LOPD Reglamento Europeo 2016 - 679

LOPD - REGLAMENTO EUROPEO 2016/679
Tema 1 Introducción al Reglamento, conceptos generales

INTRODUCCIÓN
 El 15 Diciembre 2015, la Comisión, Consejo y Parlamento Europeo concluyen el
texto de compromiso del nuevo Reglamento europeo en Protección de Datos.
 El 27 de Abril del 2016 se aprueba el nuevo Reglamento europeo en Protección
de Datos.
Hasta la aplicación obligatoria tanto la Directiva europea 95/46, como la LOPD y el

RLOPD de la normativa española son plenamente válidas y aplicables.
A partir de este momento, las entidades deben estar adecuadas a partir del 25 Mayo del
2018, momento en el que entra en vigor el régimen sancionador del nuevo Reglamento
europeo en Protección de Datos, para adecuar los procedimientos actuales al nuevo
Reglamento en protección de datos.
El nuevo Reglamento Europeo en Protección de Datos es una de las normas centrales de

la UE.
Es un reglamento transversal a todas las actividades que se desarrollen en el sector

público y privado, y a la totalidad de todas las personas que están en la UE, es decir, va
más allá de la ciudadanía europea, a cuantos están en la unión europea les afecta.
Actualmente nos regimos por la Directiva 95/46.
En la UE los estados miembros ceden soberanía, de manera que son las instituciones
europeas las que regulan determinadas materias y no los estados miembros y esto se
hace a través de 2 instrumentos:
 Las directivas fijan un objetivo a que hay que llegar pero dejan libertad a los
estados para llegar y alcanzar esa finalidad, son normas jurídicas que vinculan a
los estados miembros y necesitan una transposición en cada uno de los estados
miembros. La directiva deja margen a los estados.
 Reglamentos, es una norma directamente aplicable, no necesita de transposición.
Aunque se dice Reglamento, son verdaderas leyes, es decir, regulaciones con el
máximo rango de Ley y directamente aplicable. De hecho los reglamentos se
publican en el diario oficial de la UE, porque de no ser así será como decir que de
no ser publicado en el diario oficial de cada estado, no entra en vigor. No existe
transposición de la normativa como si ocurre con la directiva.
Esto quiere decir que la norma (la Ley), será la misma en todos los estados, y
hablamos de países tan diferentes como España, Grecia, Alemania, Finlandia,
Portugal, Estonia, Dinamarca, países con un base jurídica distinta, pero ahora ya
sé cómo se va a regular el derecho a la Protección de Datos tanto en Finlandia
como en España y una empresa sabrá que la misma norma se le aplicará actúe
donde actúa, hemos hecho una cesión de soberanía.
Esta normativa va a tener un impacto esencial a nivel mundial, porque la directiva

es ya es un modelo de norma que ha sido asumido por muchos países. Cuando
1
hablamos de protección de datos hablamos de flujo económico de datos

personales, con un valor incalculable, que deben circular libremente sin que haya
trabas, millones de datos circulan a nivel mundial, pues bien, la inmensa mayoría
de ese flujo de datos se basa en la Directiva 95/46. Estos flujos de datos serán
mucho más fluido si existe una normativa igual para todo, sin territorios pero con
la misma seguridad, porque no tiene sentido que un país tengas una Ley estricta
en cuanto a medidas de seguridad y en otro país no existan las mismas medidas
de seguridad y si bien en la UE podemos decir que todos los países están
adecuados “bien”.
La normativa tiene 2 objetivos, regular la protección de datos y la libre circulación

de los datos en la UE porque el mercado europeo se basa en el mercado único y
requiere la libre circulación de datos que deberán hacerse con unas garantías
mínimas.
No se trata de poner puertas al mar, sino de dejar que los datos circulen
libremente pero respetando los derechos de las personas y en particular a la
protección de datos personales.
Es un norma aplicable el 25 de mayo del 2018, el artículo 288 del tratado del
funcionamiento de la UE, los reglamentos tienen un alcance general y son
obligatorios en todos sus elementos y directamente aplicables en cada estado
miembro, es decir, todos los países tienen que aplicar el reglamento europeo.
Principio de lealtad: los estados no van a adoptar medidas que sean contrarias a la
efectividad del reglamento, sería absurdo que un estado miembro apruebe una nueva
normativa de protección de datos.
En el ámbito de la protección de datos las fronteras no existen, quien no tiene gmail,

dropbox, google drive, hotmail, yahoo… por ello el reglamento también quiere que se
aplique fuera de la UE, concretamente cuando el tratamiento esté relacionado por la
oferta de bienes y servicios gratuitos o de pago o ese tratamiento implica el control de
su tratamiento como el “like” o las cookies, si esto se lleva fuera de la UE, se aplica el
reglamento.
Si una empresa ofrece bienes y servicios en algún idioma de la UE o que se pueden pagar
con una moneda europea, se entenderá que están ofreciendo productos y servicios a los
europeos, por tanto se aplica el reglamento.
FUNDAMENTOS DE LA PROTECCIÓN DE DATOS

El derecho a la protección de datos personales deriva directamente del derecho
fundamental a la intimidad, recogido en el artículo 18.4 de la Constitución Española y
reconocido por el Tribunal Constitucional.
2
Además, el marco legislativo europeo también reconoce el derecho a la protección de

datos, obligando a todos los Estados miembros de la UE a garantizarlo, concretamente
dice (artículo 8 de la Carta de los Derechos Fundamentales de la UE):
1. Toda persona tiene derecho a la protección de los datos de carácter personal que
la conciernan.
2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del
consentimiento de la persona afectada o en virtud de otro fundamento legítimo
previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos
que la conciernan y a su rectificación.
Por tanto se trata de un derecho que tiene toda persona, sin importar la nacionalidad o
residencia, a la protección de los datos de carácter personal que la conciernan.
¿QUÉ ES UN DATO DE CARÁCTER PERSONAL?

Un dato personal es “toda información (numérica, alfabética, gráfica, fotográfica,
acústica o de cualquier otro tipo) sobre una persona física identificada o identificable”.
Por tanto, un dato personal, permite identificar a una persona, así como revelar
información sobre la misma.
La persona/titular de los datos, es lo que conoceremos partir de ahora como “el

interesado”.
¿Cuándo una persona es identificable?

Duando podamos determinar la identidad directa o indirectamente a través de
elementos que ayuden a identificarla de manera única e inequívoca, por tanto tenemos
que distinguir entre:
 Persona identificada: toda persona cuya identidad está determinada (nombre,
apellidos, DNI, número de pasaporte).
 Persona identificable: toda persona cuya identidad pueda determinarse, ya sea
directamente o indirectamente, mediante cualquier información referida a su
identidad física, fisiológica, psíquica, económica, cultural o social.
Una persona física no se considerará identificable si dicha identificación requiere plazos

o actividades desproporcionados.
Ejemplo: si obtenemos imágenes a través de una cámara de videovigilancia, las

imágenes recogidas, pertenecen a personas, que podemos identificar o no.
Si las imágenes se captan con una resolución y calidad que nos permitan identificar a
una persona, ésta sería una persona identificable, y estaría dentro del ámbito de la ley.
Si las imágenes que se captan no tiene la calidad suficiente para permitir identificar a
una personas, estaremos en el caso contrario, ésta persona no sería identificable.
Por tanto, un dato personal puede ser un identificador, un dato de localización o un

nombre, siempre y cuando sean capaces de identificar a la persona (por ejemplo una
dirección IP, una matrícula).
3
¿Los datos genéticos y biométricos se consideran dato personal?

Si, ambos permiten identificar a una persona.
 Un Dato Genético, es aquel relativo a características genéticas heredadas o
adquiridas de una persona, que proporcionan información única e inequívoca
sobre la fisiología o la salud de la persona.
 Un Dato Biométrico, es aquel obtenido a partir de un tratamiento técnico y
específico, relativo a las características físicas, fisiológicas o conductuales de una
persona, de manera que permitan identificarla de manera única, como imágenes
faciales o datos dactiloscópicos (huella).
¿QUÉ ES LA PROTECCIÓN DE DATOS?

La Protección de Datos es el derecho que tenemos todas las personas a conocer quién
tiene y trata nuestros datos personales, y el derecho que tenemos a que no sean
utilizados sin nuestra autorización y protección debida, de manera que se garantice
nuestro honor y confidencialidad.
Seguramente usted recibirá información comercial a través de medios electrónicos (sms,

email, teléfono) y postales (buzón de correos) de entidades con las que hemos mantenido
en alguna ocasión una relación negocial o contractual, incluso de entidades con las que
jamás hemos mantenido relación alguna.
Es habitual que prácticamente para cualquier actividad sea necesario que los datos
personales se recojan y utilicen en la vida cotidiana.
Actualmente para cualquier actividad, nos solicitan información personal:

 Cuando damos nuestros datos para la factura de una compra,
 Cuando compramos un teléfono móvil,
 Cuando nos alojamos en un hotel,
 Cuando reservamos un viaje,
 Cuando inscribimos a nuestros hijos en el colegio,
 Cuando solicitamos atención sanitaria,
 Cuando abrimos una cuenta en el banco,
 Cuando nos damos de alta en servicios de Internet,
 Cuando rellenamos la papeleta para un concurso,
 Cuando nos dan de alta en el gimnasio
 ...
Debemos ser conscientes de que toda esta información revela aspectos de nuestra
personalidad, se trata de información importante que dice mucho sobre nosotros, sobre
nuestra personalidad.
 Nosotros somos los que decidimos a quién y para qué damos nuestros datos
personales.
 Nosotros somos los que decidimos y no el que solicita nuestros datos, no estando
obligados a facilitarlos si no queremos.
4
 Nosotros somos los que decidimos si queremos recibir información comercial,

quien recoge los datos debe proporcionarnos, siempre, un medio accesible y fácil
para negarnos.
Ejemplo: si compramos un coche, seguramente el concesionario nos informará que

nuestros datos personales serán utilizados por ellos y por la marca para el
cumplimiento, entre otras cosas, de la garantía del vehículo, pero también nos
informarán que nuestros datos serán utilizados para enviarnos información comercial
sobre sus productos/servicios y cedidos a la marca con los mismos fines.
En virtud de la Protección de Datos podemos negarnos a que nuestros datos sean

utilizados para el envío de publicidad porque esa no es una finalidad necesaria para el
cumplimiento de la relación entre el concesionario, la marca y nosotros “cliente”. Por
lo tanto podemos oponernos a que el concesionario y la marca nos envíe publicidad,
pero no podemos negarnos a que los datos se comuniquen a la marca porque es
necesario para el cumplimiento de nuestra solicitud; la compra de un vehículo y
cumplimiento de la garantía.
¿Cuándo sé que estoy tratando/manejando datos?

