Manual de privacidad, protección de datos y ciberseguridad

Índice
Abreviaturas        21

Prólogo        23
Capítulo 1
INTRODUCCIÓN A LA PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES
I.    Origen y situación actual        25
II.    Concepto, Misión y Objetivos de la regulación de la privacidad y los datos personales        28
A.    ¿Qué es la privacidad y protección de datos personales?        29
B.    Misión y Objetivos de la regulación de los datos personales        29
C.    Normas que regulan la privacidad y protección de datos personales: Marco Normativo        29
1.    Internacional        29
a.    La Declaración Universal de los Derechos Humanos (dudh)        29
b.    El Convenio número 108 del Consejo de Europa para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal y su Protocolo Adicional (el «Convenio 108») de 28 de enero de 1981        30
2.    Europa        30
a.    Convenio Europeo de Derechos Humanos (CEDH)        30
b.    Carta de los Derechos Fundamentales de la Unión Europea (CDFUE)        31
c.    Tratado de Funcionamiento de la Unión Europea (TFUE)        31
d.    El Reglamento General de Protección de Datos (RGPD)        32
e.    La Directiva de tratamiento de datos para el cumplimiento de penas y sanciones penales        35
f.    Directiva sobre la privacidad y las comunicaciones electrónicas («ePrivacy Directive»)        35
g.    El «Reglamento de Gobernanza de Datos»        39
3.    España        41
III.    Ámbito de aplicación de la normativa de protección de datos        44
A.    El RGPD        44
B.    La LOPDGDD        45
IV.    Grandes hitos en la protección de la privacidad y protección datos personales        46
Capítulo 2
Conceptos fundamentales de la privacidad y protección de datos personales
I.    Datos de carácter personal        49
A.    Toda información        50
B.    Sobre        50
C.    Identificada o identificable        51
D.    Persona física        54
II.    El interesado        55
III.    Responsable, corresponsable y encargado del tratamiento. Destinatarios        56
A.    Responsable del tratamiento        57
1.    «La persona física o jurídica, autoridad pública, servicio u otro organismo»        57
2.    «Determine»        58
a.    Control de derecho        58
b.    Control de hecho        59
3.    «Sólo o junto con otros»        60
4.    «Los fines y medios»        60
5.    «Del tratamiento»        61
B.    Corresponsable del tratamiento        62
C.    Encargado del tratamiento        64
D.    Tercero y destinatario        64
1.    Tercero        64
2.    Destinatario        65
IV.    Tratamiento de datos        66
V.    Fuentes de acceso a datos        67
VI.    Delegado de Protección de Datos        68
Capítulo 3
Datos personales sensibles
I.    Concepto        69
II.    Categorías        69
A.    Categorías especiales de datos personales (art. 9 RGPD)        69
1.    Que el interesado haya dado su consentimiento explícito para tratarlos        70
2.    Que el tratamiento sea necesario para cumplir obligaciones y el ejercicio de derechos del responsable o del interesado en el ámbito del derecho laboral y de la seguridad y protección social, si lo autoriza el Derecho de la UE o un convenio colectivo con arreglo al derecho de los Estados miembros que establezca garantías adecuadas para el respeto de los derechos fundamentales y los intereses del interesado        71
3.    Que el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física, cuando el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento        71
4.    El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con garantías por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro con una finalidad política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de las mismas o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos no se comuniquen fuera de ellos sin el consentimiento de los interesados        72
5.    Que el tratamiento se refiera a datos personales que el interesado ha hecho manifiestamente públicos        72
6.    Que el tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando actúen en ejercicio de su función judicial        72
7.    Que el tratamiento sea necesario por razones de interés público, sobre la base del Derecho de la UE o el Derecho nacional y sea proporcional el objetivo perseguido, respetando en lo esencial el derecho a la protección de datos y estableciendo medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado        73
8.    Que el tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad del trabajador, diagnóstico médico, prestación de asistencia o tratamiento del tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la UE o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional o bajo su responsabilidad (o por cualquier otro profesional sujeto a la obligación de secreto profesional)        73
9.    Que el tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la UE o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional        74
10.    Que el tratamiento sea necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89.1, sobre la base del Derecho de la UE o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado        75
