Delegado de protección de datos (DPO) Dominio 1
La presente Obra, trata de proporcionar un instrumento de trabajo práctico y eficaz para aquellos que quieran superar con éxito el Curso de Delegado de Protección de Datos (DPD/DPO).
La rigurosidad con que están concebidas dichas pruebas, exige una alta preparación por parte del alumno. Éste debe conocer en profundidad el contenido del programa homologado por la AEPD para el acceso a esta nueva titulación, donde prima el conocimiento exhaustivo de la normativa vigente. Es fundamental el estudio en profundidad del Reglamento 2016/679, General de Protección de Datos y de la Ley Orgánica 3/2018, de 5 de diciembre. También es necesario el estudio de aquellas otras normas de carácter complementario, muy especializadas en este ámbito de actuación.
En esta Obra, se ha procedido a elaborar aquellas cuestiones que componen en su conjunto el temario del llamado «DOMINIO» 1, y en las que en aras de facilitar la tarea de estudio del futuro DPD/DPO, se han acompañado de una documentación básica, que facilita, al mismo tiempo, una mejor y más práctica comprensión de aquellos aspectos que integran este «DOMINIO» 1.
La protección de datos de carácter personal, ¿fue reconocida por la Declaración Internacional de los Derechos Humanos?
JAVIER PUYOL
OTROS LIBROS DE LA COLECCIÓN ESFERA/TIRANT
1. DOMINIO. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
1.1. CONTEXTO NORMATIVO 17
1.1.1. Privacidad y protección de datos en el panorama internacional 17
1.1.2. La protección de datos en Europa 19
1.1.3. La protección de datos en España 31
1.1.4. Estándares y buenas prácticas 36
1.2. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y LA LEY ORGANICA 3/2018, DE 5 DE DICIEMBRE DE PROTECCION DE DATOS PERSONALES Y GARANTIA DE LOS DERECHOS DIGITALES. FUNDAMENTOS 45
1.2.1. Ámbito de aplicación 45
1.2.1.1. El ámbito territorial de la protección de datos 51
1.2.2. Definiciones 54
1.2.3. Sujetos obligados 60
1.2.3.1. Cuestiones Generales 60
1.2.3.2. La aplicación del régimen jurídico de la protección de datos personales a las personas fallecidas 60
1.3. LOS PRINCIPIOS 62
1.3.1. El binomio derecho/deber en la protección de datos 62
1.3.2. Licitud del tratamiento 64
1.3.2.1. La licitud del tratamiento y otros valores jurídicos que lo legitiman 65
1.3.3. Lealtad y transparencia 67
1.3.4. Limitación de la finalidad 68
1.3.5. Minimización de datos 69
1.3.6. Principio de exactitud, conservación de los datos personales, integridad y confidencialidad de los datos personales 69
1.3.7. El deber de confidencialidad de responsables y encargados de tratamiento y de terceros 70
1.4. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y LA LEY ORGÁNICA 3/2018, DE PROTECCIÓN DE DATOS PERSONALES Y GARANTÍA DE LOS DERECHOS DIGITALES. LEGITIMACIÓN 71
1.4.1. El consentimiento: Otorgamiento y revocación 71
1.4.2. El consentimiento informado: finalidad, transparencia, conservación, información y deber de comunicación al interesado 75
1.4.3. Consentimiento de los menores y niños 76
1.4.4. Categorías especiales de datos 78
1.4.5. Datos relativos a infracciones a infracciones y sanciones penales 86
1.4.6. Tratamiento que no requiere identificación 87
1.4.6.1. La información anónima y la seudo anonimización 88
1.4.7. Bases jurídicas distintas del consentimiento 89
1.5. DERECHOS DE LOS INDIVIDUOS 97
1.5.1. Transparencia e información 97
1.5.2. Información 101
1.5.3. Cuestiones generales sobre el ejercicio de los derechos 106
1.5.4. El derecho de acceso 110
1.5.5. Derecho de rectificación 113
1.5.6. Derecho de supresión (“Derecho al olvido”) 114
1.5.7. Derecho de oposición 116
1.5.8. Decisiones individuales automatizadas 118
1.5.9. Derecho a la portabilidad 121
1.5.10. Limitación del tratamiento 125
1.5.11. Excepciones a los derechos 128
1.6. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y LA LEY ORGÁNICA 3/2018, DE PROTECCIÓN DE DATOS PERSONALES Y GARANTÍA DE LOS DERECHOS DIGITALES.LAS MEDIDAS DE CUMPLIMIENTO 129
1.6.1. Las políticas de protección de datos 129
1.6.2. Posición jurídica de los intervinientes. Responsables, corresponsables, encargados, sub encargado del tratamiento y sus representantes. Relaciones entre ellos y formalización 134
1.6.2.1. Disposiciones generales 134