La normativa en Protección de Datos dice que el tratamiento de datos de carácter
personal es cualquier operación y procedimiento automatizado o no automatizado
(papel), que en algún momento cumpla/permita su recogida, tratamiento,
almacenamiento, tratamiento, modificación, bloqueo y cancelación, así como las
cesiones y comunicaciones de datos que resulten a otras entidades, necesarias para el
cumplimiento de nuestros servicios y/o actividad.
La recogida más habitual de datos son a través de:
 Soportes no automatizados
o formularios en papel
 Soportes autmatizados
 Internet, web, redes sociales, blogs
OBJETIVO DEL REGLAMENTO

Como ya comentamos en la introducción, el objeto del RGPD es la protección de los
derechos y libertades fundamentales de las personas físicas, y la libre circulación de datos
personales en territorio de la UE, no pudiendo ser restringida ni prohibida, es decir,
otorgar un mayor control a los ciudadanos europeos sobre su información personal y
privada.
El Reglamento europeo en Protección de Datos es una norma única de aplicación directa

a todos los Estados miembros de la UE.
Una norma única permite y consigue:

1. Armonizar a todos los Estados miembros de la UE.
5
2. Evita la dispersión normativa existente de diferentes normativas de cada Estado

miembro.
3. Alcanzar un nivel de protección de datos razonable en todo el territorio de la UE.
A través del principio de responsabilidad proactiva o “Accountability” que introduce el

RGPD, los responsables de tratamiento y los encargados deberán implantar medidas que
garanticen y permitan demostrar el cumplimiento del RGPD a través de políticas
adaptadas a las necesidades de la organización.
El cumplimiento de las medidas debe basarse en el buen hacer y uso de los datos
personales, lo que implica toda la vida del dato: recogida, registro, organización,
estructuración, conservación, adaptación o modificación, extracción, consulta,
utilización, comunicación por transmisión, difusión o cualquier otra forma de
habilitación de acceso, cotejo o interconexión.
Por tanto, los datos personales serán tratados con:

 Licitud: lealtad y transparencia con el interesado.
 Limitación de los fines: recogidos con fines determinados, explícitos y
legítimos y no tratados posteriormente de manera incompatible con dichos
fines.
 Minimización de los datos: adecuados, pertinentes y limitados a lo necesario
en relación con los fines para los que son tratados.
 Exactitud: actualizados sin demora con respecto a los fines para los que se
tratan.
 Limitación del plazo de conservación: mantenidos de forma que se permita
la identificación de los interesados durante no más tiempo del necesario
para los fines por los que se tratan. Excepto si el tratamiento se realiza
exclusivamente para fines de archivo en interés público o para investigación
histórica, estadística o científica.
 Integridad y confidencialidad: implementando medidas técnicas y
organizativas adecuadas para proteger los datos contra tratamientos no
autorizados o ilícitos y su pérdida, destrucción o daño accidentales.
 Responsabilidad proactiva: siendo responsable y capaz de demostrar el
cumplimiento de todos los principios del tratamiento.
APLICACIÓN DEL REGLAMENTO

¿A quién afecta el Reglamento?
La protección se otorga a las personas físicas, independientemente de su nacionalidad o
de su lugar de residencia, y en relación con el tratamiento de sus datos personales.
¿Quién debe cumplir el Reglamento?

Toda organización empresarial independientemente de su actividad, servicio, tamaño,
incluidas sin ánimo de lucro, autónomos, Administración Pública y todos los organismos
dependientes, que en algún momento recojan, traten, almacenen y/o destruyan datos
de personales.
6
EMPRESA DATOS PERSONALES PERSONA

Responsable del Tratamiento Titular de los Datos
El GDPR se aplica a las operaciones (tratamiento automatizado como al tratamiento

manual) realizadas sobre datos personales de ciudadanos residentes en la UE
“Interesados” efectuadas por un Responsable de Tratamiento o un Encargado del
tratamiento:
 Establecido en la UE, independientemente de que el tratamiento tenga
lugar en la UE o no.
 No establecido en la UE, siempre y cuando las actividades del tratamiento
estén relacionadas con:
o La oferta de bienes o servicios a personas residentes en la UE, se
pague o no por ello.
o El control de la conducta de personas, si tiene lugar en la UE.
 No establecido en la UE, pero sea de aplicación la legislación de un Estado
de la UE.
Las personas individuales en el ámbito personal y/o doméstico se encuentran fuera del
ámbito de cumplimiento del Reglamento, sin embargo debemos garantizar el derecho a
la intimidad y confidencialidad de los datos personales de otras personas individuales,
sobre todo desde la aparición de las redes sociales.
Ejemplo: ¿quién no ha estado en una celebración, en una comida/cena, con amigos

donde había amigos de otros amigos a los que no conoces?, y ese desconocido ha
sacado un Smartphone con el que ha hecho una foto en grupo, que en unos segundos a
subido a varias redes sociales y nuestra imagen sin entrar a valorar si es buena o mala o
en qué actitud y aptitud nos encontrábamos, está disponible para cualquiera que
“navegue” por Internet.
Habitualmente cuando estamos con gente conocida y/o familia, aceptamos que se
hagan fotos y seguramente sabemos que se subirán a las redes sociales, pero ojo, que
sea algo aceptado no quiere decir que se pueda hacer.
Ya existe sentencia del Tribunal donde se obliga al progenitor a quitar las fotos de la red
social de su hijo, por petición del mismo, incluso con multa económica si no lo hace.
Las novedades más destacables son:

 Contar con un Data Protection Officer “DPO”
 Obligación de realizar Análisis de Riesgos y Evaluaciones de impacto para
determinar el cumplimiento normativo.
7
 Registrar documentalmente las operaciones de tratamiento del Responsable

del Fichero y Encargados del Tratamiento.
 Aplicar más transparencia en la recogida de datos; información,
transparencia, consentimiento y minimización.
 Establecimiento de obligaciones para nuevas categorías especiales de datos.
 Nuevos derechos de los ciudadanos: derecho al olvido/supresión, limitación y
la portabilidad de los datos de un usuario de un sistema de tratamiento
electrónico a otro.
 Nuevas notificaciones a la Autoridad de Control: brechas de seguridad y
autorización previa para determinados tipos de tratamiento.
 Incremento de la cuantía de las sanciones.
 Ventanilla única
8
Tema 2 Principios del nuevo Reglamento

INTRODUCCIÓN
Si pudiéramos resumir el nuevo Reglamento en unas pocas palabras, diríamos que busca
la responsabilidad proactiva y no reactiva de todos los Responsables, Encargados y
personas que en algún momento de la vida del dato personal tratan con él.
A través del principio de responsabilidad proactiva, debemos implantar medidas que

garanticen y permitan demostrar el cumplimiento del Reglamento a través de medias,
procedimientos, protocolos de seguridad adaptadas a las necesidades de la entidad.
Se proactivos y no reactivos significa que no esperemos a que pase algo para tomar
medidas, tomemos medidas para que no pase ese “algo”.
El cumplimiento del Accountability se basa en el buen hacer desde el mismo momento

en el cual empezamos a pensar en el desarrollo de un proyecto por el cual vamos a
recoger, tratar, almacenar y registrar, modificar, consultar, comunicación, ceder,
transmitir…
Aunque en otras lecciones del curso vamos a ver en detalle los procedimientos, funciones
y obligaciones del responsable del tratamiento, del DPO, medidas de seguridad, vamos a
ver de manera resumida los principios básicos y más significativos del Reglamento.
DIFERENCIAS ENTRE LOPD 15/99 Y REGLAMENTO EUROPEO 2016/679.

Como ya sabemos, hasta la entrada en vigor del nuevo Reglamento europeo 2016/679,
los estados miembros de la U.E. se rigen por sus propias normativas en Protección de
Datos, en nuestro caso son:
 Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter
Personal.
 Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento
de desarrollo de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de
Datos de Carácter Personal.
 Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de
comercio electrónico.
La introducción de las novedades va a suponer que cualquier empresa

independientemente del tipo de organización empresarial, tamaño, actividad y sector,
tengan que revisar sus actuaciones en materia de protección de datos, para adaptarlas y
adecuarlas a los nuevos requerimientos, así como contar con el soporte y recursos para
realizar correctamente la adecuación y mantenimiento.
9
Veamos las diferencias más notables entre la actual Ley Orgánica 15/99 de Protección de
Datos y el Reglamento europeo 2016/679:
Ley Orgánica 15/99 de Protección de Datos (Directiva

Reglamento europeo 2016/679
europea 95/46)
ÁMBITO DE APLICACIÓN
Con la directiva se decía que hubiese algún Si una empresa ofrece bienes y servicios en algún
establecimiento en la UE cuya actividad tuviese que idioma de la UE o que se pueden pagar con una
ver con el tratamiento de datos. moneda europea, se entenderá que están ofreciendo
productos y servicios a los europeos, por tanto se
aplica el reglamento.
INFORMACIÓN Y CONSENTIMIENTO AL TITULAR DE LOS DATOS
Informando y pidiendo consentimiento en la recogida
Informar y pedir consentimiento en la recogida de
de datos pero ahora de manera más exhaustiva y
datos.
detallada.
Consentimiento táctico en la recogida de datos.
Desaparece el consentimiento tácito.
CONTROLES DE SEGURIDAD
Auditorias cada 2 años para datos de nivel medio y/o Aparece el Accountability, Privacy Friendly, Evaluación
alto. de Impacto y Análisis de Riesgos.
ACCESO A FICHERO SPOR CUENTA DE TERCEROS
Contratos de Prestación de Servicios con proveedores Además, tendremos responsabilidad en la elección del
que acceden a datos. proveedor.
DERECHOS DE LOS TITULARES DE LOS DATOS
Además se unen los derechos de Portabilidad,
Derechos ARCO.
Indemnización y Olvido/Supresión.
GESTIÓN DE INCIDENCIAS
Además, debemos notificar en 72h la incidencia a la
Registro de incidencias. Autoridad de Control (en España la Agencia Española
de Protección de Datos).
SANCIONES
Desaparecen los niveles, pudiendo a 20m de € o un 4%
3 niveles de sanciones.
de la facturación global de la empresa.
VENTANILLA ÚNICA
Normativas diferentes en cada país. Misma normativa para todos.
RESPONSABLE DE IMPLANTAR, GESTIONAR Y MANTENER LA NORMATIVA
Aparece el perfil Delegado en Protección de Datos
Responsable de Seguridad para ficheros de nivel
“DPO”. Se trata de un responsable de Seguridad con
medio y/o alto.
mucho más impacto.
REGISTRO DE FICHEROS
Registro de ficheros de datos. Desaparece la obligación de registrar ficheros.
MENORES DE EDAD
Menor de edad a partir de 14 puede decidir sobre sus Menor de edad con capacidad para decidir entre 13 y
datos personales. 16 años.
PROFESIONALES CERTIFICADOS
No hay profesionales certificados en Protección de Los profesionales podrán certificarse en Protección de
Datos Datos
MEDIDAS DE SEGURIDAD
Medidas de Seguridad que el Responsable del
Medidas de Seguridad basadas en el Real Decreto
Tratamiento estime oportunas para salvaguardar los
1720/2007; nivel bajo, medio y alto.
ficheros de datos personales
10
PRINCIPIOS Y CALIDAD DE LOS DATOS