B.    Tratamiento de datos personales relativos a condenas e infracciones penales        76
C.    Datos biométricos        79
D.    Los neurodatos        81
Capítulo 4
Principios
I.    Licitud, lealtad y transparencia (art. 5.1.a) RGPD)        85
A.    «Lícita»        85
B.    «Leal»        86
C.    «Transparente»        86
II.    Limitación de la finalidad (art. 5.1.b) RGPD)        88
III.    Minimización de datos (art. 5.1.c) RGPD)        89
A.    Necesidad        89
B.    Proporcionalidad        90
IV.    Exactitud (art. 5.1.d) RGPD)        90
V.    Limitación del plazo de conservación (art. 5.1.e) RGPD)        91
VI.    Integridad y confidencialidad (art. 5.1.f) RGPD)        92
Capítulo 5
Licitud del tratamiento de datos
I.    La Licitud del tratamiento        95
A.    El interesado otorga su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos        95
B.    El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición del interesado de medidas precontractuales        96
C.    El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento        97
D.    El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física        98
E.    El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento        98
F.    El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requerirán la protección de datos personales, en particular cuando el interesado sea un niño        99
II.    El Consentimiento        101
A.    El consentimiento en general        101
1.    «Manifestación de voluntad libre»        102
2.    «Específico»        103
3.    «Informado»        103
4.    «Inequívoco»        104
B.    El consentimiento en el ámbito sanitario        106
C.    El consentimiento en menores de edad        106
Capítulo 6
Derechos de los interesados
I.    Los derechos del interesado        109
A.    Derecho de acceso (art. 15 RGPD)        110
B.    Derecho de rectificación (art. 16 RGPD)        111
C.    Derecho de supresión (el «derecho al olvido») (art. 17 RGPD)        113
D.    Derecho a la limitación del tratamiento (art. 18 RGPD)        119
E.    Derecho a la portabilidad (art. 20 RGPD)        120
F.    Derecho de oposición (art. 21 RGPD)        121
G.    Decisiones automatizadas, incluida la elaboración de perfiles (art. 22 RGPD)        122
H.    Derechos respecto de los datos de las personas fallecidas        123
I.    Comunicación de una violación de la seguridad de los datos personales del interesado (art. 34 RGPD)        124
II.    La obligación de información como un derecho de los interesados        125
A.    Derecho a la información cuando los datos han sido obtenidos directamente del interesado        126
B.    Derecho a la información cuando los datos no han sido obtenidos directamente del interesado        127
C.    Brechas de seguridad        128
D.    Cómo proporcionar la información al interesado        129
E.    Posibilidad de imponer obligaciones añadidas de información        129
F.    Obligaciones de información en materia de cookies y asimilados        130
III.    Limitación de los derechos        131
IV.    Regulación de tratamientos concretos en la normativa española        133
A.    Datos de contacto, empresarios individuales y profesionales liberales        133
B.    Sistemas de información crediticias: listas de morosos        134
C.    Tratamientos en operaciones societarias        136
D.    Videovigilancia        136
E.    Sistemas de exclusión publicitaria: «listas Robinson»        137
F.    Tratamientos en el ámbito de la función estadística y con fines de archivo en interés público        139
G.    Tratamientos relativos a infracciones y sanciones administrativas        139
H.    Tratamientos relativos a procedimientos judiciales        140
Capítulo 7
Accountability o responsabilidad proactiva
I.    ¿Qué es la «Accountability»?        143
A.    Responsabilidad del responsable del tratamiento        144
B.    Protección de datos desde el diseño y por defecto        145
1.    Protección de datos desde el diseño        145
2.    Protección de datos por defecto        150
C.    Documentación y cooperación con los reguladores        153
D.    Normas corporativas vinculantes        153
Capítulo 8
Seguridad de los datos. Evaluaciones de impacto de protección de datos
I.    Introducción        155
II.    El principio de seguridad y la seguridad basada en el enfoque de riesgo        155
A.    Confidencialidad, supervisión y trabajadores        156
B.    Registro de las actividades del tratamiento (el «RAT»)        157
C.    Cooperación con la autoridad de control        158
III.    Evaluación de Impacto de Protección de Datos        159
A.    ¿Cuándo se debe realizar una EIPD?        159
B.    ¿Cómo realizar una EIPD?        164
C.    Consulta previa preceptiva        166
IV.    Las brechas o violaciones de seguridad        167
Capítulo 9
El encargado del tratamiento y el delegado de protección de datos
I.    El Encargado del Tratamiento        169
A.    Concepto y funciones        169
B.    Subencargo del tratamiento        172