1.6.3. El responsable del tratamiento 136
1.6.3.1. Cuestiones Generales 136
1.6.3.2. La responsabilidad del responsable del tratamiento 142
1.6.4. El Encargado del Tratamiento 147
1.6.5. El tratamiento de datos bajo la autoridad del responsable o del encargado del tratamiento 153
1.6.6. Los corresponsables del tratamiento 153
1.6.7. Los Representantes de responsables o encargados del tratamiento no establecidos en la Unión Europea 154
1.6.8. El registro de las actividades de tratamiento 156
1.6.8.1. La supresión del Registro General de Protección de Datos de la Agencia Española de Protección de Datos 156
1.6.8.2. El registro de actividades de tratamiento 157
1.7. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y LA LEY ORGÁNICA 3/2018, DE PROTECCIÓN DE DATOS PERSONALES Y GARANTÍA DE LOS DERECHOS DIGITALES.LA RESPONSABILIDAD PROACTIVA 160
1.7.1. Privacidad desde el diseño y por defecto. Principios fundamentales 160
1.7.2. Evaluación de impacto relativa a la protección de datos y consulta previa. Los tratamientos de alto riesgo 161
1.7.2.1. La evaluación de impacto relativa a la protección de datos 161
1.7.2.2. La Consulta previa a la Agencia Española de Protección de Datos 169
1.7.3. Seguridad de los datos personales. Seguridad técnica y organizativa 171
1.7.4. Las violaciones de la seguridad. Notificación de violaciones de seguridad 172
1.7.4.1. Las violaciones de seguridad 172
1.7.4.2. La comunicación de una violación de la seguridad de los datos personales al interesado 175
1.7.5. El Delegado de Protección de Datos (DPD). Marco normativo 177
1.7.6. Códigos de conducta y certificaciones 177
1.7.6.1. Cuestiones generales 177
1.7.6.2. La supervisión de códigos de conducta aprobados 184
1.7.6.3. Las certificaciones 185
1.7.6.4. El organismo de certificación 187
1.8. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS. EL DELEGADO DE PROTECCIÓN DE DATOS (DPD, DPO O DATA PRIVACY OFFICER) 190
1.8.1. La designación del delegado de protección de datos. Proceso de toma de decisión. Formalidades en el nombramiento, renovación y cese. Análisis de conflicto de interés 190
1.8.2. Obligaciones y responsabilidades. Independencia. Identificación y reporte a dirección 195
1.8.3. Procedimientos. Colaboración, autorizaciones previas, relación con los interesados y gestión de las reclamaciones 198
1.8.4. Comunicaciones con la autoridad de protección de datos 199
1.8.5./1.8.6./1.8.7. Competencia profesional. Negociación. Comunicación. Presupuestos. Formación. Habilidades personales, trabajo en equipo, liderazgo, gestión de equipos 199
1.9. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y LA LEY ORGÁNICA 3/2018, DE PROTECCIÓN DE DATOS PERSONALES Y GARANTíA DE LOS DERECHOS DIGITALES.LAS TRANSFERENCIAS INTERNACIONALES DE DATOS 204
1.9.1. Cuestiones generales sobre las transferencias internacionales de datos 204
1.9.2. Las transferencias internacionales de datos, basadas en una decisión de adecuación 207
1.9.3. Las transferencias internacionales de datos mediante garantías adecuadas 215
1.9.4. Los supuestos de transferencias internacionales de datos, sometidos a autorización previa de las autoridades de protección de datos 218
1.9.5. Las normas corporativas vinculantes (BCR’s) 220
1.9.6. Las transferencias o comunicaciones internacionales de datos no autorizadas por el Derecho de la Unión Europea 223
1.9.7. Las excepciones existentes para situaciones específicas 223
1.9.8. Cooperación internacional en el ámbito de la protección de datos personales 226
1.9.9. Las transferencias internacionales de datos, y el papel a desempeñar por la Agencia Española de Protección de Datos 227
1.9.10. Otras consideraciones sobre las transferencias internacionales de datos 229
1.10. EL REGLAMENTO EUROPEO DE PROTECCION DE DATOS Y LA LEY ORGANICA 3/2018, DE PROTECCION DE DATOS PERSONALES Y GARANTIA DE LOS DERECHOS DIGITALES. LAS AUTORIDADES DE CONTROL 232
1.10.1. Autoridades de Control 232
1.10.1.1. Conceptos generales 232
1.10.1.2. La independencia de las autoridades de control 234
1.10.1.3. Las condiciones generales aplicables a los miembros de la autoridad de control 236
1.10.1.4. Las normas relativas al establecimiento de la autoridad de control 237
1.10.1.5. La competencia de la autoridad de control 238
