El Reglamento General de Protección de Datos de la Unión Europea incorpora importantes novedades, entre las que destaca la figura del Delegado de Protección de Datos (DPO). Posteriormente, ha sido la nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) la que ha matizado y desarrollado algunas de sus atribuciones.
Al DPO le corresponde la supervisión del cumplimiento normativo en protección de datos, la tarea de informar y asesorar de forma periódica a la gerencia o dirección y, finalmente, la mediación en caso de conflicto entre los diferentes actores implicados.
La presente obra pretende facilitar al operador jurídico el desarrollo de sus tareas y funciones, en un sector, el de la protección de datos, muy técnico y especializado. La complejidad del lenguaje, los tecnicismos propios de profesionales IT y la necesaria polivalencia del DPO son simplificados en esta monografía con el objetivo de aportar al lector los conocimientos, ideas y conceptos clave que le deben permitir desarrollar todas las tareas propias del Delegado.
Para ello, se plantean y resuelven casos prácticos que detallan la actuación del DPO en la gestión de procesos críticos: desde el asesoramiento en la realización de evaluaciones de impacto o en el desarrollo de software y APP’s móviles, pasando por la supervisión de los registros de actividades de tratamiento, la definición de las bases de legitimación de los mismos y la gestión de las transferencias internacionales de datos, hasta su papel en la gestión de reclamaciones y brechas de seguridad.
La presente monografía aúna teoría y práctica, como si se tratase de una guía básica, que ofrece recursos para el desarrollo de las funciones del DPO, una profesión al alza, de presente y futuro en Europa.
Abreviaturas
Introducción
TEMA 1. El marco normativo de la protección de datos
Introducción
1. Normativa de protección de datos internacional
2. Normativa de protección de datos europea
a. El reglamento europeo de protección de datos
b. Normativa europea que afecta a la protección de datos
3. Normativa de protección de datos en España
a. LOPD
b. Seguimiento al proyecto de nueva LOPD
c. Normativa nacional con implicación en protección de datos
TEMA 2. Bases de legitimación para el tratamiento de datos
1. Del principio del consentimiento al consentimiento como una de las bases para la licitud: cambios y novedades
a. Otorgamiento y revocación
b. Consentimiento y protección de los menores de edad
c. Categorías especiales de datos y datos relativos a infracciones y condenas penales
d. Tratamiento que no requiere identificación
2. Las bases jurídicas distintas al consentimiento
a. Relación contractual
b. Intereses vitales del interesado o de otras personas
c. Obligación legal para el responsable
d. Interés público o ejercicio de poderes públicos
e. Interés legítimo prevalente
TEMA 3. Derechos de los individuos
Introducción
1. Transparencia e información
2. Acceso, rectificación, supresión (olvido)
a. Derecho de acceso
b. Derecho de rectificación
c. Derecho de supresión («Derecho al olvido»)
3. Oposición
4. Decisiones individualizadas automatizadas
5. Portabilidad
6. Limitación del tratamiento
7. Excepciones a los derechos
TEMA 4. Medidas de cumplimiento normativo
Introducción
1. El registro de actividades de tratamiento: identificación y clasificación del tratamiento de datos
2. Privacidad desde el diseño y por defecto
3. Evaluación del impacto relativo a la protección de datos y consulta previa. Los tratamientos de alto riesgo
4. Seguridad de los datos personales, seguridad técnica y organizativa
5. Las violaciones de la seguridad. Notificaciones
6. Códigos de conducta y certificaciones
a. Códigos de conducta
b. Certificaciones
TEMA 5. Data protection officer. Régimen jurídico, designación, posición en la empresa, funciones y responsabilidades
Introducción
1. Designación y nombramiento del DPO
a. Exigencia y obligatoriedad
b. Medida de cumplimiento voluntaria
2. Posición que ostenta el DPO en la empresa: ¿Delegado interno o externo?
3. Obligaciones, funciones y responsabilidades
4. Comunicación con la autoridad de protección de datos
5. El papel multidisciplinar y especializado del DPO
TEMA 6. Autoridades de control nacionales e internacionales. Guías, resoluciones, informes y directrices
Introducción
1. Principales funciones y potestades de las Autoridades de Control
2. Régimen Sancionador
3. Comité Europeo de Protección de Datos: Directrices, Recomendaciones y Buenas Prácticas
TEMA 7. Gestión de riesgos y cultura compliance. Evaluación de riesgos
Introducción
1. Principio de accountability o responsabilidad proactiva
2. Conceptos generales de la Evaluación de Riesgos y Gestión de Riesgos
a. Evaluación de riesgos
b. La gestión de riesgos
3. Evaluación de riesgos
4. Gestión de riesgos
5. Métodos de análisis y gestión de riesgos
TEMA 8. La evaluación de impacto en protección de datos o privacy
impact assessment
Introducción
1. Descripción del ciclo de vida de los datos
2. Gestión de riesgos: identificación de amenazas y riesgos, evaluación y tratamiento de los datos
3. Plan de acción e informe de conclusiones
4. Comunicación y consulta a la autoridad de control
TEMA 9. El plan de acción y medidas de seguridad de la información en el sector público
Introducción
1. Esquema Nacional de Seguridad, Directiva (UE) 2016/1148 y ISO/IEC 27001:2013
2. Ciberseguridad
3. Gobierno de la Seguridad de la Información (SI)
TEMA 10. Técnicas para garantizar el cumplimiento normativo
Introducción
1. La auditoría de protección de datos
2. La auditoría de sistemas de información
3. Gestión de la seguridad de los tratamientos
4. Recuperación de incidentes
TEMA 11. Transferencias internacionales de datos
Introducción
1. Decisiones de Adecuación de la Comisión Europea
2. Transferencias mediante garantías adecuadas
2.1. BCRS: Binding Corporate Rules
2.2. Cláusulas contractuales
2.3. Códigos de conducta, mecanismos de certificación
3. Excepciones a las transferencias internacionales de datos
4. Autorizaciones de la autoridad de control
5. Suspensión temporal
CASOPRÁCTICO. El DPO en la gestión de las transferencias internacionales.