C.    Relaciones entre el Encargado y Responsable        173
D.    Registro de actividades de tratamiento en relación con los encargados del tratamiento        178
II.    El Delegado de Protección de Datos        179
A.    Concepto y funciones        179
B.    ¿Cuándo nombrar un DPO?        180
C.    Perfil y posición del DPO        183
D.    Funciones del DPO        185
E.    Intervención del DPO en casos de denuncias ante la AEPD        185
Capítulo 10
Transferencias internacionales de datos personales
I.    Introducción        187
II.    Principio general de las transferencias        187
III.    Transferencias basadas en una decisión de adecuación        188
A.    Procedimiento para determinar qué países son «adecuados»        188
B.    Relación con EE.UU. El «Privacy Shield»        190
IV.    Transferencias mediante garantías adecuadas        192
V.    Normas corporativas vinculantes        193
VI.    Excepciones        195
VII.    Supuestos sometidos a autorización o información previa a la autoridad de control        197
Capítulo 11
Cookies y privacidad
I.    Introducción        199
II.    Concepto, tipos y funciones        201
A.    ¿Qué es realmente una cookie?        201
B.    Tipos de cookies        201
1.    Por su naturaleza        201
2.    Por el responsable de la misma        202
3.    Por la finalidad o función que desempeñan o su finalidad        202
a.    Cookies técnicas        202
b.    Cookies de preferencias o de personalización        204
c.    Cookies analíticas o de medición        204
d.    Cookies de publicidad o marketing        206
e.    Otras        206
4.    Por la duración        207
5.    Por el tiempo de tecnología que emplean        208
III.    Consentimiento y cookies        210
A.    Confidencialidad y necesidad de consentimiento previo        210
B.    Modalidades de obtención del consentimiento        216
C.    Cookies y consentimiento de menores de 14 años        217
D.    Consentimiento a través de la configuración del navegador o la App        220
E.    Casos particulares en relación con el consentimiento        222
IV.    Transparencia y cookies: Sistemas de información        223
V.    Responsabilidad e incumplimientos en materia de cookies        227
VI.    Propuesta de Reglamento «ePrivacy»        229
Capítulo 12
Autoridades en materia de protección de datos
I.    Autoridades de control independientes        231
A.    El principio de independencia        231
B.    Competencia        232
C.    Funciones        234
1.    En un primer grupo se situarían las actividades puramente coercitivas o de «enforcement»        235
2.    En segundo lugar, estarían las actividades de prestación y promoción del derecho a la protección de datos personales        235
3.    En tercer lugar, las actividades de cooperación con otras autoridades de control, Administraciones Públicas y otros poderes del Estado        236
D.    Poderes        237
1.    Poderes de investigación        237
2.    Poderes coercitivos        237
3.    Poderes de autorización y consultivos        238
II.    Los Mecanismos de Cooperación y de Coherencia        239
A.    El Mecanismo de Cooperación        240
1.    La asistencia mutua        242
2.    Operaciones conjuntas de las autoridades de control        243
B.    El Mecanismo de Coherencia        245
1.    Dictámenes del CEPD        245
2.    Resolución de conflictos por el cepd: decisiones vinculantes        247
C.    El Procedimiento de Urgencia        248
III.    Comité Europeo de Protección de Datos        249
A.    Principio de Independencia        249
B.    Funciones        249
C.    Miembros        252
D.    El Presidente        253
E.    La Secretaría        253
IV.    El Supervisor Europeo de Protección de Datos        254
V.    Autoridades españolas de protección de datos        255
A.    La Agencia Española de Protección de Datos («AEPD»)        255
1.    Naturaleza y régimen jurídicos        255
2.    Financiación de la AEPD        256
3.    Personal de la AEPD        257
4.    Funciones y potestades: la actividad investigadora        258
5.    Órganos de gobierno de la AEPD        260
a.    Presidencia de la AEPD        260
b.    Adjunto a la Presidencia de la AEPD        262
c.    El Consejo Consultivo        263
d.    Otras        264
6.    Resoluciones de la AEPD        266
B.    Autoridades autonómicas de protección de datos        266
VI.    Autorregulación        268
A.    Códigos de Conducta        268
1.    Elaboración, modificación, aprobación y publicación de un código de conducta        268
2.    Supervisión de los códigos de conducta aprobados        270
B.    Certificaciones        271
1.    Expedición de certificaciones        271
2.    Organismo de certificación        272
Capítulo 13
Tratamientos específicos
I.    Marketing directo        275
A.    Concepto de marketing directo        275
B.    Requisitos de marketing directo según el RGPD y la Directiva 2002/58        276
C.    Marketing a través de correo ordinario o postal        277
D.    Marketing a través de teléfono        278
E.    Marketing por email, SMS y otros sistemas electrónicos de comunicación        279
