 4.2. Principios 4.3. Organización y funcionamiento 4.4. Funciones 4.5. Recursos frente a las resoluciones 5. Procedimientos seguidos por la AEPD 5.1. Régimen jurídico 5.2. Iniciación de los procedimientos 5.3. Medidas provisionales 5.4. Plazo de tramitación de los procedimientos 6. La tutela jurisdiccional 7. El derecho de indemnización Capítulo 11. Directrices de interpretación del RGPD,por Carlos Trujillo Cabrera 1. Directrices del Grupo de Trabajo del artículo 29 1.1. Directrices en materia de notificación de violaciones de seguridad 1.2. Directrices en materia de decisiones automatizadas y elaboración de perfiles 1.3. Directrices en materia de establecimiento e imposición de multas administrativas 1.4. Directrices en materia de consentimiento 1.5. Directrices en materia de transparencia 2. El Comité Europeo de Protección de Datos 3. Criterios de órganos jurisprudenciales Capítulo 12. Normativas sectoriales afectadas por la protección de datos,por Mª de los Ángeles Fernández Scagliusi, Sara Lorenzo Cabrera, Juan Pablo Murga Fernández y Adrián Palma Ortigosa 1. Sanitaria, farmacéutica e investigación 1.1. Introducción y contexto normativo 1.2. Los principios del tratamiento en el ámbito sanitario 1.3. Los derechos de los interesados. Los pacientes 1.4. Investigación 2. Solvencia patrimonial 2.1. Importancia de la materia y conceptos introductorios 2.2. Características de los SIC en España y marco normativo 2.3. Régimen jurídico vigente de la CIRBE y los SIC privados 2.3.1. Régimen jurídico de la CIRBE: la Ley 44/2002 2.3.2. Régimen jurídico de los SIC privados 2.4. Régimen jurídico venidero de los SIC privados: art. 20 PLOPD 3. Telecomunicaciones 4. Videovigilancia 4.1. Introducción y contexto normativo 4.2. La videovigilancia y el derecho a la protección de datos 4.2.1. Ámbito de aplicación 4.2.2. Requisitos generales aplicables al tratamiento de datos basado en técnicas de videovigilancia 4.2.3. Derechos de los interesados. Especial referencia al derecho/deber de información 4.2.4. Cancelación/Supresión de las imágenes 4.2.5. Partes implicadas en la videovigilancia 4.2.6. Uso de la videovigilancia en el lugar de trabajo 5. Seguros 5.1. Consideraciones previas 5.2. Corredores o mediadores de seguros 5.3. Agentes de seguros y colaboradores externos 5.4. Entidades aseguradoras en la Ley 20/2015, de 14 de julio de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras 5.5. Breve apunte de la instrucción 2/1995, de 4 de mayo de la AEPD sobre medidas que garantizan la intimidad de los datos personales recabados como consecuencia de la contratación de un seguro de vida de forma conjunta con la concesión de un préstamo bancario o personal................................................... 305 6. Publicidad Capítulo 13. Normativa española con implicaciones en protección de datos,por Carlos Trujillo Cabrera, Mª de los Ángeles Fernández Scagliusi, Sara Lorenzo Cabrera 1. LSSI, Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico 2. LGT, Ley 9/2014, de 9 de mayo, General de Telecomunicaciones 3. Ley firma-e, Ley 59/2003, de 19 de diciembre, de firma electrónica Capítulo 14. Normativa europea con implicaciones en protección de datos,por Adrián Palma Ortigosa y Salvador Tomás Tomas 1. La Directiva e-Privacy 1.1. Introducción y contexto normativo 1.2. Análisis legal: Directiva e-Privacy 2. Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo 2.1. Objeto y ámbito de aplicación de la Directiva 2.2. Principios relativos al tratamiento y plazos de conservación y revisión 2.3. Categorías de interesados 2.4. Distinción entre datos personales y verificación de la calidad de los datos personales 2.5. Licitud del tratamiento y consentimiento del interesado 2.6. Condiciones de tratamiento específicas, tratamiento de categorías especiales de datos personas y mecanismo de decisión individual automatizado 2.7. Derechos de los interesados 2.7.1. Comunicación y modalidades del ejercicio de los derechos de los interesados 2.7.2. Información a disposición del interesado, derecho de acceso y limitaciones 2.7.3. Derecho de rectificación o supresión de datos