Los datos personales que vayan a ser tratados, deben solicitarse al interesado de manera
lícita, leal y transparente, deben ser adecuados, pertinentes, limitados, exactos y
actualizados, adoptando las medidas de seguridad necesarias para que se atiendan sin
dilación los derechos de los interesados, mantenidos durante el tiempo necesario y
garantizando la seguridad, confidencialidad y honor de los mismos.
Debemos garantizar al interesado los siguientes aspectos relativos a sus datos

personales:
 Licitud: lealtad y transparencia con el interesado.
 Limitación de los fines: recogidos con fines determinados, detallarlos d de manera
clara y no tratados posteriormente de manera incompatible con dichos fines.
 Minimización de los datos: adecuados, pertinentes y limitados a lo necesario en
relación con los fines para los que son tratados.
 Exactitud: actualizados sin demora con respecto a los fines para los que se tratan.
 Limitación del plazo de conservación: mantenidos de forma que se permita la
identificación de los interesados durante no más tiempo del necesario para los
fines por los que se tratan. Excepto si el tratamiento se realiza exclusivamente
para fines de archivo en interés público o para investigación histórica, estadística
o científica.
 Integridad y confidencialidad: implementando medidas técnicas y organizativas
adecuadas para proteger los datos contra tratamientos no autorizados o ilícitos y
su pérdida, destrucción o daño accidentales.
 Responsabilidad proactiva: siendo responsable y capaz de demostrar el
cumplimiento de todos los principios del tratamiento.
Aclaración:
Cuando solicitemos datos personales, ya sea en soportes papel como formularios o
soportes automatizados como web y redes sociales, debemos hacerlo de manera que
cualquier persona pueda entender la información sobre el tratamiento de sus datos,
es decir, de manera coloquial evitando la terminología jurídica y técnica. Debemos
pensar que los interesados pueden ser expertos y acostumbrados así como absolutos
inexpertos.
ACCOUNTABILITY & PRIVACY BY DESIGN

En materia de protección este principio alude a la responsabilidad de las entidades y a la
privacidad desde el diseño, en la implantación de medidas, de garantía y cumplimiento
de los principios y obligaciones, así como el establecimiento de mecanismos internos y
externos para evaluar su fiabilidad y demostrar su efectividad cuando se solicite por la
Autoridad de Control (Agencia Española de Protección de Datos).
“Se trata de buscar la privacidad desde el primer momento de concepción de un bien o

servicio y no a posteriori como ahora hacen muchas empresas”
Todo aquel que vaya a llevar a cabo un sistema, un servicio, una aplicación que implique
tratamiento de datos, va a tener que diseñar ese programa conforme a la privacidad.
11
Ejemplo:
Hay empresas que diseñan aplicaciones que se olvidan de la privacidad, como las
consolas que permiten jugar en línea con otros y no te informan antes, que si juegas
en línea los otros jugadores tendrán acceso a tus datos, o la muñeca a la que le hablas
y graba la conversación, que posteriormente la enviará por wifi, cuando te conectes,
a la marca y con ellos harán un estudio de lo que los niños les dicen a sus muñecos,
incluso de lo que puedan grabar a la familia.
En materia de redes sociales, los perfiles de privacidad de los usuarios estarán por
defecto ocultos a otros usuarios, debiendo ser el usuario quien los abra a otros.
Es decir, la PRIVACIDAD por defecto, los perfiles son privados desde el primer
momento, no públicos y si quieres lo haces privado.
Aclaración:
El nuevo Reglamento, ha transformado la legislación en materia de privacidad. Si
hasta este momento bastaba con aplicar los protocolos y exigencias estipuladas en la
LOPD, ahora se establece la necesidad de demostrar que la entidad cumple con la
normativa.
El Responsable de tratamiento debe aplicar medidas técnicas y organizativas

apropiadas para poder garantizar y demostrar que se realiza conforme al
Reglamento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del
tratamiento así como los riesgos para los derechos y libertades de las personas físicas.
Pero a diferencia de la LOPD que nos decía y guiaba sobre qué y cómo hacerlo, el
nuevo Reglamento deja en nuestras manos la decisión de qué medidas de seguridad
implantamos, justificando y documentando su cumplimento.
ANÁLISIS DE RIESGOS
Un Análisis de riesgos va a permitir, antes de poner en marcha un servicio o producto,
identificar los problemas y prevenir problemas futuros que puedan dañar la
confidencialidad y honor de las personas físicas.
Debemos identificar, antes de que se materialicen, los riesgos de un producto o servicio

para la protección de datos.
Al diseñar y desarrollar aplicaciones, servicios y productos que están basados en el

tratamiento de datos personales, todos los Responsables de tratamiento deben
realizar un Análisis de Riesgo en relación a los tratamientos que vayan a llevar a cabo,
debemos adelantarnos al producto final, con la finalidad de poder establecer las
medidas que se deben aplicar y cómo hacerlo. Para ello debemos diseñar y utilizar un
modelo flexible (flexible porque debe estar presente antes y durante el proyecto)
de análisis del producto y/o servicio que vamos a desarrollar. El análisis de riesgos
forma parte del principio de responsabilidad proactiva.
12
El análisis dará lugar a un resultado mínimamente documentado, sobre las implicaciones

de los tratamientos en los derechos y libertades de los interesados. Dependiendo del
resultado del mismo, será necesario realizar o no una Evaluación de Impacto.
Aclaración:
Se trata de realizar preguntas y cuanto mayor sea el número de respuestas afirmativas,
mayor será el riesgo en el tratamiento.
Si la respuesta a estas preguntas es negativa, podemos deducir que el tratamiento de
los datos no generan un elevado nivel de riesgo.
Otro punto a tener en cuenta, es designar la persona que va a gestionar y coordinar el
Análisis de Riesgos.
Si disponemos de DPO, será éste.
Donde no exista DPO, debemos identificar y designar a una persona con conocimientos
y experiencia en la materia.
Ejemplo:
¿Se van a recabar datos de carácter personal?
¿Se van a utilizar datos sensibles?, ¿qué datos?
¿El tratamiento incluye la elaboración de perfiles?
¿Se comunicarán datos personales a terceros o a quien no ha tenido acceso a la
información?
¿Va a utilizarse tecnología que puede ser considerada como invasiva para la privacidad
como geolocalización, videovigilancia?
¿Se tratan grandes cantidades de datos y técnicas de análisis tipo Big Data?
¿Son los datos adecuados para las finalidades para las cuales van a ser utilizados?
¿Se utilizan los datos para distintas finalidades?
¿Se van a recabar datos que no van a ser utilizados?
¿Se producirán transferencias internacionales de datos?
EVALUACIÓN DE IMPACTO
Cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y
libertades de los interesados en razón de su naturaleza, alcance o fines, el Responsable o
el Encargado del tratamiento que actúe por cuenta del Responsable llevarán a cabo una
evaluación del impacto de las operaciones de tratamiento previstas en la protección de
datos personales.
El responsable del tratamiento recabará el asesoramiento del Delegado de Protección de
Datos para realizar la evaluación de impacto.
Los supuestos que el Reglamento General de Protección de Datos contempla como

obligatorios son aquellos en que se produzcan:
 Decisiones automatizadas, que originen efectos jurídicos hacia el interesado
(persona a quien corresponden los datos personales) o le afecte
significativamente.
13
 Tratamientos a gran escala de categorías especiales de datos o de datos

personales relativos a condenas e infracciones penales o medidas de seguridad
conexas.
 Observación sistemática a gran escala de una zona de acceso público.
 Operaciones que, a criterio de la autoridad de control competente, impliquen
un alto riesgo para los derechos de los interesados.
 Cualquier tratamiento de datos que, por su naturaleza, alcance, contexto o fines,
implique un alto riesgo para los derechos y libertades de las personas físicas, y en
particular si utiliza nuevas tecnologías.
Ejemplo:
 Centros Sanitarios
 Entidades de crédito, seguros, servicios de inversión, solvencia patrimonial
 Centros Docentes
 Tratamiento de datos de menores de 14 años
 Tratamiento de grandes volúmenes de datos a través de sistemas como Big Data
 Videovigilancia a gran escala
 Transferencias internacionales de datos que no forman parte del Espacio
Económico Europeo
Aclaración General:
Una Evaluación de Impacto va más allá de un Análisis de Riesgos, podemos decir que
consiste en analizar los riesgos sobre un producto, servicio o sistema de información
puede entrañar para la protección de datos de las personas afectadas cuyos datos serán
tratados y como consecuencia de la evaluación de impacto, afrontar de manera eficaz la
gestión de dichos riesgos mediante la adopción y gestión de medidas necesarias para
eliminarlos o mitigarlos.
Una evaluación de impacto, debe basarse en una serie de fases:

1. ¿Es necesario?- ¿Cuál es la finalidad? – Calidad de los datos
2. Describir los flujos de información
3. Identificar los riesgos que afecten a la privacidad
4. Mantenimiento de los datos personales
5. Garantizar los derechos
6. Medidas de seguridad
7. Cesiones de datos - Transferencias internacionales
8. Informe final
1. ¿Es necesario?- ¿Cuál es la finalidad? – Calidad de los datos

Se trata de obtener el detalle de las categorías de datos que se tratan.
Los datos personales serán usados únicamente para la finalidad para la cual han sido
recabados, y nunca para una finalidad que sea incompatible.

Se trata de conocer cómo se van a recabar los datos de carácter personal.
14
Ejemplo:
Desde formularios en papel, ¿qué formularios?
Desde formularios web, ¿quién es el Responsable de la web?, ¿dónde se guardan los
datos?, ¿hay proveedores que puedan acceder a la web?, ¿Cuántos tipos diferentes de
formularios habrá?
3. Identificar los riesgos que afecten a la privacidad

Identificar los posibles riesgos sobre los datos personales, que pueden ser:
 Sobre los afectados, relacionada con los principios del tratamiento de datos
personales.
 Riesgos técnicos, relacionados con las medidas de seguridad.
 Riesgos legales, relacionados con el incumplimiento de la normativa
correspondiente.
4. Mantenimiento de los datos personales

Una vez terminada la finalidad, ¿qué vamos a hacer?
Ejemplo:
¿Cuánto tiempo se van a almacenar los datos?
Una vez transcurrido el plazo, ¿qué medidas vamos a adoptar con los datos personales?
¿Vamos a borrarlos, eliminarlos, vamos a solicitar consentimiento el interesado para
seguir usando los datos?, ¿cómo vamos a hacerlo?
¿El software permite eliminar los datos?

Como ya sabemos, uno de los principios que debemos garantizar al interesado y cumplir,
es el ejercicio de los derechos, por tanto, debemos verificar que estamos preparados
para su cumplimiento.
Ejemplo:
¿El producto o servicio hace viable que se puedan ejercitar los derechos del
interesado?
¿De qué medios disponemos para garantizar el ejercicio de los derechos y la respuesta?
¿Quién se va a encargar?
¿Dónde se recepcionan?
Si el producto o servicio está destinado al marketing ¿disponemos de un sistema
automatizado?
La seguridad de los datos debe estar presente en toda la vida del dato personal. Debemos
tener un plan estratégico de seguridad informática y de gestión para datos no
almacenados en soportes automatizados, así como los procedimientos que debemos
divulgar entra todas las personas involucradas en el tratamiento de los datos.
Ejemplo:
¿Se han instalado las medidas adecuadas para prevenir los riesgos de seguridad?
¿Disponemos de un sistema de gestión de incidencias?
¿Se ha informado al personal sobre los procedimientos para que trate los datos
personales adecuadamente?
¿Se ha formado al personal sobre la materia de Protección de Datos?
15
¿Qué normativa de seguridad cumplimos?