F.    Marketing por fax        281
G.    Marketing basado en la localización del interesado        281
H.    Publicidad comportamental        283
I.    «Fingerprinting» o huella digital        284
II.    Internet, comunicaciones y la «Nube»        285
A.    La «Nube» («Cloud Computing»)        285
B.    Motores de búsqueda        287
C.    Redes sociales        288
D.    Apps        289
E.    Internet of Thing («IoT»)        291
III.    Empleados y relaciones laborales        292
A.    Base legal para tratar datos personales de empleados        292
1.    Consentimiento        292
2.    Tratamiento necesario para cumplir una obligación contractual        292
3.    Tratamiento necesario para cumplir con una obligación legal        292
4.    Tratamiento basado en intereses legítimos        293
B.    Tratamiento de datos sensibles        293
C.    Notificación        293
D.    Almacenamiento de registros de datos personales        294
E.    Vigilancia y Monitorización del lugar de trabajo        294
1.    Listas negras        295
2.    Monitorización de empleados        295
3.    Información que el empresario debe suministrar el empleado        296
4.    Derecho de explicación de los empleados        297
F.    Sindicatos de trabajadores        297
G.    Canales y sistemas de denuncia        297
H.    Política de usos de dispositivos personales        301
IV.    Vigilancia y actividades de control        302
A.    Vigilancia de las comunicaciones        303
B.    Videovigilancia        303
1.    Legalidad del tratamiento        303
2.    EIPD        304
3.    Derechos de los individuos        305
C.    Datos biométricos        306
D.    Datos de localización        307
Capítulo 14
Recursos, responsabilidad y sanciones
I.    Introducción        309
II.    Recursos y acciones legales        310
A.    Derecho a presentar una reclamación ante la autoridad de control        310
B.    Procedimiento en caso de posible vulneración de la normativa de protección de datos        311
C.    Derecho a la tutela judicial efectiva contra la autoridad de control        315
D.    Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento        316
E.    Organizaciones y asociaciones en defensa de los interesados        317
F.    Suspensión de procedimientos        317
III.    Responsabilidad e indemnización        318
IV.    Sanciones        318
A.    Sanciones máximas para todos        321
B.    Sanciones máximas para las empresas dentro de un grupo de empresas        322
C.    Implementación del régimen sancionador a nivel nacional        324
1.    Responsables        325
2.    Infracciones        325
3.    Sanciones        329
4.    Prescripción        330
Capítulo 15
Derechos digitales
I.    Introducción        333
II.    Medios de comunicación y protección de datos: derecho de rectificación        333
III.    Los llamados «Derechos Digitales»        336
A.    Derecho a la neutralidad en la Red        336
B.    Derecho de acceso universal a Internet        336
C.    Derecho a la seguridad digital        337
D.    Derecho a la educación digital        337
E.    Protección de los menores en Internet        337
F.    Derecho a la desconexión digital en el ámbito laboral        338
Capítulo 16
Datos e inteligencia artificial
I.    Privacidad, datos e inteligencia artificial: fundamentos básicos        339
II.    El Reglamento de Inteligencia Artificial        344
III.    El Convenio Marco del Consejo de Europa sobre Inteligencia Artificial        345
Capítulo 17
COVID-19 & ehEalth: protección de datos en tiempo de pandemia
I.    La crisis de la COVID-19        347
A.    ¿Qué es la covid-19?        347
B.    La crisis de la covid-19        349
C.    ¿Cómo se diagnostica la covid-19?        350
D.    Repercusión de la pandemia en la protección de datos        351
II.    COVID-19, «eHealth» y protección de datos        352
A.    Datos de salud y protección de datos        352
B.    Protección de datos y vida laboral        355
C.    Aplicaciones de control de contagios        357
1.    La geolocalización a través de los móviles        357
2.    WhatsApp y Chatbots        359
3.    Apple y Google. «El Contact Tracing Framework»        360
4.    La historia clínica        366
III.    La enseñanza online        367
IV.    Suspensión de derechos de protección de datos        369
Capítulo 18
Datos y ciberseguridad
I.    Introducción        371
II.    Ciberdelitos: concepto, tipos y regulación        372
III.    Brechas de seguridad: definición y tipos        381
IV.    Tipología de brechas de seguridad más comunes        385
A.    Violación de la confidencialidad        385
B.    Violación de la integridad        385
C.    Violación de la disponibilidad        385
V.    El Reglamento europeo de la identidad digital        385
VI.    Convenio de las Naciones Unidas contra el cibercrimen        386
VII.    Propuesta de reglamento europeo de ciberresiliencia («Ley de Ciberresiliencia»)        388

Bibliografía        391

ANEXO I. Criterios para una EIPD aceptable        405

ANEXO II. Modelo de Registro de Actividades del Tratamiento        407