personales y limitación de su tratamiento 2.7.4. Ejercicio de los derechos del interesado, comprobación por la autoridad de control y derechos en investigaciones y procesos penales 2.8. Responsable del tratamiento y encargado del tratamiento 2.8.1. Obligaciones generales 2.8.1.1 Obligaciones del responsable del tratamiento, protección de datos desde el diseño y por defecto y corresponsable del tratamiento 2.8.1.2. Encargado y tratamiento bajo la autoridad del responsable o del encargado 2.8.1.3. Registro de las actividades de tratamiento y registro de operaciones 2.8.1.4. Cooperación con la autoridad de control, evaluación de impacto relativa a la protección de datos y consulta previa 2.9. Seguridad de los datos personales 2.9.1. Seguridad del tratamiento 2.9.2. Notificación a la autoridad de control de una violación de la seguridad de los datos personales y su comunicación al interesado 2.10. Delegado de protección de datos 2.11. Transferencias de datos personales a terceros países u organizaciones internacionales 2.11.1.Principios generales de las transferencias de datos perso-nales 2.11.2.Transferencias basadas en una decisión de adecuación y transferencias mediante garantías apropiadas 2.11.3.Excepciones para situaciones específicas 2.11.4.Transferencias de datos personales a destinatarios establecidos en terceros países 2.11.5.Cooperación internacional en el ámbito de la protección de datos personales 2.12. Autoridades de control independientes 2.12.1.Independencia, condiciones generales aplicables a sus miembros y normas relativas a su establecimiento 2.12.2.Competencia, funciones y poderes 2.13. Cooperación 2.14. Recursos, responsabilidad y sanciones 2.14.1.Derecho a presentar una reclamación ante una autoridad control 2.14.2.Derecho a la tutela judicial efectiva 2.14.3.Representación de los interesados, derecho a indemnización y sanciones 2.15. Actos de ejecución 2.16. Disposiciones finales 2.16.1.Derogación de la Decisión Marco 2008/977/JAI 2.16.2.Actos jurídicos de la Unión en vigor y relación con acuerdos internacionales celebrados con anterioridad en el ámbito de la cooperación en materia penal y de la cooperación policial. 343 2.16.3.Trasposición y entrada en vigor DOMINIO II. RESPONSABILIDAD ACTIVA Capítulo 1. Análisis y gestión de riesgos de los tratamientos de datos personales,por Diego de la Prada Espina 1. Introducción. Marco General de la evaluación y gestión de riesgos. Conceptos generales 2. Evaluación de riesgos. Inventario y valoración de activos. Inventario y valoración de amenazas 2.1. Inventario de activos 2.2. Valoración de activos (Para este apartado y saber más consultar Magerit) 2.2.1. Dimensiones 2.2.2. Valoración de los activos 2.2.3. Valoración cualitativa 2.2.4. Valoración cuantitativa 2.2.5. El valor de la interrupción del servicio 2.3. Identificación y valoración de amenazas 2.4. Identificación de vulnerabilidades 2.5. Impacto 3. Riesgo por amenaza del activo 4. Valores especiales globales de ajuste de resultados 4.1. Identificación de las amenazas 4.2. Valoración de las amenazas 4.3. Determinación del impacto potencial 4.4. Impacto acumulado 4.5. Impacto repercutido 4.6. Agregación de valores de impacto 5. Determinación del riesgo potencial 6. Gestión del riesgo 6.1. Salvaguardas 6.2. Efecto de las salvaguardas 6.3. Tipo de protección 7. Catálogo de salvaguardas 7.1. Protecciones generales u horizontales 7.2. Protección de los datos / información 7.3. Protección de las claves criptográficas 7.4. Protección de los servicios 7.5. Protección de las aplicaciones (software) 7.6. Protección de equipos (hardware) 7.7. Protección de las comunicaciones 7.8. Protección en los puntos de interconexión con otros sistemas 7.9. Protección de los soportes de información 7.10. Protección de los elementos auxiliares 7.11. Seguridad física Protección de las instalaciones 7.12. Salvaguardas relativas al personal 7.13. Salvaguardas de tipo organizativo 7.14. Continuidad de operaciones 7.15. Externalización 7.16. Adquisición y desarrollo 8. Gestión del Riesgo Residual 8.1. Riesgo residual Capítulo 2. Metodologías de análisis y gestión de riesgos,por Diego de la Prada Espina 1. Introducción, marco general de la evaluación y gestión de riesgos. Conceptos generales 2. ¿Qué nos aporta un análisis de riesgos? 