Índice
Abreviaturas 21
Prólogo 23
Capítulo 1
INTRODUCCIÓN A LA PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES
I. Origen y situación actual 25
II. Concepto, Misión y Objetivos de la regulación de la privacidad y los datos personales 28
A. ¿Qué es la privacidad y protección de datos personales? 29
B. Misión y Objetivos de la regulación de los datos personales 29
C. Normas que regulan la privacidad y protección de datos personales: Marco Normativo 29
1. Internacional 29
a. La Declaración Universal de los Derechos Humanos (dudh) 29
b. El Convenio número 108 del Consejo de Europa para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal y su Protocolo Adicional (el «Convenio 108») de 28 de enero de 1981 30
2. Europa 30
a. Convenio Europeo de Derechos Humanos (CEDH) 30
b. Carta de los Derechos Fundamentales de la Unión Europea (CDFUE) 31
c. Tratado de Funcionamiento de la Unión Europea (TFUE) 31
d. El Reglamento General de Protección de Datos (RGPD) 32
e. La Directiva de tratamiento de datos para el cumplimiento de penas y sanciones penales 35
f. Directiva sobre la privacidad y las comunicaciones electrónicas («ePrivacy Directive») 35
g. El «Reglamento de Gobernanza de Datos» 39
3. España 41
III. Ámbito de aplicación de la normativa de protección de datos 44
A. El RGPD 44
B. La LOPDGDD 45
IV. Grandes hitos en la protección de la privacidad y protección datos personales 46
Capítulo 2
Conceptos fundamentales de la privacidad y protección de datos personales
I. Datos de carácter personal 49
A. Toda información 50
B. Sobre 50
C. Identificada o identificable 51
D. Persona física 54
II. El interesado 55
III. Responsable, corresponsable y encargado del tratamiento. Destinatarios 56
A. Responsable del tratamiento 57
1. «La persona física o jurídica, autoridad pública, servicio u otro organismo» 57
2. «Determine» 58
a. Control de derecho 58
b. Control de hecho 59
3. «Sólo o junto con otros» 60
4. «Los fines y medios» 60
5. «Del tratamiento» 61
B. Corresponsable del tratamiento 62
C. Encargado del tratamiento 64
D. Tercero y destinatario 64
1. Tercero 64
2. Destinatario 65
IV. Tratamiento de datos 66
V. Fuentes de acceso a datos 67
VI. Delegado de Protección de Datos 68
Capítulo 3
Datos personales sensibles
I. Concepto 69
II. Categorías 69
A. Categorías especiales de datos personales (art. 9 RGPD) 69
1. Que el interesado haya dado su consentimiento explícito para tratarlos 70
2. Que el tratamiento sea necesario para cumplir obligaciones y el ejercicio de derechos del responsable o del interesado en el ámbito del derecho laboral y de la seguridad y protección social, si lo autoriza el Derecho de la UE o un convenio colectivo con arreglo al derecho de los Estados miembros que establezca garantías adecuadas para el respeto de los derechos fundamentales y los intereses del interesado 71
3. Que el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física, cuando el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento 71
4. El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con garantías por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro con una finalidad política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de las mismas o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos no se comuniquen fuera de ellos sin el consentimiento de los interesados 72
5. Que el tratamiento se refiera a datos personales que el interesado ha hecho manifiestamente públicos 72
6. Que el tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando actúen en ejercicio de su función judicial 72
7. Que el tratamiento sea necesario por razones de interés público, sobre la base del Derecho de la UE o el Derecho nacional y sea proporcional el objetivo perseguido, respetando en lo esencial el derecho a la protección de datos y estableciendo medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado 73
8. Que el tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad del trabajador, diagnóstico médico, prestación de asistencia o tratamiento del tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la UE o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional o bajo su responsabilidad (o por cualquier otro profesional sujeto a la obligación de secreto profesional) 73
9. Que el tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la UE o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional 74