CUESTIONES
CUESTIONES RESUELTAS
1. ¿Cómo ejercería un DPO sus funciones en este supuesto?
2. ¿Cuáles serían los aspectos principales a tener en cuenta sobre protección de datos?
3. ¿Se deberían tomar las mismas decisiones sobre protección de datos en caso que el registro centralizado fuera de clientes en lugar de trabajadores?
CASOPRÁCTICO. El DPO en la gestión de una brecha de seguridad
CUESTIONES
CUESTIONES RESUELTAS
1. ¿Cuáles son las obligaciones del responsable del tratamiento según el RGPD?
2. ¿Cuál es el procedimiento para realizar las notificaciones en caso de violaciones de seguridad?
3. ¿Y las excepciones a la obligación de notificación?
4. ¿Qué medidas de seguridad deberían haberse adoptado para mitigar el riesgo? En tal caso, ¿sería necesario comunicar la brecha a los afectados?
5. ¿Cómo ejercería un DPO sus funciones en este supuesto? Destaca su papel previo y posterior a la violación de seguridad
CASOPRÁCTICO. Asesoramiento del DPO en el desarrollo de una APP móvil (obligatoriedad del DPO, transferencia internacional de datos y privacidad por defecto y en el diseño)
CUESTIONES
CUESTIONES RESUELTAS
1. ¿Han tomado una buena decisión contratando un DPO? ¿Era legalmente necesario?
2. ¿Qué consideraciones crees que hay que tener en cuenta en el desarrollo de la APP desde la aplicación del RGPD?
3. ¿Hay transferencias internacionales de datos? ¿Cuáles? ¿Qué consejos les darías para regularlas?
CASOPRÁCTICO. El DPO En la supervisión de las bases de legitimación del tratamiento
CUESTIONES
CUESTIONES RESUELTAS
1. El departamento de recuperaciones contacta con un cliente para realizarle una oferta para que permanezca en la compañía. ¿Dicha iniciativa puede entenderse legitimada en el consentimiento dado por el interesado a Regal Insurance Club?
2. El departamento de Recuperaciones envía emails promocionales al interesado para ofrecerle nuevos productos financieros. ¿Dicha iniciativa puede entenderse legitimada en virtud del consentimiento inicial?
3. ¿La puesta a disposición de los datos del asegurado al departamento de Recuperaciones por parte del departamento de Gestión de Pólizas está legitimada?
4. Sobre los emails que envía la plataforma spam4evah. ¿El interesado ha consentido la puesta a disposición de sus datos a spam4evah? ¿Debería hacerlo?
5. En virtud de la información que se ofrece a los asegurados, ¿cuáles de los tratamientos originarios estarían legitimados de conformidad con el RGPD?
6. ¿La actividad de tratamiento que consiste en contactar con el interesado con fines de recuperación estaría legitimada de conformidad con el RGPD?
7. El ofrecimiento de nuevos productos financieros, ¿estaría legitimado de conformidad con el RGPD? ¿Estos productos podrían considerarse como análogos a los inicialmente contratados?
8. De conformidad con el RGPD, ¿las siguientes cláusulas son correctas?
CASOPRÁCTICO. Asesoramiento del DPO en el desarrollo de una APP móvil (base de legitimación, consentimiento, transferencias internacionales, medidas de seguridad, datos sensibles, cesiones a terceros encargados y subencargados)
CUESTIONES
CUESTIONES RESUELTAS
1. Como DPO de Wefit. ¿Qué factores tendrías en cuenta basándote en las finalidades de la aplicación y el tipo de datos tratados? ¿Qué medidas de seguridad crees que deberán aplicar a sus sistemas?
2. ¿Crees oportuno que, con carácter previo al tratamiento de los datos personales, realicen una Evaluación de Impacto (EIPD), en los términos establecidos en el RGPD? ¿Por qué?
3. ¿Qué tipo de información se debería facilitar, con carácter previo al tratamiento, a los usuarios de la app? ¿Dónde debería facilitarse tal información?
4. ¿De qué forma y cómo debería recabarse el consentimiento de los usuarios teniendo en cuenta las diferentes finalidades y las cesiones de datos a terceras empresas?
5. ¿Cómo deberían afrontar la contratación de la empresa de hosting en términos contractuales? ¿La localización de los servidores donde se albergarán los datos tiene alguna implicación legal en base al RGPD?
Glosario