3. Antecedentes 3.1. ISO 3100-2009. Gestión de riesgos, principios y guías 3.2. UNE-ISO; 27001-2013/IEC. Sistemas de gestión para la seguridad de la información (SGSI) 4. Metodologías 4.1. Metodología Prest 4.2. Método Mosler (Método Navarrete) Siguiendo a Juan Francisco Gómez Velasco) 4.3. MAGERIT.3 4.4. Guía de Análisis de Riesgos de la Agencia Española de Protección de Datos Personales Capítulo 3. Programa de cumplimiento de Protección de Datos y Seguridad en una organización,por Diego de la Prada Espina 1. El diseño y la implantación del programa de protección de datos en una organización 1.1. Introducción 1.2. Diseño de un programa o política de protección de datos 1.2.1. Llevar un registro de las actividades de tratamiento. 1.2.2. Realizar una Evaluación de Impacto en la Protección de Datos personales 1.2.3. Incrementar la transparencia 1.2.4. Aplicar los principios de Privacidad desde el diseño y por defecto 1.2.5. Designar un Delegado de Protección de Datos 1.2.6. Notificar las violaciones de seguridad de los datos que se produzcan a la autoridad competente e interesados 1.2.7. La evidencia del cumplimiento 2. Objetivos del programa de cumplimiento 3. Accountability: la trazabilidad del modelo de cumplimiento 3.1. Definición, nociones generales 3.2. Modelo de listado de documentos en vigor 3.3. Elaboración de documentos para gestionar y evidenciar el cumplimiento Capítulo 4. Seguridad de la información,por Mª Carmen Romero Ternero 1. Seguridad de la información 2. Marco normativo 2.1. Directiva NIS 2.1.1. Ámbito de aplicación 2.1.2. Objetivos 2.1.3. Elementos principales 2.1.4. Principios 2.1.5. Requisitos mínimos 2.2. Esquema Nacional de Seguridad 2.2.1. Ámbito de aplicación 2.2.2. Objetivos 2.2.3. Elementos principales 2.2.4. Principios básicos 2.2.5. Requisitos mínimos 3. Ciberseguridad y gobierno de la seguridad de la información 3.1. Generalidades 3.2. Misión 3.3. Gobierno efectivo de la Seguridad de la Información 3.4. Conceptos de Seguridad de la Información 3.5. Alcance 3.6. Métricas del gobierno de la Seguridad de la Información 3.7. Estado de la Seguridad de la Información 3.8. Estrategia de Seguridad de la Información 4. Puesta en práctica de la seguridad de la información 4.1. Seguridad desde el diseño y por defecto 4.2. El ciclo de vida de los Sistemas de Información 4.3. Integración de la seguridad y la privacidad en el ciclo de vida 4.4. El control de calidad de los Sistemas de Información Capítulo 5. Evaluación de Impacto de Protección de Datos EIPD,por Diego de la Prada Espina 1. Introducción y fundamento de las EIPD: origen, concepto y característica de las EIPD. Alcance y necesidad 1.1. Introducción y origen 1.2. Fundamento de las EIDP 1.3. Concepto y características de las EIPD 1.4. Alcance y necesidad 2. Realización de una evaluación de impacto. Aspectos preparatorios y organizativos, desarrollo de la evaluación y consultas 2.1. Aspectos preparatorios y organizativos 2.2. Realización de la EIPD y consultas previas 2.2.1. Contexto 2.2.2. Gestión de riesgos 2.2.3. Conclusión 2.2.4. Comunicación y consulta a la Agencia Española de Protección de Datos 2.2.5. Supervisión y revisión de la implantación DOMINIO III. TÉCNICAS PARA GARANTIZAR EL CUMPLIMIENTO DE LA NORMATIVA DE PROTECCIÓN DE DATOS Capítulo 1. La auditoría de protección de datos,por Diego de la Prada Espina 1. El proceso de auditoría. Cuestiones generales y aproximación a la auditoría. Características básicas de la auditoría 1.1. Cuestiones generales. Aproximación a la auditoría 1.2. Características básicas de la auditoría 2. Elaboración del informe de auditoría: aspectos básicos e importancia del informe de auditoría 3. Ejecución y seguimiento de acciones correctoras Capítulo 2. Auditoría de Sistemas de Información,por Diego de la Prada Espina 1. La función de la auditoría en los Sistemas de Información. Conceptos básicos. Estándares y directrices de auditoría de sistemas de información 1.1. Conceptos básicos 1.2. Estándares 1.3. Directrices de la auditoría del Sistema de Información 2. Control interno y mejora continua 3. Buenas prácticas e integración de la auditoria de protección de datos en la auditoria del SGSI 3.1. Obligación de secreto 3.2. Política de Control de acceso a datos 3.3. Equipo de usuario desatendido 3.4. Puesto despejado y pantalla limpia. 