¿Existe algún documento descriptivo sobre las medidas de seguridad que se deben
implantar?
7. Cesiones de datos - Transferencias internacionales

Por último y no menos importante, debemos evaluar el tratamiento de los datos
personales por parte de terceros “proveedores de servicios”.
Debemos preguntarnos si es necesaria la cesión y en caso de que la respuesta sea
afirmativa, debemos disponer de los controles que garanticen que los prestadores de
servicios cumplen el Reglamento, dado que este es uno de los cambios que debemos
adaptar a nuestra empresa, verificar que el proveedor cumple la normativa.
Ejemplo:
¿El producto o servicio requiere comunicar datos a terceros?
¿Disponemos de un control de cumplimiento del RGPD por parte del proveedor?
¿El producto o servicio requiere comunicar datos a países que no forman parte del
Espacio Económico Europeo?
En caso afirmativo, ¿cómo se garantiza la protección de datos de los interesados en el
país receptor?
8. Informe final
El Responsable del tratamiento debe disponer de un documento con la relación detallada
de los riesgos identificados y de las recomendaciones y propuestas para eliminarlos o
mitigarlos.
El lenguaje del informe debe ser lo más claro y transparente posible, huyendo de
tecnicismos tanto legales como tecnológicos, permitiendo su comprensión a todos los
destinatarios del mismo o, al menos, si no es posible dejar de evitar ciertos términos
jurídicos o tecnológicos. Es conveniente incluir un glosario con las definiciones y no dar
por supuesto que cualquier lector los conoce con precisión.
El informe final de la Evaluación de Impacto debe contener:

 Una descripción general de las operaciones de tratamiento previstas.
 Una evaluación de los riesgos para los derechos y libertades de los interesados.
 Las medidas contempladas para hacer frente a los riesgos y amenazas.
 Garantías, medidas de seguridad y mecanismos destinados a garantizar la
protección de datos personales y a demostrar la conformidad con el reglamento,
teniendo en cuenta los derechos e intereses legítimos de los interesados y de
otras personas afectadas.
 Recomendaciones y acciones que deben realizarse.
Una vez presentado el informe, la dirección del Responsable del tratamiento debe tomar
una decisión en relación al mismo, para dotar de los recursos necesarios sobre las
recomendaciones para su ejecución e implantación.
Una vez presentado el informe final, la máxima dirección del Responsable del
tratamiento, debe valorar el mismo para tomar una decisión y dotar de los recursos
necesarios (organizativas, tecnológicas, contractuales, etc) con la finalidad de ejecutar e
implantar las medidas oportunas para dar cumplimiento al Reglamento.
16
Aclaración:
Para la elaboración del documento final, es imprescindible la colaboración del DPO.
Se debe comprobar la efectividad de la implantación de las medidas resultantes del
informe, examinando el proyecto una vez puesta en marcha y verificar si se han
realizado correctamente.
Cuando cambien las condiciones del tratamiento es necesario realizar una nueva
Evaluación de impacto por si hubiera nuevos riesgos.
DELEGADO EN PROTECCIÓN DE DATOS

El Reglamento convierte al Delegado de Protección de Datos en una figura
muy importante para la empresa. Su rol es fundamental para velar por el cumplimiento
del Reglamento.
El Responsable de protección de datos, es una figura muy parecida en cuanto a su
configuración a la que ya conocemos del Compliance Officer en materia penal.
Aclaración:
Como ya sabemos, el Reglamento establece una serie de medidas para aumentar la
responsabilidad y la rendición de cuentas para garantizar el pleno cumplimiento de las
nuevas normas de protección de datos.
El objetivo es que las normas persistan en el tiempo y la empresa tenga presente el

criterio de “desde el diseño y por defecto”, para ello los Responsables del tratamiento
deben poner en práctica una serie de medidas, procedimientos y protocolos de
seguridad y organizativos donde la figura del DPO es fundamental.
El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en

particular, a su conocimiento de la legislación y la práctica de la protección de datos.
La designación del DPD y sus datos de contacto deben hacerse públicos por los
responsables y encargados y deberán ser comunicados a las autoridades de supervisión
competentes.
Veamos la figura del DPO desde distintos parámetros:

Posición en la empresa
 Total autonomía en el ejercicio de sus funciones.
 Necesidad de que se relacione con el nivel superior de la dirección.
 Obligación de que el responsable o el encargado faciliten al DPD todos los
recursos necesarios para desarrollar su actividad.
Asesoramiento
 Debe informar y asesorar al responsable o al encargado del tratamiento de las
obligaciones normativas en protección de datos que les incumban.
 Tiene que asesorar tanto al responsable como al encargado acerca de la
evaluación de impacto que realice relativa a la protección de datos.
17
 Asesorar a los empleados durante el tratamiento de datos.
Supervisión del cumplimiento normativo

 Supervisar el adecuado cumplimiento de las normas sobre protección de datos
en la entidad.
 Revisar las políticas internas de privacidad en la organización y su adecuación
normativa.
 Asignar responsabilidades entre los miembros de la organización, respecto a las
obligaciones en materia de protección de datos.
 Realización de acciones de concienciación internas respecto al cumplimiento
efectivo de la normativa.
 Formar al personal que participa en las operaciones de tratamiento de datos.
 Supervisar las evaluaciones de impacto.
 Control, coordinación y verificación de las medidas de seguridad aplicables.
Cooperación y enlace con la autoridad de control

 Actuar como punto de contacto con la Agencia Española de Protección de Datos
para las cuestiones relacionadas con el tratamiento de datos personales,
incluyendo la consulta previa.
 Cooperar con la autoridad de control.
Atención a los interesados

 Atender las consultas que los interesados realicen a la entidad, ya sea para
cuestiones relativas al tratamiento de sus datos o para el ejercicio de sus
derechos.
18
Tema 3 Información y Consentimiento al interesado

INTRODUCCIÓN
Llevamos mucho tiempo habituados y acostumbrados (y ahora después de 2 lecciones ya
lo sabemos) a ver y leer los textos que acompañan a los formularios, sobre todo web, en
los cuales nos informan que están recogiendo datos personales, que van a hacer con
ellos, si los van a ceder y como ejercer los derechos que todos tenemos sobre nuestros
datos, los famosos ARCO y los nuevos, que veremos más adelante.
Dentro de la responsabilidad activa que el nuevo Reglamento nos inculca para tenerlo
presente en todo el tratamiento de la vida del dato, hace hincapié en la información que
el interesado o titular de los datos debe recibir del Responsable del tratamiento.
El consentimiento debe ser inequívoco, mediante una manifestación del interesado o

mediante una clara acción afirmativa.
El nuevo Reglamento ya no admite el consentimiento por omisión y tácito, es decir ya no
admite la no acción.
Cuántas veces hemos leído cláusulas de Protección de Datos donde nos dicen “si usted
no hace lo siguiente entendemos que nos da su consentimiento para tratar sus datos con
la finalidad de etc y cederlos a las empresas del sector etc para que le manden
publicidad”.
LA INFORMACIÓN AL INTERESADO.
La información a los interesados, tanto respecto a las condiciones de los tratamientos
que les afecten como en las respuestas a los ejercicios de derechos, deberá
proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un
lenguaje claro y sencillo.
(La LOPD sólo exige que la información se preste de modo expreso, preciso e inequívoco)
Debemos implantar el principio de transparencia:

• Evitar las fórmulas especialmente farragosas y que incorporan remisiones a
los textos legales.
• La información y explicación del contenido del texto legal relativo al
tratamiento de los datos, debe ser fácil de entender, expresada de forma clara
y accesible para todos los interesados, con independencia de sus
conocimientos en la materia, mediante un lenguaje sencillo y claro.
Aclaración:
Aplicar la responsabilidad proactiva significa que los responsables del tratamiento
deben adoptar medidas que garanticen que solo se traten los datos necesarios en lo
relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de
conservación y la accesibilidad a los datos.
19
Ejemplo:
Cuando el consentimiento se pide en un contrato donde la protección de datos es una
cláusula más, por ejemplo, abrir una cuenta bancaria donde hay 200 cláusulas y la de
PD es a 125, donde me dice y si usted no dice que no me da su consentimiento para
que yo ceda sus datos a sectores de……… esto ya no va a ser legal.
La cláusula debe ser clara, legible, bien identificada.
¿Cuándo debo informar? La información se debe facilitar en el mismo momento en que

se soliciten los datos, previamente a la recogida o registro, si es que los datos se obtienen
directamente del interesado.
¿Cuándo informar si no se recogen directamente del titular de los datos? La información

se debe facilitar se hará:
• Antes de un mes desde que se obtuvieron los datos personales.
• Antes o en la primera comunicación con el interesado.
• Antes de que los datos, en su caso, se hayan comunicado a otros destinatarios.
¿Dónde informar?
Los datos los podemos recoger a través de diferentes y variados soportes, automatizados
y no automatizados, por ello la manera de informar a los interesados debe adecuarse y
adaptarse a las circunstancias de cada uno de los soportes y medios empleados para la
recogida de los datos.
Por ejemplo, algunas de las formas más habituales de recogida de datos son:
• Formularios en papel
• Formularios web
• Entrevista telefónica
• Registro de aplicaciones móviles
• …
CONTENIDO DE LA INFORMACIÓN
Veamos las diferencias más notables entre la Ley Orgánica 15/99 de Protección de Datos
y el Reglamento europeo 2016/679:
ANTES – Informar sobre AHORA - Añade
• La existencia del fichero o • Los datos de contacto del Delegado de
tratamiento, su finalidad y Protección de Datos, en su caso,
destinatarios • La base jurídica o legitimación para el
• El carácter obligatorio o no de la tratamiento,
respuesta, así como de sus • El plazo o los criterios de conservación
consecuencias de la información,
• La posibilidad de ejercitar los • La existencia de decisiones
derechos de acceso, rectificación, automatizadas o elaboración de perfiles,
cancelación y oposición • La previsión de transferencias a
• La identidad y datos de contacto Terceros Países
del responsable del tratamiento. • El derecho a presentar una reclamación
ante las Autoridades de Control
20
La información que se debe facilitar al interesado es mayor, detallada y concreta y amplia

respecto a los que estábamos acostumbrados con la LOPD.
Aclaración:
En la mayoría de los casos, los formatos actuales de información como presupuestos,
facturas, formularios papel se verán obligados a reestucturar el diseño para poder
albergar dicha información.
Por este motivo, y para hacer compatible la mayor exigencia de información que
introduce el Reglamento y la forma de presentarla, desde las Autoridades de Protección
de Datos se recomienda adoptar un modelo de información por capas o niveles.
¿En qué consiste la información por capas?