10. Que el tratamiento sea necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89.1, sobre la base del Derecho de la UE o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado 75
B. Tratamiento de datos personales relativos a condenas e infracciones penales 76
C. Datos biométricos 79
D. Los neurodatos 81
Capítulo 4
Principios
I. Licitud, lealtad y transparencia (art. 5.1.a) RGPD) 85
A. «Lícita» 85
B. «Leal» 86
C. «Transparente» 86
II. Limitación de la finalidad (art. 5.1.b) RGPD) 88
III. Minimización de datos (art. 5.1.c) RGPD) 89
A. Necesidad 89
B. Proporcionalidad 90
IV. Exactitud (art. 5.1.d) RGPD) 90
V. Limitación del plazo de conservación (art. 5.1.e) RGPD) 91
VI. Integridad y confidencialidad (art. 5.1.f) RGPD) 92
Capítulo 5
Licitud del tratamiento de datos
I. La Licitud del tratamiento 95
A. El interesado otorga su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos 95
B. El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición del interesado de medidas precontractuales 96
C. El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento 97
D. El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física 98
E. El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento 98
F. El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requerirán la protección de datos personales, en particular cuando el interesado sea un niño 99
II. El Consentimiento 101
A. El consentimiento en general 101
1. «Manifestación de voluntad libre» 102
2. «Específico» 103
3. «Informado» 103
4. «Inequívoco» 104
B. El consentimiento en el ámbito sanitario 106
C. El consentimiento en menores de edad 106
Capítulo 6
Derechos de los interesados
I. Los derechos del interesado 109
A. Derecho de acceso (art. 15 RGPD) 110
B. Derecho de rectificación (art. 16 RGPD) 111
C. Derecho de supresión (el «derecho al olvido») (art. 17 RGPD) 113
D. Derecho a la limitación del tratamiento (art. 18 RGPD) 119
E. Derecho a la portabilidad (art. 20 RGPD) 120
F. Derecho de oposición (art. 21 RGPD) 121
G. Decisiones automatizadas, incluida la elaboración de perfiles (art. 22 RGPD) 122
H. Derechos respecto de los datos de las personas fallecidas 123
I. Comunicación de una violación de la seguridad de los datos personales del interesado (art. 34 RGPD) 124
II. La obligación de información como un derecho de los interesados 125
A. Derecho a la información cuando los datos han sido obtenidos directamente del interesado 126
B. Derecho a la información cuando los datos no han sido obtenidos directamente del interesado 127
C. Brechas de seguridad 128
D. Cómo proporcionar la información al interesado 129
E. Posibilidad de imponer obligaciones añadidas de información 129
F. Obligaciones de información en materia de cookies y asimilados 130
III. Limitación de los derechos 131
IV. Regulación de tratamientos concretos en la normativa española 133
A. Datos de contacto, empresarios individuales y profesionales liberales 133
B. Sistemas de información crediticias: listas de morosos 134
C. Tratamientos en operaciones societarias 136
D. Videovigilancia 136
E. Sistemas de exclusión publicitaria: «listas Robinson» 137
F. Tratamientos en el ámbito de la función estadística y con fines de archivo en interés público 139
G. Tratamientos relativos a infracciones y sanciones administrativas 139
H. Tratamientos relativos a procedimientos judiciales 140
Capítulo 7
Accountability o responsabilidad proactiva
I. ¿Qué es la «Accountability»? 143
A. Responsabilidad del responsable del tratamiento 144
B. Protección de datos desde el diseño y por defecto 145
1. Protección de datos desde el diseño 145
2. Protección de datos por defecto 150
C. Documentación y cooperación con los reguladores 153
D. Normas corporativas vinculantes 153
Capítulo 8
Seguridad de los datos. Evaluaciones de impacto de protección de datos
I. Introducción 155
II. El principio de seguridad y la seguridad basada en el enfoque de riesgo 155
A. Confidencialidad, supervisión y trabajadores 156
B. Registro de las actividades del tratamiento (el «RAT») 157
C. Cooperación con la autoridad de control 158
III. Evaluación de Impacto de Protección de Datos 159
A. ¿Cuándo se debe realizar una EIPD? 159
B. ¿Cómo realizar una EIPD? 164
C. Consulta previa preceptiva 166