3.5. Uso de los recursos 3.6. Soportes 3.7. Incidencias 3.8. Puesto de trabajo 3.9. Confidencialidad 3.10. Ordenadores portátiles y teletrabajo 4. Planificación, ejecución y seguimiento 4.1. Planificación 4.2. Implementación de programa de auditoría 4.3. Preparación de las actividades de la auditoría 4.4. Realización de actividades de auditoría. 4.5. Preparación y distribución del informe de la auditoría 4.6. Auditoría de seguimiento Capítulo 3. La gestión de la seguridad de los tratamientos,por Diego de la Prada Espina 1. Esquema Nacional de Seguridad, ISO/IEC 27001:2013 (UNE ISO/IEC 27001:2014: Requisitos de Sistemas de Gestión de Seguridad de la Información 2. Gestión de la Seguridad de los Activos. Seguridad lógica y en los procedimientos. Seguridad aplicada a las TI y la documentación 3. Recuperación de desastres y continuidad del negocio. Protección de los activos técnicos y documentales. Planificación y gestión de la recuperación del desastre 3.1. Objeto y ámbito de aplicación 3.2. Desarrollo e implantación de planes de continuidad que incluyan la seguridad de la información 3.3. Pruebas de mantenimiento y evaluación de los planes de continuidad del negocio 3.4. Contenido de un Plan de Continuidad 3.5. Eventos catastróficos 3.5.1. Eventos catastróficos que afectan a la seguridad física de los equipos 3.5.2. Eventos catastróficos que afectan a la seguridad física de los soportes 3.5.3. Eventos catastróficos que afectan a la seguridad del soft- tware Capítulo 4. Otros conocimientos,por Mª Carmen Romero Ternero 1. El cloud computing o la computación en la nube 2. Los Smartphones 3. Internet de las cosas (IoT) 4. Big data y elaboración de perfiles 5. Redes sociales 6. Tecnologías de seguimiento de usuario 7. Blockchain y últimas tecnologías
La entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos RGPD), ha instaurado a escala europea un cambio de paradigma en la gestión y tratamiento de los datos personales. Uno de los cambios más relevantes ha sido, sin duda, la instauración de una nueva figura desconocida hasta entonces: el Delegado de Protección de Datos (DPD), a quien se atribuyen funciones de información, asesoramiento y supervisión, y que debe ser nombrado entre personas con conocimientos especializados del Derecho y práctica en protección de datos. . Protección de datos, responsabilidad activa y técnicas de garantía. Curso de Delegado de Protección de Datos, constituye de esta manera un análisis detallado del RGPD con una doble finalidad: de un lado, servir como instrumento de aproximación al nuevo régimen jurídico europeo en materia de protección datos; y de otro, complementar la formación de profesionales que estén interesados en convertirse en DPD. La obra, elaborada por autores de distintas Universidades (Universidad de Sevilla, Universidad de La Laguna, Universidad de Valencia), responde fielmente al Esquema de Certificación de Delegados de Protección de Datos establecido por la Agencia Española de Protección de Datos para certificar que los DPD reúnen la cualificación profesional y los conocimientos requeridos para ejercer la profesión. . A destacar, la inclusión de una adenda en la que se actualizan los contenidos de la obra, de conformidad con la nueva Ley Orgánica 3/2018, de 5 de diciembre (BOE de 6 de diciembre) de Protección de Datos Personales y garantía de los derechos digitales. . Han participado en esta obra: Dominio I: Fernández Scagliusi, María de los Ángeles; Lorenzo Cabrera, Sara; Murga Fernández, Juan Pablo; Palma Ortigosa, Adrián; Tomás Tomas, Salvador; Trujillo Cabrera, Carlos. Dominio II: De la Prada Espina, Diego; Romero Ternero, Mª Carmen. Dominio III: De la Prada Espina, Diego y Romero Ternero, Mª Carmen.