1. Presentar una información básica en un primer nivel “primera capa”, de forma
resumida, en el mismo momento y en el mismo medio en que se recojan los datos.
2. Remitir a la información adicional en un segundo nivel “segunda capa”, donde se
presentarán detalladamente el resto de las informaciones, en un medio más
adecuado para su presentación, comprensión y, si se desea, archivo.
La forma de presentación de la información debe quedar dentro del área o campo de

visión del interesado, a continuación del formulario donde se soliciten los datos y estará
claramente identificada, por ejemplo “Información básica sobre Protección de Datos”.
Ejemplo:
Información básica sobre Protección de Datos
Responsable Empresa Demo S.L.
Finalidad Gestionar la relación comercial y contractual
Legitimación Consentimiento del titular de los datos o interesado
Destinatarios Organismos y Administración en cumplimiento de la normativa
Derechos Acceso, Rectificación, Supresión y otros que se explican en la información
adicional
Información Puede consultar la información adicional y detallada sobre Protección de
Adicional Datos en nuestra página web: wwwww.xxxxxxx.es
Si por motivos de espacio y/o diseño no es posible disponer de la información, debemos

informar donde situamos la información sobre Protección de Datos.
Ejemplo:
Antes de firmar la solicitud, debe leer la información básica sobre protección de datos
que se presenta en …el reverso, al pié, …
La información a la segunda capa en formato papel puede estar condicionada al espacio,
pero nunca a la extensión y debe contener toda la información para el interesado sin
excepciones. Podemos informar en el mismo formulario por la parte trasera, como un
documento anexo al formulario principal o incluso como información expuesta de
21
manera claramente visible en un panel, tríptico, cartel, si bien siempre debemos tener
disponible una copia para el interesado.
Cuando la información de la primera capa se realiza en un soporte automatizado,

podemos incluir junto con la información básica un link o hipervínculo a más información
sobre el epígrafe correspondiente.
Ejemplo:
Información básica sobre Protección de Datos
Responsable Empresa Demo S.L. +INFO
Finalidad Gestionar la relación comercial y contractual +INFO
Legitimación Consentimiento del titular de los datos o interesado +INFO
Destinatarios Organismos y Administración en cumplimiento de la normativa +INFO
Derechos Acceso, Rectificación, Supresión y otros que se explican en la información
adicional +INFO
Información Puede consultar la información adicional y detallada sobre Protección de
Adicional Datos en nuestra página web: wwwww.xxxxxxx.es +INFO
Ya sabemos cuál es la información de la primera capa y como presentarla, ahora veamos

la información de la segunda capa:
Ejemplo:
Información completa sobre Protección de datos
Responsable Datos de contacto del Responsable
Identidad y datos de contacto del Representante
Datos de contacto del DPO
Finalidad Descripción ampliada de los fines del Tratamiento
Plazos o criterios de conservación de los Datos
Decisiones automatizadas, perfiles y lógica Aplicada
Legimitación Detalle de la base jurídica del tratamiento, en los casos de obligación
legal, interés público o interés legítimo
Obligación o no de facilitar datos y consecuencias de no hacerlo
Destinatarios Destinatarios o categorías de destinatarios
Decisiones de adecuación, garantías, normas corporativas vinculantes o
situaciones específicas aplicables
Derechos Cómo ejercer los derechos de acceso, rectificación, supresión y
portabilidad de sus datos, y la limitación u oposición a su tratamiento
Derecho a retirar el consentimiento prestado
Derecho a reclamar ante la Autoridad de Control
Procedencia Información detallada del origen de los datos, incluso si proceden de
fuentes de acceso Público
Categoría de datos que se tratan
22
Analicemos cada epígrafe:

Responsable, aunque la identidad del responsable del tratamiento ya se habrá ofrecido
en la información básica, en la información adicional se debe completar su información,
incorporando los siguientes datos:
• Identidad y datos de contacto del Responsable de tratamiento.
• Datos de contacto del Delegado de Protección de Datos.
• Dirección postal y electrónica.
Ejemplo:
¿Quién es el Responsable?
Responsable Empresa Demo S.L.
Dirección c/ Gran Vía nº 7, ……..
Teléfono 986……
Correo electrónico info@empresa.es
Contacto Delegado en Puede contactar mediante el email pdo@empresa.es o mediante la
Protección de Datos url https://www.emprea.es/dpd/
Finalidad, se debe informar con mayor detalle de las finalidades del tratamiento a que se
destinan los datos personales, además se debe incluir el plazo durante el cual se
conservarán dichos datos personales o, cuando no sea posible, los criterios utilizados
para determinar este plazo.
En el caso de existir elaboraciones de perfiles de usuarios basadas en decisiones

automatizadas, se debe proporcionar la información necesaria para que el interesado
tenga el suficiente conocimiento sobre la misma y no olvidemos que debemos
proporcionar un medio, será mediante una casilla de verificación, para negarse a dicho
tratamiento.
¿Cuál es la finalidad del tratamiento de los datos?

Empresa Demo tratará sus datos con la finalidad de gestionar a relación negocial y/o
contractual así como enviarle información sobre nuestros productos y servicios.
Le informamos que para poder ofrecerle un mejor servicio y adecuar nuestras
comunicaciones comerciales a su interés, elaboraremos un perfil de usuario con base
tecnológica.
¿Cuánto tiempo conservaremos sus datos?
Los datos personales que nos proporcione, serán almacenados mientras se mantenga
la relación negocial y/o contractual, no solicite la supresión de los mismos y durante el
plazo máximo de 3 años desde la última vez que nos haya facilitado su consentimiento.
Legitimación, se refiere a la base jurídica en la cual se basa el tratamiento. Podemos

distinguir las siguientes:
Legitimación por ejecución de un contrato:

Cuando el tratamiento sea necesario para la ejecución de algún contrato, laboral,
mercantil, administrativo u otro, debemos hacer mención o referencia a dicho contrato.
23
Legitimación por cumplimiento de una obligación legal:

Cuando el tratamiento sea necesario para el cumplimiento de una obligación legal,
debemos mencionar la norma o Ley que impone la obligación.
Legitimación por misión en Interés público o ejercicio de Poderes Públicos:

Cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en
interés público, como ocurre en el caso del Sector Público, debemos mencionar la norma
o Ley.
Legitimación por Interés legítimo del Responsable, o de un tercero:

Cuando el tratamiento de los datos sea necesario para la satisfacción de “intereses
legítimos” perseguidos por el responsable del tratamiento o por un tercero, se
explicitarán cuáles son tales intereses.
Legitimación por consentimiento del interesado, cuando no se encuentre la legitimación

en alguna de las anteriores, de deberá solicitar consentimiento al interesado para el
tratamiento de sus datos personales.
En el caso de que la finalidad principal sí esté legitimada por alguna de las bases jurídicas
anteriores, pero alguna otra finalidad específica requiera del consentimiento del
afectado, se harán constar ambas legitimaciones.
¿Cuál es la legitimación legal para tratar sus datos?

La base legal para el tratamiento de sus datos es la ejecución del contrato de
compraventa del vehículo. La recogida de los datos para un posterior uso comercial
está basada en su consentimiento explícito. La retirada del consentimiento no
condiciona la ejecución de la relación contractual.
Destinatarios, cuando se vayan a ceder o comunicar datos personales a terceros, se

informará sobre la identidad de los destinatarios, o de las categorías de destinatarios, si
estos no están determinados previamente.
¿A quién se ceden o comunican sus datos?

Los datos que nos proporcione serán comunicados a otras empresas del grupo _____,
con una finalidad comercial.
Además, serán comunicados a los organismos y administraciones que en cumplimiento
de una normativa o Ley estamos obligados a comunicar.
Derechos, se informará sobre los derechos que le asisten a los interesados, de igual modo
se informará como ejercer los derechos y los medios disponibles. También debe
informarse que los interesados pueden presentar una reclamación ante la Autoridad de
Control en materia de Protección de Datos competente.
Recordemos los derechos que asisten al interesado o titular de los datos:

• Derecho a solicitar el acceso
24
• Derecho a solicitar su rectificación o supresión

• Derecho a solicitar la limitación de su tratamiento
• Derecho a oponerse al tratamiento
• Derecho a la portabilidad de los datos
¿Cuáles son sus derechos?

Cualquier persona tiene derecho a conocer y obtener información sobre los datos que
estamos tratando, tales como acceder, rectificar, oponerse, portabilidad, suprimir y
limitar.
De igual modo tiene derecho a pedir tutela y reclamar ante la Autoridad de Control
española “Agencia Española de Protección de Datos” mediante ………….
Procedencia, se incluirá en el supuesto de que los datos personales no se hayan obtenido

del interesado, por proceder de alguna cesión legítima, o de fuentes de acceso público.
¿Cómo hemos obtenido sus datos?
Los datos que trata Empresa Demo S.L. proceden o han sido obtenidos de las empresas
del grupo …….
Los datos que trata Empresa Demo S.L. proceden o han sido obtenidos de fuentes
accesibles al público, concretamente de ………
La categoría de los datos tratados son:
Nombre y Apellidos, teléfono, email, dirección, información comercial…….
Aunque hemos visto ejemplos y la forma de presentar la información, recordemos qué

es lo que debe contener la cláusula de información:
• La identidad del responsable de la gestión y si procede, del delegado de
protección de datos.
• Que los datos personales se están recogiendo, utilizando o consultando.
• La medida en que dichos datos son o serán tratados.
• De las posibles consecuencias de no facilitar tales datos.
• Los fines del tratamiento a que se destinan los datos personales y la base jurídica
del tratamiento.
• La identidad de los destinatarios o las categorías de destinatarios de los datos
personales.
• El plazo durante el cual se conservarán los datos personales o, cuando no sea
posible, los criterios utilizados para determinar este plazo.
• La existencia del derecho a solicitar al responsable del tratamiento el acceso a los
datos personales que haya facilitado, su rectificación o supresión, o la limitación
de su tratamiento, o a oponerse al tratamiento, así como el derecho a la
portabilidad de los datos.
• La posibilidad de ejercitar el derecho a presentar una reclamación ante una
autoridad de control.
• La existencia de decisiones automatizas, incluida la elaboración de perfiles,
información significativa sobre la lógica aplicada, así como la importancia y las
consecuencias previstas de dicho tratamiento para el interesado.
25
• La intención del responsable de transferir sus datos personales a un tercer país u

organización internacional y la existencia o ausencia de una decisión de
adecuación de la Comisión.
¿Y si no son obtenidos del interesado?

• La identidad y los datos de contacto del responsable y, en su caso, de su
representante.
• Los datos de contacto del delegado de protección de datos, si lo hubiere.
• Los fines del tratamiento a que se destinan los datos personales, así como la base
jurídica del tratamiento.
• Las categorías de datos personales de que se trate.
• Los destinatarios o las categorías de destinatarios de los datos personales, en su
caso.
• De la intención del responsable de transferir datos personales a un destinatario
en un tercer país u organización internacional y la existencia o ausencia de una
decisión de adecuación de la Comisión.
CONDICIONES DEL CONSENTIMIENTO.

El nuevo Reglamento da un cambio radical al tema y el consentimiento ahora es una
manifestación de voluntad libre específica informada e inequívoca por la que el
interesado acepta ya sea mediante una declaración (no una omisión) o una clara acción
afirmativa, el tratamiento de datos personales.
También se detalla la obligación de verificar con posterioridad y en cualquier momento,

el consentimiento del titular de los datos al tratamiento y finalidades de los datos
recogidos.
Aclaración:
Si bien no es un cambio o un nuevo procedimiento, es cierto que inciden mucho en
ello, por tanto debemos guardar, ya sea un soporte automatizado o papel, el soporte
en el que informamos y solicitamos el consentimiento, de manera que podamos
verificar en cualquier momento que se realizó conforme a la normativa.
Uno más de los cambios que introduce el Reglamento es el consentimiento explícito, que
en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles o
marketing con base tecnológica, debe ser más estricto, así, será preciso que la
declaración u acción se refieran explícitamente al consentimiento y al tratamiento en
cuestión.
Ejemplo:
Si disponemos de una aplicación que basándose en la navegación del usuario puede
elaborar un perfil del interesado, debemos informar del tratamiento y habilitar una
casilla de verificación de consentimiento única y personal para dicho tratamiento.
26
Las condiciones para cumplir con el consentimiento de los interesados, son las siguientes:
• El Responsable del tratamiento debe poder probar el consentimiento. (Si se
realiza por escrito, deberá distinguirse claramente de otros asuntos.)
• El consentimiento no será lícito si se condiciona a una prestación de servicios
sin ser necesario para su realización.
• El Responsable del tratamiento informará al interesado, antes de dar su
consentimiento, que tiene derecho a retirarlo en cualquier momento sin que
afecte al tratamiento efectuado hasta entonces.
• Será tan fácil retirar como dar el consentimiento.
• Los consentimientos que infrinjan parcialmente el Reglamento serán
considerados nulos.
LICITUD DEL TRATAMIENTO.