1.10.1.6. La competencia de la autoridad de control principal 239
1.10.1.7. Las funciones de la autoridad de control 242
1.10.1.8. El Informe de actividad 244
1.10.1.9. La cooperación y coherencia 244
1.10.1.9.1. La cooperación entre la autoridad de control principal y las demás autoridades de control interesadas 244
1.10.1.10. La asistencia mutua entre autoridades de control 251
1.10.1.11. Las operaciones conjuntas de las autoridades de control 254
1.10.1.12. El mecanismo de coherencia 256
1.10.1.12.1. Concepto y características 256
1.10.1.13. El dictamen del Comité 256
1.10.1.14. La resolución de conflictos por el Comité 258
1.10.1.15. El llamado “procedimiento de urgencia” 260
1.10.1.16. El intercambio de información entre autoridades de control, el Comité y la Comisión 261
1.10.2. Las potestades de la autoridad de control 261
1.10.3. Régimen sancionador 265
1.10.3.1. Régimen sancionador 265
1.10.3.1.1. Los sujetos responsables 265
1.10.3.1.2. Actos y conductas susceptibles de ser sancionadas y su tiempo de prescripción 265
1.10.3.1.3. Otras consideraciones sobre las infracciones 271
1.10.3.1.4. La prescripción de las sanciones 274
1.10.3.2. Las multas administrativas. Condiciones para su imposición 275
1.10.3.3. Las sanciones 278
1.10.4. Comité Europeo de Protección de Datos 281
1.10.4.1. Características 281
1.10.4.2. La independencia del Comité 282
1.10.4.3. Las funciones del Comité 283
1.10.4.4. Los informes del Comité 286
1.10.4.5. El procedimiento de funcionamiento del Comité 286
1.10.4.6. La Presidencia del Comité 286
1.10.4.7. Las funciones del presidente del Comité 287
1.10.4.8. La Secretaría del Comité 287
1.10.4.9. La confidencialidad en el funcionamiento del Comité 288
1.10.5. Las autoridades españolas de protección de datos: la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos 288
1.10.5.1. Disposiciones generales 288
1.10.5.2. Las potestades de investigación y planes de auditoría preventiva 295
1.10.5.3. Otras potestades de la Agencia Española de Protección de Datos 299
10.5.4. Autoridades autonómicas de protección de datos 301
10.5.4.1. Disposiciones generales 301
1.10.5.5. La coordinación en el marco de los procedimientos establecidos en el Reglamento (UE) 2016/679 302
1.10.6. Los procedimientos seguidos por la AEPD 304
1.10.6.1. Cuestiones generales 304
1.10.6.2. La admisión a trámite de las reclamaciones 305
1.10.6.3. La determinación del alcance territorial 306
1.10.6.4. Las actuaciones previas de investigación 306
1.10.7. La tutela jurisdiccional 308
1.10.7.1. El derecho a presentar una reclamación ante una autoridad de control 308
1.10.7.2. El derecho a la tutela judicial efectiva contra una autoridad de control 309
1.10.7.3. El derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento 313
1.10.7.4. La representación de los interesados 314
1.10.7.5. La suspensión de los procedimientos 315
1.10.8. El derecho de indemnización 316
1.11. DIRECTRICES DE INTERPRETACIÓN DEL RGPD 319
1.11.1./1.11.2. Guías del GT art. 29, y Opiniones del Comité Europeo de Protección de Datos 319
1.11.3. Criterios de órganos jurisdiccionales 319
1.12. NORMATIVAS SECTORIALES AFECTADAS POR LA PROTECCIÓN DE DATOS 373
1.12.1. Sanitaria, Farmacéutica, Investigación 373
1.12.1.1. Sanitaria 373
1.12.1.2. Farmacéutica 377
1.12.1.3. Investigación 377
1.12.2. Protección de los menores 377
1.12.3. Solvencia Patrimonial 379
1.12.4. Telecomunicaciones 382
1.12.5. Video vigilancia 382
1.12.6. Seguros 384
1.12.7. Publicidad 385
1.13. NORMATIVA ESPAÑOLA CON IMPLICACIONES EN PROTECCIÓN DE DATOS 387
1.13.1. LSSI, Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico 387
1.13.2. LGT, Ley 9/2014, de 9 de mayo, General de Telecomunicaciones 390
1.13.3. Ley firma-e, Ley 59/2003, de 19 de diciembre, de firma electrónica 399
1.13.4. Las facultades de investigación, régimen sancionador y procedimientos en caso de vulneración de la normativa de protección de datos 403
1.13.4.1. Inspección en materia de protección de datos 403
1.13.4.2. Régimen sancionador en materia de protección de datos 404
1.13.4.3. Los procedimientos en caso de posible vulneración de la normativa de protección de datos 405
1.14. NORMATIVA EUROPEA CON IMPLICACIONES EN PROTECCIÓN DE DATOS 414