IV. Las brechas o violaciones de seguridad 167
Capítulo 9
El encargado del tratamiento y el delegado de protección de datos
I. El Encargado del Tratamiento 169
A. Concepto y funciones 169
B. Subencargo del tratamiento 172
C. Relaciones entre el Encargado y Responsable 173
D. Registro de actividades de tratamiento en relación con los encargados del tratamiento 178
II. El Delegado de Protección de Datos 179
A. Concepto y funciones 179
B. ¿Cuándo nombrar un DPO? 180
C. Perfil y posición del DPO 183
D. Funciones del DPO 185
E. Intervención del DPO en casos de denuncias ante la AEPD 185
Capítulo 10
Transferencias internacionales de datos personales
I. Introducción 187
II. Principio general de las transferencias 187
III. Transferencias basadas en una decisión de adecuación 188
A. Procedimiento para determinar qué países son «adecuados» 188
B. Relación con EE.UU. El «Privacy Shield» 190
IV. Transferencias mediante garantías adecuadas 192
V. Normas corporativas vinculantes 193
VI. Excepciones 195
VII. Supuestos sometidos a autorización o información previa a la autoridad de control 197
Capítulo 11
Cookies y privacidad
I. Introducción 199
II. Concepto, tipos y funciones 201
A. ¿Qué es realmente una cookie? 201
B. Tipos de cookies 201
1. Por su naturaleza 201
2. Por el responsable de la misma 202
3. Por la finalidad o función que desempeñan o su finalidad 202
a. Cookies técnicas 202
b. Cookies de preferencias o de personalización 204
c. Cookies analíticas o de medición 204
d. Cookies de publicidad o marketing 206
e. Otras 206
4. Por la duración 207
5. Por el tiempo de tecnología que emplean 208
III. Consentimiento y cookies 210
A. Confidencialidad y necesidad de consentimiento previo 210
B. Modalidades de obtención del consentimiento 216
C. Cookies y consentimiento de menores de 14 años 217
D. Consentimiento a través de la configuración del navegador o la App 220
E. Casos particulares en relación con el consentimiento 222
IV. Transparencia y cookies: Sistemas de información 223
V. Responsabilidad e incumplimientos en materia de cookies 227
VI. Propuesta de Reglamento «ePrivacy» 229
Capítulo 12
Autoridades en materia de protección de datos
I. Autoridades de control independientes 231
A. El principio de independencia 231
B. Competencia 232
C. Funciones 234
1. En un primer grupo se situarían las actividades puramente coercitivas o de «enforcement» 235
2. En segundo lugar, estarían las actividades de prestación y promoción del derecho a la protección de datos personales 235
3. En tercer lugar, las actividades de cooperación con otras autoridades de control, Administraciones Públicas y otros poderes del Estado 236
D. Poderes 237
1. Poderes de investigación 237
2. Poderes coercitivos 237
3. Poderes de autorización y consultivos 238
II. Los Mecanismos de Cooperación y de Coherencia 239
A. El Mecanismo de Cooperación 240
1. La asistencia mutua 242
2. Operaciones conjuntas de las autoridades de control 243
B. El Mecanismo de Coherencia 245
1. Dictámenes del CEPD 245
2. Resolución de conflictos por el cepd: decisiones vinculantes 247
C. El Procedimiento de Urgencia 248
III. Comité Europeo de Protección de Datos 249
A. Principio de Independencia 249
B. Funciones 249
C. Miembros 252
D. El Presidente 253
E. La Secretaría 253
IV. El Supervisor Europeo de Protección de Datos 254
V. Autoridades españolas de protección de datos 255
A. La Agencia Española de Protección de Datos («AEPD») 255
1. Naturaleza y régimen jurídicos 255
2. Financiación de la AEPD 256
3. Personal de la AEPD 257
4. Funciones y potestades: la actividad investigadora 258
5. Órganos de gobierno de la AEPD 260
a. Presidencia de la AEPD 260
b. Adjunto a la Presidencia de la AEPD 262
c. El Consejo Consultivo 263
d. Otras 264
6. Resoluciones de la AEPD 266
B. Autoridades autonómicas de protección de datos 266
VI. Autorregulación 268
A. Códigos de Conducta 268
1. Elaboración, modificación, aprobación y publicación de un código de conducta 268
2. Supervisión de los códigos de conducta aprobados 270
B. Certificaciones 271
1. Expedición de certificaciones 271
2. Organismo de certificación 272
Capítulo 13
Tratamientos específicos
I. Marketing directo 275
A. Concepto de marketing directo 275
B. Requisitos de marketing directo según el RGPD y la Directiva 2002/58 276
C. Marketing a través de correo ordinario o postal 277