El tratamiento de datos solo será lícito si se da alguna de las siguientes condiciones:
• Consentimiento explícito para fines específicos.
• Contrato o precontrato con el interesado.
• Protección de los intereses vitales del interesado u otra persona física.
• Interés legítimo del Responsable del tratamiento o terceros, siempre que no
prevalezcan los intereses o los derechos y libertades del interesado,
especialmente si es un niño.
• Procedencia legítima de archivos de acceso público:
o Obtenidos de una fuente pública.
o El interesado ha hecho manifiestamente públicos los datos.
O cuando esté fundamentado en la legislación vigente por:

• Obligación jurídica a la que esté sujeto el Responsable del tratamiento.
• Cumplimiento de un cometido de interés público.
• Fines de investigación histórica, estadística o científica.
• Interés legítimo de las Autoridades públicas en el ejercicio de sus funciones.
Los datos personales serán tratados de manera:

• Lícita
• Leal
• Transparente
• Adecuados
• Pertinentes
• Limitados
• Exactos y actualizados
• Con seguridad
¿Qué quiere decir esto?

 Cuando una entidad recogida datos personales al interesado o titular de los datos,
éstos deben ser los necesarios y pertinentes para la finalidad por la que se
solicitan y serán tratados.
 No se usarán los datos con fines distintos por la finalidad principal por la que son
solicitados.
27
 Si se usan con fines distintos, el Responsable del tratamiento deberá informar y

solicitar consentimiento explícito para el tratamiento.
 Si se pretende ceder datos a terceras empresas, el Responsable del tratamiento
deberá informar y solicitar consentimiento explícito para la cesión.
 Serán exactos, manteniéndolos en todo momento actualizados, en caso contrario
se habilitarán los procedimientos necesarios para suprimirlos o rectificarlos.
 Se mantendrán solo el tiempo necesario para su tratamiento, en caso de necesitar
conservarlos más tiempo habrá que evaluar si se cumple alguna de las
excepciones de Reglamento, por el cual podrán mantenerse por períodos más
largos siempre que se traten exclusivamente con fines de archivo en interés
público, fines de investigación científica o histórica o fines estadísticos.
 Aplicar medidas, protocolos y procedimientos que garanticen la seguridad
adecuada a los datos personales tratados, ya sean automatizados o no
automatizados, garantizando la confidencialidad y honor de los titulares delos
datos.
LICITUD PARA TRATAMIENTOS CON FINES DISTINTOS DE LA FINALIDAD PRINCIPAL.

Distinguir las finalidades, el consentimiento se debe distinguir bien de otros
asuntos/finalidades, en la recogida de datos, de la información sobre el tratamiento de
los datos, en definitiva deberá implicar que quien consiente es consciente de que está
prestando el consentimiento.
Si el consentimiento del interesado se da en el contexto de una declaración escrita que

también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal
forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil
acceso y utilizando un lenguaje claro y sencillo.
TRATAMIENTO DE DATOS DE NIÑOS.

La información del tratamiento dirigida a un menor deberá facilitarse con un lenguaje
claro, sencillo y adecuado al mismo.
Si es menor necesita el consentimiento de quien tenga la patria potestad, madre/padre,

tutor legal.
Se establece que cada Autoridad de Control determine la edad mínima que será entre 13
y 16.
El Responsable del tratamiento hará esfuerzos razonables para verificar en tales casos
que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela
sobre el niño, teniendo en cuenta la tecnología disponible.
28
Tema 4 Derechos de los interesados

INTRODUCCIÓN
Uno de los aspectos más interesantes que se han tratado en el Reglamento europeo de
Protección de Datos es la introducción y el reconocimiento de una serie de nuevos
derechos para los ciudadanos, que van a cambiar la manera de gestionar los interesados,
los ciudadanos, sus datos personales.
A los ya más que conocidos como derechos ARCO (acceso, rectificación, cancelación y
oposición), se añaden nuevos derechos cuya finalidad es mejorar la capacidad de
decisión y control de los ciudadanos sobre sus propios datos personales.
Para ello, el Responsable del tratamiento deberá implementar una política de

información al interesado para establecer la manera de comunicar los derechos y la
forma de ejercerlos.
El ejercicio de los derechos no deberá afectar negativamente a los derechos y libertades

de terceros.
Aclaración:
Como sucedía con los derechos ARCO, ejercer los derechos es gratuito para el
ciudadano, excepto cuando se formulen solicitudes manifiestamente infundadas o
excesivas y, en cualquier caso, si hubiera un coste, este no podrá implicar un ingreso
adicional para quien trata los datos y debe limitarse al verdadero coste de tramitar la
solicitud
El interesado tendrá derecho a obtener en todo momento una información clara y

transparente del tratamiento de sus datos que incluya los derechos que le otorga el
Reglamento. Para ello, deberá comunicar al interesado los derechos que le asisten. Éstos
son:
DERECHOS DE LOS CIUDADANOS

TRATAMIENTO TRATAMIENTO INDEPENDIENTEMENTE
AUTOMATIZADO O NO AUTOMATIZADO DEL TRATAMIENTO
AUTOMATIZADO
Acceso Portabilidad Reclamación a la Autoridad
de Control
Rectificación Oponerse a la elaboración Indemnización
de perfiles
Supresión / Olvido
Limitación
Oposición
Antes de entrar al detalle de los derechos, debemos conocer los derechos inherentes a
todo el tratamiento de datos personales, la transparencia y la información, que no deben
29
ser ejercitados por el interesado como el resto de derechos sino una obligación del
Responsable del tratamiento, es decir hablamos de un derecho reconocido.
DERECHO A LA TRANSPARENCIA Y LA INFORMACIÓN

Es una obligación absoluta por parte del Responsable del tratamiento, un derecho de vital
importancia como base de la regulación del Reglamento y necesario para poder ejercer
los siguientes.
El Responsable del tratamiento debe:

• Facilitar la información de forma clara, precisa y comprensible.
• Facilitar al interesado información para el ejercicio de sus derechos.
• Establece el plazo de un mes para contestar a peticiones de interesado, y en caso
contrario, abrir vía de la reclamación ante la autoridad.
• Carácter gratuito de las peticiones, salvo que por reiteración o carácter infundado
o excesivo, donde podrá establecer un canon o negarse a ellas.
La información que el Responsable del tratamiento debe facilitar, se hará en la primera

obtención de información al interesado y debe contener:
1. La identidad y los datos de contacto del responsable y/o su representante
2. Los datos de contacto del delegado de protección de datos, (si es que está obligado
a ello)
3. Finalidad del tratamiento y su justificación legal para poder llevarse a cabo
4. Cuando el tratamiento se base en el interés legítimo, identificar dicho interés
legítimo, propio o de un tercero.
5. Los destinatarios o las categorías de destinatarios de los datos personales.
6. Si existen transferencias internacionales de los datos.
7. El plazo durante el cual se conservarán los datos personales.
8. La existencia de los derechos del interesado (que veremos a continuación).
9. El derecho a presentar una reclamación ante una autoridad de control.
10. Si la comunicación de datos personales es un requisito legal o contractual, o un
requisito necesario para suscribir un contrato, de las consecuencias en el caso de no
cederlos.
11. La existencia de decisiones automatizas, incluida la elaboración de perfiles.
Pero este derecho a su vez, amplia esta información para el supuesto de que la
información no sea obtenida directamente del interesado, caso en el que deberá
informar, junto con el resto de datos antes indicados:
• De la fuente de la que proceden los datos personales.
• Di proceden de fuentes de acceso público, en un plazo que debe ser inferior a
un mes, y en el caso de que se realicen comunicaciones sobre el mismo, en la
primera de ellas.
¿CÓMO ATENDER EL EJERCICIO DE DERECHOS?

Con carácter general, el RGPD exige a los responsables del tratamiento que faciliten a los
interesados el ejercicio de sus derechos.
30
Como ya hemos indicado en el vídeo presentación, el interesado tendrá derecho a

obtener en todo momento una información clara y transparente, esto supone que los
procedimientos y formas de realizarlo deben ser sencillos, accesibles, visibles y sencillos.
Aclaración:
El Reglamento no establece un modo concreto para el ejercicio de derechos, pero sí
requiere a los Responsables del tratamiento que posibiliten la presentación de
solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por
esos medios.
Esta obligación exige articular procedimientos que permitan fácilmente que los
interesados puedan acreditar que han ejercido sus derechos por medios electrónicos.
Se deberán tomar todas las medidas razonables para verificar la identidad de quienes
soliciten acceso y, en general, de quienes ejerzan los derechos.
Ejemplo:
Desde la página web corporativa implementar un formulario de derechos, de manera
que el interesado con tan solo cubrir el mismo, pueda solicitar el ejercicio del derecho
correspondiente.
GRATUIDAD - El Reglamento prevé también que el ejercicio de derechos será gratuito

para el interesado.
Aclaración:
El criterio de gratuidad puede no seguirse en casos en los cuales se formulen solicitudes
manifiestamente excesivas y/o infundadas, especialmente repetitivas.
Es entonces cuando el Responsable del tratamiento puede cobrar un canon que
compense los costes de atender a la petición o negarse a la misma.
El Responsable del tratamiento es el que debe demostrar ese carácter infundado o
excesivo.
El canon no podría implicar un ingreso adicional para el Responsable del tratamiento,
sino que deberá corresponderse con el verdadero coste de la tramitación de la solicitud.
PLAZOS PAR CONTESTAR - El Responsable del tratamiento debe informar al interesado

sobre las actuaciones que se deriven de su petición en el plazo de un mes.
Dicho plazo, podrá extenderse dos meses más cuando se trate de solicitudes
especialmente complejas.
Si se acuerda aplazar la contestación, el Responsable del tratamiento debe notificarlo
durante el primer mes. Si el responsable decide no atender la solicitud, deberá informar
de ello, motivando su negativa, dentro del plazo de un mes desde su presentación.
Aclaración:
El responsable que trate una gran cantidad de información sobre un interesado podrá
pedir a éste que especifique la información a que se refiere su solicitud de acceso.
31
El responsable podrá contar con la colaboración de los Encargados de tratamiento para

atender al ejercicio de derechos de los interesados, pudiendo incluir esta colaboración
en el contrato de encargo de tratamiento.
¿CÓMO DEBEN EJERCER LOS DERECHOS?