1.14.1. Directiva e-Privacy: Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre privacidad y las comunicaciones electrónicas) o Reglamento e-Privacy cuando se apruebe 414
1.14.1.1. Capítulo I. Disposiciones generales 414
1.14.1.2. Capítulo II. La protección de las comunicaciones electrónicas de las personas físicas y jurídicas y de la información almacenada en sus equipos terminales 418
1.14.1.3. Capítulo III. Derechos de las personas físicas y jurídicas en relación con el control de las comunicaciones electrónicas 425
1.14.1.4. Capítulo IV. Autoridades de control independientes y ejecución 430
1.14.1.5. Capítulo V. Recursos, responsabilidad y sanciones 433
1.14.1.6. Capítulo VI. Actos delegados y actos de ejecución 437
1.14.1.7. Capítulo VII. Disposiciones finales 438
1.14.2. Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) número 2006/2004 sobre la cooperación en materia de protección de los consumidores 439
1.14.3. Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo 447
ANEXO I
Documento Número 1º. WP.242. Directrices sobre el derecho a la portabilidad de los datos 463
Documento Número 2º. Anexo WP 242. Preguntas más frecuentes 469
Documento Número 3º. WP. 243. Directrices sobre los delegados de protección de datos (DPD) 495
Documento Número 4º. WP. 244. Directrices para determinar la autoridad de control principal de un responsable o encargado del tratamiento 525
Documento Número 5º. Anexo WP 244. Preguntas más frecuentes 539
Documento Número 6º. WP. 248. Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679 545
Documento Número 7º. WP. 250. Directrices sobre la notificación de las violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679 573
Documento Número 8º. WP. 251. Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679 613
Documento Número 9º. WP. 253. Directrices sobre la aplicación y la fijación de multas administrativas a efectos del Reglamento 2016/679 657
Documento Número 10º. WP. 254. Article 29 Working Party. Adecuacy Referential 677
Documento Número 11º. WP. 256. Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules 689
Documento Número 12º. WP. 257. Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules 711
Documento Número 13º. WP. 259. Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679 adoptadas el 4 de mayo de 2020 y revisadas por última vez y adoptadas el 13 de mayo de 2020 735
Documento Número 14º. WP. 260. Directrices sobre transparencia en virtud del Reglamento (UE) 2016/679 769
ANEXO II
Guía práctica de aplicación del Reglamento Europeo de Protección de Datos 819
ANEXO III
Código Tipo de Farmaindustria de Protección de Datos Personales en el ámbito de la Investigación Clínica y de la Farmacovigilancia 839
ANEXO IV
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 999
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales 1089
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico 1161
Criterios de acreditación para los organismos de supervisión de códigos de conducta 1201
Circular 1/2019, de 7 de marzo, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales relativos a opiniones políticas y envío de propaganda electoral por medios electrónicos o sistemas de mensajería por parte de partidos políticos, federaciones, coaliciones y agrupaciones de electores al amparo del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General 1215
Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información 1225
Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información 1249
Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales 1279
ANEXO V
Gestión del riesgo y evaluación de impacto en tratamientos de datos personales 1335
Guía para la notificación de brechas de datos personales 1497
Guía de protección de datos por defecto 1547
Preguntas frecuentes sobre la sentencia del tribunal de justicia de la unión europea en el asunto c-311/18 – Comisaría de Protección de Datos vs Facebook Irlanda y Maximillian Schrems 1579
Guía de privacidad desde el diseño 1587
Listado de cumplimiento normativo 1647
ANEXO VI
Código de conducta. Tratamiento de datos en la actividad publicitaria 1665
Directrices 1/2019 sobre códigos de conducta y organismos de supervisión con arreglo al Reglamento (UE) 2016/679 1687
Estatuto de la Agencia Española de Protección de Datos 1723