D. Marketing a través de teléfono 278
E. Marketing por email, SMS y otros sistemas electrónicos de comunicación 279
F. Marketing por fax 281
G. Marketing basado en la localización del interesado 281
H. Publicidad comportamental 283
I. «Fingerprinting» o huella digital 284
II. Internet, comunicaciones y la «Nube» 285
A. La «Nube» («Cloud Computing») 285
B. Motores de búsqueda 287
C. Redes sociales 288
D. Apps 289
E. Internet of Thing («IoT») 291
III. Empleados y relaciones laborales 292
A. Base legal para tratar datos personales de empleados 292
1. Consentimiento 292
2. Tratamiento necesario para cumplir una obligación contractual 292
3. Tratamiento necesario para cumplir con una obligación legal 292
4. Tratamiento basado en intereses legítimos 293
B. Tratamiento de datos sensibles 293
C. Notificación 293
D. Almacenamiento de registros de datos personales 294
E. Vigilancia y Monitorización del lugar de trabajo 294
1. Listas negras 295
2. Monitorización de empleados 295
3. Información que el empresario debe suministrar el empleado 296
4. Derecho de explicación de los empleados 297
F. Sindicatos de trabajadores 297
G. Canales y sistemas de denuncia 297
H. Política de usos de dispositivos personales 301
IV. Vigilancia y actividades de control 302
A. Vigilancia de las comunicaciones 303
B. Videovigilancia 303
1. Legalidad del tratamiento 303
2. EIPD 304
3. Derechos de los individuos 305
C. Datos biométricos 306
D. Datos de localización 307
Capítulo 14
Recursos, responsabilidad y sanciones
I. Introducción 309
II. Recursos y acciones legales 310
A. Derecho a presentar una reclamación ante la autoridad de control 310
B. Procedimiento en caso de posible vulneración de la normativa de protección de datos 311
C. Derecho a la tutela judicial efectiva contra la autoridad de control 315
D. Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento 316
E. Organizaciones y asociaciones en defensa de los interesados 317
F. Suspensión de procedimientos 317
III. Responsabilidad e indemnización 318
IV. Sanciones 318
A. Sanciones máximas para todos 321
B. Sanciones máximas para las empresas dentro de un grupo de empresas 322
C. Implementación del régimen sancionador a nivel nacional 324
1. Responsables 325
2. Infracciones 325
3. Sanciones 329
4. Prescripción 330
Capítulo 15
Derechos digitales
I. Introducción 333
II. Medios de comunicación y protección de datos: derecho de rectificación 333
III. Los llamados «Derechos Digitales» 336
A. Derecho a la neutralidad en la Red 336
B. Derecho de acceso universal a Internet 336
C. Derecho a la seguridad digital 337
D. Derecho a la educación digital 337
E. Protección de los menores en Internet 337
F. Derecho a la desconexión digital en el ámbito laboral 338
Capítulo 16
Datos e inteligencia artificial
I. Privacidad, datos e inteligencia artificial: fundamentos básicos 339
II. El Reglamento de Inteligencia Artificial 344
III. El Convenio Marco del Consejo de Europa sobre Inteligencia Artificial 345
Capítulo 17
COVID-19 & ehEalth: protección de datos en tiempo de pandemia
I. La crisis de la COVID-19 347
A. ¿Qué es la covid-19? 347
B. La crisis de la covid-19 349
C. ¿Cómo se diagnostica la covid-19? 350
D. Repercusión de la pandemia en la protección de datos 351
II. COVID-19, «eHealth» y protección de datos 352
A. Datos de salud y protección de datos 352
B. Protección de datos y vida laboral 355
C. Aplicaciones de control de contagios 357
1. La geolocalización a través de los móviles 357
2. WhatsApp y Chatbots 359
3. Apple y Google. «El Contact Tracing Framework» 360
4. La historia clínica 366
III. La enseñanza online 367
IV. Suspensión de derechos de protección de datos 369
Capítulo 18
Datos y ciberseguridad
I. Introducción 371
II. Ciberdelitos: concepto, tipos y regulación 372
III. Brechas de seguridad: definición y tipos 381
IV. Tipología de brechas de seguridad más comunes 385
A. Violación de la confidencialidad 385
B. Violación de la integridad 385
C. Violación de la disponibilidad 385
V. El Reglamento europeo de la identidad digital 385
VI. Convenio de las Naciones Unidas contra el cibercrimen 386
VII. Propuesta de reglamento europeo de ciberresiliencia («Ley de Ciberresiliencia») 388
Bibliografía 391
ANEXO I. Criterios para una EIPD aceptable 405
ANEXO II. Modelo de Registro de Actividades del Tratamiento 407