Como estamos viendo, el Responsable del tratamiento está obligado cumplir una serie
de normas, de igual modo, el interesado que ejerce un derecho, debe cumplir una serie
de aspectos que son necesarios para garantizar la confidencialidad y seguridad de los
datos que el Responsable del tratamiento le comunicará:
• Deben ser ejercidos directamente por el interesado ante el Responsable del

tratamiento. Si se actúa en nombre de otra persona es necesario acreditar que
nos ha autorizado a representarla.
• Para ejercer los derechos es imprescindible que el ciudadano se dirija en primer
lugar a la entidad que está tratando sus datos utilizando cualquier medio que
permita acreditar el envío y la recepción de la solicitud. Si la entidad no responde
a la petición realizada en el plazo establecido por ley o el ciudadano considera que
la respuesta que recibe no es la adecuada, puede solicitar que la Autoridad de
Control (Agencia Española de Protección de Datos) tutele su derecho frente al
Responsable.
• Son derechos independientes, por lo que no es necesario ejercitar en primer lugar
el derecho de acceso para poder rectificar o cancelar.
• En la contenido de la solicitud debe incluir: el nombre y apellidos del interesado;
fotocopia de su documento nacional de identidad, pasaporte u otro documento
válido que lo identifique y, si fuera necesario, de la persona que lo represente, así
como el documento o instrumento electrónico acreditativo de tal representación;
detalle de la petición que se realiza; dirección a efectos de notificaciones; fecha y
firma del solicitante; y documentos acreditativos de la petición que formula si
fuera necesario.
DERECHO DE ACCESO.
Es el derecho del interesado a tener confirmación acerca de si sus datos personales están
siendo tratados, y en su caso, a acceder a los mismos.
Si el interesado ejerce el derecho, debemos facilitarle la siguiente información:

a) Los fines del tratamiento.
b) Las categorías de datos personales de que se trate.
c) Los destinatarios o las categorías de destinatarios a los que se comunicaron o
serán comunicados los datos personales.
d) Plazo de conservación o plazo previsto para ello.
e) La existencia del derecho a solicitar el ejercicio del resto de derechos.
f) El derecho a presentar una reclamación ante una autoridad de control.
g) Si son datos no obtenidos del interesado, información sobre su origen.
32
h) La existencia de decisiones automatizadas, incluida la elaboración de perfiles,

información sobre el algoritmo aplicado y sus consecuencias para el interesado a
nivel de privacidad.
i) Si hay transferencias, las medidas aplicadas para su salvaguarda.
Aclaración:
El Responsable debe facilitar al interesado una copia gratuita de los datos personales
sometidos al tratamiento. Para más copias, podrá cobrar una tasa razonable basada en
los costes administrativos.
Cuando el interesado haga la solicitud en formato electrónico, le facilitará la información
estructurada y si es posible en el mismo formato, a no ser que solicite que se realice en
otro formato.
DERECHO DE RECTIFICACIÓN.
Es el derecho a la corrección de los datos personales del interesado por parte del
responsable.
En el caso que exista una comunicación previa de datos a terceros (destinatarios de los
datos), el Responsable del tratamiento debe informarles para que procedan a la
rectificación de los mismos, salvo que sea imposible o exija un esfuerzo
desproporcionado.
Ejemplo :
Algo tan sencillo como decirle a la entidad que tiene nuestros datos, Responsable del
tratamiento, que ya no vivimos en la calle Gran Vía sino en la calle Colón o que los datos
que tiene sobre nosotros no son exactos y debe adecuarlos a la situación real.
Es decir, se produce un cabo en nuestros datos personales y se lo comunicamos al
Responsable del tratamiento o solicitamos que los datos inexactos sean puestos al día.
33
DERECHO DE SUPRESIÓN O DERECHO AL OLVIDO.

Se trata de una de las mayores novedades del Reglamento, viene a regular lo que la
jurisprudencia del Tribunal de Justicia de la Unión Europea reconoció en la Sentencia del
Tribunal de Justicia de 13 de mayo de 2014, consistente en la supresión de los datos
personales del interesado sin dilación, en el caso de que se den alguna de la siguientes
circunstancias:
• Los datos personales ya no sean necesarios en relación con los fines para los que
fueron recogidos o tratados de otro modo.
• El interesado retire el consentimiento en que se basa el tratamiento y este no se
base en otro fundamento jurídico.
• El interesado se oponga al tratamiento con arreglo al derecho de oposición, por
motivos particulares o por mercadotecnia, y no prevalezcan otros motivos
legítimos para el tratamiento.
• Los datos personales hayan sido tratados ilícitamente.
• Los datos personales deban suprimirse para el cumplimiento de una obligación
legal
• Los datos personales se hayan obtenido en relación con la oferta de servicios de
la sociedad de la información.
En el caso de que dichos datos estén copiados o siendo usados también por terceros, se
deberá solicitar a dichos terceros que procedan su cancelación por parte del responsable
(por ejemplo en el caso de los buscadores).
No obstante todo ello no aplicara cuando los tratamientos sean necesarios para:
• Ejercer el derecho a la libertad de expresión e información.
• Cumplir una obligación legal.
• Razones de interés público o fines de archivo publico estadístico, etc…
• Para la formulación, el ejercicio o la defensa de reclamaciones.
Aclaración:
A fin de reforzar el «derecho al olvido» en el entorno de Internet, aparece el Derecho
de Supresión; no se borran los datos que aparecen en un buscador sino que se toman
medidas para que esa información no aparezca, que sea invisible para el buscador pero
sigue existiendo en la base de datos de contenidos.
Aclaración:
No debe confundirse con el derecho de cancelación que existía en la LOPD.
El Reglamento europeo conserva el derecho de cancelación pero cambia su
denominación al de Limitación del tratamiento, refiriéndose al bloqueo de los datos
para limitar y/o impedir su tratamiento.
Ejemplo:
Un periódico online, deberá tomar las medidas oportunas para que una noticia no
aparezca, para que sea invisible al buscador, para que no se pueda indexar, si bien la
noticia no será eliminada de su base de datos.
34
El derecho al olvido supone impedir la difusión de la

información cuando ésta es obsoleta o no tiene
relevancia ni interés público
Si se estima la pretensión del interesado, la

información no aparecerá en los resultados de
búsquedas, pero existiendo en la fuente original
Si los buscadores deniegan el ejercicio, el interesado

puede interponer una reclamación ante la Autoridad
de Control
Los principales buscadores, han habilitado

formularios para facilitar su ejercicio.
Aclaración:
El derecho al olvido se lo debemos a Mario Costeja, por el que el Tribunal de Justicia,
obligó a Google a retirar los datos relacionados con Mario sobre su pasado moroso,
estableciendo que no sólo Google sino el buscador (todos) son responsables del
tratamiento y en consecuencia se puede pedir el derecho de cancelación, el derecho al
olvido, no sólo antes el editor sino ante el buscador
Los interesados deben tener derecho a que sus datos personales se supriman y dejen de
tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de
otro modo, si los interesados han retirado su consentimiento para el tratamiento o se
oponen al tratamiento de datos personales que les conciernen.
35
DERECHO A LA LIMITACIÓN DE ACCESO.

El derecho a la limitación del tratamiento es otra de las novedades de este reglamento y
lo podemos definir como el derecho del interesado a que no se realice tratamiento con
respecto a una parte de sus datos personales si se dan las circunstancias para ello. Así el
interesado podrá ejercitar la limitación del tratamiento cuando se cumpla alguna de las
siguientes circunstancias:
• El interesado indique son inexactos, mientras el responsable confirma dicha
inexactitud.
• Cuando el tratamiento sea ilícito, pero en vez de cancelar, solicite limitar el
tratamiento (por ejemplo, porque le interese el servicio).
• El responsable ya no necesite los datos personales para los fines del tratamiento,
pero el interesado si que los necesita en el ámbito de una reclamación.
• En caso de interés legítimo, mientras se acredita que interés prevalece.
Aclaración:
Es decir, nos encontramos con, por definirlo de un modo más simple, un derecho de
cancelación temporal o parcial en función de los requisitos que se den.
DERECHO A LA PORTABILIDAD DE DATOS.

El interesado tiene derecho a recibir los datos personales que le incumben, que haya
facilitado de forma automatizada a un Responsable del tratamiento, que éste se los
devuelva en un formato estructurado, automatizado y de uso común para que a su vez
sean transmitidos a un nuevo Responsable de tratamiento (de forma directa o no) y todo
ello sin que se lo impida el primer Responsable del tratamiento.
Aclaración:
Por tanto, nos encontramos ante un derecho doble, de portabilidad al interesado y de
transmisión de Responsable a Responsable, es decir, el interesado puede exigir a las
empresas que estén tratando sus datos que se los devuelva o que se los pase a otra
empresa.
Aclaración:
Para que el interesado o el nuevo Responsable del tratamiento pueda hacer uso de los
datos que se solicitan mediante el ejercicio de portabilidad, la empresa que recibe el
derecho, debe disponer de un sistema informático y /o base de datos que cumpla la
premisa de datos estructurados y de uso común y que el nuevo Responsable del
tratamiento también disponga de un sistema informático y /o base de datos adecuada
a “un formato electrónico comúnmente utilizado”
36
Ejemplo:
Estoy en Hotmail y me voy a Gmail, podré decirle “oiga hotmail haga usted la
portabilidad”, es decir, no voy a perder los datos si cierro mi cuenta porque le diré a
hotmail que efectúe la portabilidad a gmail.
DERECHO DE OPOSICIÓN.
El interesado tendrá derecho a oponerse en cualquier momento a que sus datos sean
tratados.
El responsable del tratamiento debe dejar de tratar los datos personales, salvo que
acredite motivos legítimos para no acceder a la solicitud, que prevalezcan sobre los
intereses del interesado, o que sean necesarios para la defensa de reclamaciones.
Aclaración:
Cuando el tratamiento de los datos tenga como finalidad la mercadotecnia y/o
elaboración de perfiles, el interesado podrá oponerse en el mismo momento en el que
sus datos son solicitados, sin necesidad de justificación ni causa.
En éste caso (mercadotecnia y/o elaboración de perfiles), el Responsable del
tratamiento debe disponer y facilitar la información de manera clara y al margen de
cualquier otra finalidad, además de proveer de medios fáciles e intuitivos para ejercer
el derecho de oposición.
Aclaración:
Cuando los datos personales se traten con fines de investigación científica o histórica o
fines estadísticos, el interesado tendrá derecho, por motivos relacionados con su
situación particular, a oponerse al tratamiento de datos personales que le
conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por
razones de interés público
Ejemplo:
Seguro que en más de una ocasión, su entidad bancaria aprovecha el envío de los
temidos recibos domiciliados para enviarle información comercial sobre créditos
concedidos ara la compra de ese fabuloso vehículo, tarjetas que no le costarán nada y
tan solo debe usarlas… ¿No está hart@ de recibir esta publicidad?, pero claro, es su
banco ¿verdad?, pues use el derecho de oposición a recibir información comercial, ¡ojo!,
esto no quiere decir que no le envíen información sobre su cuenta, recibos, cobros y
pagos; solo se opone a recibir la información no imprescindible, la comercial.
37
DERECHO A LA NO EXISTENCIA DE DECISIONES BASADAS EN TRATAMIENTOS

AUTOMATIZADOS.
Se trata de un derecho que en pleno siglo XXI tiene mucha trascendencia debido a “cosas”
como el Big Data.
El interesado tendrá derecho a no ser objeto de una elaboración de perfiles cuya finalidad
sea adoptar decisiones individuales basadas en un tratamiento automatizado de datos y
destinadas a evaluar, analizar o predecir aspectos personales del mismo.
Aclaración:
Elaboración de perfiles consiste, en cualquier forma de tratamiento de los datos
personales que evalúe aspectos personales relativos a una persona física, en
particular para analizar o predecir aspectos relacionados con el rendimiento en el
trabajo, la situación económica, la salud, las preferencias o intereses personales,
la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la
medida en que produzca efectos jurídicos en él o le afecte significativamente de modo
similar
Este derecho se exceptúa cuando la decisión que pueda ser tomada a consecuencia de la
misma esté autorizada mediante:
• El consentimiento explícito del interesado.
• Un contrato entre el Responsable y el interesado.
• Un tratamiento fundamentado en la legislación vigente.
Ejemplo:
Algunas webs de productos, como las de vehículos, recogen la actividad el usuario
cuando navega por la web (las famosas cookies) y guarda información sobre lo que visita,
lo que más visita, donde hace click, donde se para y dedica más tiempo, qué opciones
del coche chequea, qué colores suele visitar más, qué tipo de carrocería visita más y un
largo etc que mediante una herramienta de marketing, permite a la empresa tener un
perfil concreto del usuario de la web.
Con todos estos datos, la empresa puede realizar publicidad adecuada al perfil, basada
en decisiones automatizadas.
38
DERECHO A INDEMNIZACIÓN
Si se produce un daño o perjuicio material o inmaterial, como consecuencia de una
infracción y/o vulneración del Reglamento, el interesado tendrá derecho a solicitar una
indemnización ante el Responsable del tratamiento.
Aclaración:
Cuando en el tratamiento participen más de un Responsable de tratamiento o Encargado
de tratamiento, cada uno será considerado responsable de la totalidad del perjuicio
ocasionado ante el interesado, debiendo discernir entre ellos el grado de responsabilidad
que les toca a cada uno.
Aclaración:
Por definición cualquier violación de un derecho fundamental produce por definición un
daño inmaterial, porque afecta a mi dignidad.
DERECHO A RECLAMAR ANTE LA AUTORIDAD DE CONTROL

El interesado tendrá derecho estar informado por el Responsable de que puede
presentar una reclamación ante la Autoridad de control de cualquier Estado de la UE, si
considera que el tratamiento de sus datos personales no se ajusta a lo dispuesto en el
Reglamento.
Aclaración:
El Reglamento define a la Autoridad de control, como la autoridad pública independiente
establecida por un Estado Miembro.
En España, esta autoridad pública es la Agencia Española de Protección de Datos.
El interesado puede interponer un recurso judicial contra:

• Contra una Autoridad de control
El interesado tendrá derecho a un recurso judicial efectivo en contra de la Autoridad de
control cuando ésta no de curso a una reclamación o no le haya informado en 3 meses.
• Contra un Responsable o Encargado del tratamiento

El interesado tendrá derecho a un recurso judicial efectivo contra un Responsable o
Encargado del tratamiento cuando considere que el tratamiento de sus datos personales
no se ajusta a lo dispuesto en el Reglamento. Las acciones contra éstos podrán ejercitarse
ante los órganos jurídicos del Estado de la UE donde resida el interesado, siempre y
cuando no sea una Autoridad pública que actúe en ejercicio de su poder público.
39
Tema 5 Obligaciones de Responsables del Tratamiento

INTRODUCCIÓN
El Responsable de tratamiento es el máximo responsable en garantizar la
confidencialidad de los datos que trata y de dotar de seguridad a todos los intervinientes
y mecanismos tanto humanos como técnicos que intervengan en la vida del dato, desde
la recogida, tratamiento, almacenamiento y destrucción.
De igual modo, no debemos olvidar la figura del Encargado del tratamiento, que también
debe cumplir e implantar medidas de seguridad.
Recordemos los principios básicos de cumplimiento del Reglamento en todas las fases
del tratamiento de los datos:
• La responsabilidad proactiva
• Llevar un registro de las actividades o tratamiento de datos
• Implantar una política de información y consentimiento al interesado
• Implantar una política de seguridad, de análisis de riesgos y evaluación del impacto.
• Adecuar Medidas de seguridad, a través de procedimientos específicos según el tipo
y categoría de los datos.
Por tanto, lo datos deben ser tratados de manera que se garantice una seguridad, así
como su honor e intimidad, evitando el tratamiento no autorizado o ilícito y contra su
pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u
organizativas apropiadas.
Como veremos, el Reglamento dispone de varios mecanismos para garantizar que se han
implementado medidas adecuadas de protección de datos y acreditar su cumplimiento
como Mecanismos de certificación y Códigos de conducta.
IMPLANTACIÓN DE PRINCIPIOS DE “PRIVACY BY DESIGN” & “PRIVACY BY DEFAULT”.

Vamos a cambiar nuestra forma de hacer frente a la Protección de Datos
Dejaremos de ser reactivos para ser proactivos
La seguridad y privacidad desde el comienzo del proyecto
Autorregulación y Control interno
Madurez y Lógica
A lo largo del curso hemos hablado y seguiremos hablando de la responsabilidad, de la

privacidad desde el diseño y de la privacidad por defecto. Estos 3 criterios en el
tratamiento de datos personales, no son algo nuevo del Reglamento sino que tienen un
carácter continuista desde la Directiva 95/46 y que en el Reglamento 2016/679 se
acentúan con más fuerza aún.
Responsabilidad “Accountability”, es el principio por el cual se deberán aplicar medidas

técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento
de datos es conforme al Reglamento.
40
Aclaración:
Hasta el momento bastaba con aplicar los protocolos y exigencias estipuladas en la
LOPD, ahora se establece la necesidad de demostrar que la entidad cumple con la
normativa.
Ejemplo:
Con la LOPD debíamos notificar a la AEPD los ficheros que tratábamos en la empresa.
Con el Reglamento debemos llevar internamente un Registro de Actividades de
Tratamiento.
Con la LOPD, teníamos 3 niveles de seguridad (básico, medio y alto) y sus concretas
medidas de seguridad.
Con el Reglamento no hay niveles de seguridad y debemos adecuar la seguridad que
consideremos a los datos y categoría que tratamos.
Privacidad por diseño “Privacy by Design”, es el principio por el cual se deben adoptar
medidas de seguridad y no a posteriori.
Ejemplo:
Imagináis que una marca de automóviles saque al mercado un coche sin cinturón de
seguridad, sin frenos ABS, sin dirección asistida, sin potentes luces… no verdad.
Esto es la privacidad desde el diseño, aplicarla desde el comienzo del proyecto y no al
finalizar.
Éste mismo criterio es el que deben implantar las empresas que se involucren en un
proyecto por el cual van a tratar datos personales.
Privacidad por defecto “Privacy by Default”, este principio alude a que la privacidad del
interesado esté configurada por defecto y no que sea el interesado quien deba
preocuparse de dotar de seguridad a sus datos para garantizar su confidencialidad e
intimidad.
Ejemplo:
Las aplicaciones de redes sociales no pueden dejar por defecto el perfil del interesado
público, es decir, que lo vea cualquier persona.
Debe ser privado y el interesado decide si lo hace público.
RESPONSABILIDADES DEL RESPONSABLE DE TRATAMIENTO.

Ya sabemos que el Reglamento nos dice que pasemos de una posición pasiva a otra
activa, que no esperemos que pase y actuar para que no pase, es decir, se pasa de un
modelo rígido a uno dinámico.
Este principio exige una actitud consciente, diligente y proactiva por parte de los
Responsables de Tratamiento en relación a los tratamientos de datos personales que
lleven a cabo.
41
El responsable de tratamiento está obligado a demostrar que cumple con las obligaciones
y requisitos exigidos en el Reglamento, entre las nuevas obligaciones están:
• Registro de actividades de tratamiento
• Medidas de Protección de Datos desde el Diseño
• Medidas de Protección de Datos por Defecto
• Medidas de seguridad adecuadas
• Análisis de Riesgos
• Evaluaciones de Impacto
• Autorización previa o consultas previas al tratamiento con la Autoridad de Control
• Delegado Protección de Datos
• Notificación de Quiebras de Seguridad
• Códigos de conducta y esquemas de certificación
• Transparencia e información al interesado
• Consentimiento inequívoco y explícito
• Bases de legitimación para el tratamiento de los datos
• Nuevos derechos del titular de los datos
• Responsabilidad en la elección de Encargados de Tratamiento
Como ya hemos comentado, el Reglamento promueve la adhesión a códigos de conducta

o mecanismos de certificación, que sirven para demostrar que se cumplen los requisitos
establecidos en el mismo.
Ejemplo:
Algunos de los códigos tipo a los que podemos acogernos son:
 Fichero Prevención del fraude en seguros
 Entidades de gestión de cobro
 Organizaciones sanitarias
 ASNEF
 Automóviles, pérdida total, robo o incendio
 Intermediación Inmobiliaria
 Confianza On-line
 Odontólogos y Estomatólogos
 etc.
ELABORACIÓN Y CONTENIDO DEL DOCUMENTO DE SEGURIDAD

ANÁLISIS DE RIESGOS
Un Análisis de riesgos va a permitir, antes de poner en marcha un servicio o producto,
identificar los problemas y prevenir problemas futuros que puedan dañar la
confidencialidad y honor de las personas físicas.
Debemos identificar, antes de que se materialicen, los riesgos de un producto o servicio

para la protección de datos.
El responsable del tratamiento que realiza o desea realizar actividades de tratamiento

con datos personales, debe establecer procedimientos de control que garanticen cumplir
42
los principios de protección desde el diseño y por defecto, recordad el principio de

responsabilidad proactiva “accountability”.
Aclaración:
El análisis de riesgos se centra en las amenazas sobre los derechos y libertades de las
personas no sobre los riesgos de la empresa, del responsable de tratamiento. Se trata
de establecer hasta qué punto una actividad de tratamiento, por sus características, el
tipo de datos a los que se refiere o el tipo de operaciones puede causar un daño a los
interesados.
Al diseñar y desarrollar aplicaciones, servicios y productos que están basados en el

tratamiento de datos personales, debemos adelantarnos al producto final, para ello
debemos diseñar y utilizar un modelo flexible (flexible porque debe estar presente antes
y durante el proyecto) de análisis del producto y/o servicio que vamos a desarrollar,
basado en los siguientes puntos o fases:
1. ¿Es necesario?
Para saber si necesitamos realizar un Análisis de riesgos debemos relazar una serie de
preguntas, cuya conclusión nos ayudará a saber si realmente es necesario, sobre todo
cuando no contemos con un DPO.
Las preguntas que debemos hacernos serán similares a las siguientes:

• ¿Se van a recabar datos de carácter personal?
• ¿Se van a recabar datos que puedan entrañar un alto riesgo como salud,
geolocalización?
• ¿Se van a dar diferentes finalidades a los datos recogidos?
• ¿Se comunicarán datos personales a terceros o a quien no ha tenido acceso a
la información?
• ¿Va a utilizarse tecnología que puede ser considerada como invasiva para la
privacidad?
• ¿Se va a contactar con titulares de los datos que no tienen relación comercial
o contractual con nosotros?
• ¿Disponemos de medios y recursos para garantizar la confidencialidad de los
datos?

Se trata de conocer cómo se van a recabar los datos de carácter personal, para qué se
van a utilizar, con qué finalidad, y quién tiene acceso a la misma.
Las preguntas que debemos hacernos serán similares a las siguientes:

• ¿De qué informo al recoger los datos?
• ¿Dónde, cuándo y por qué realizo el tratamiento de los datos?
• ¿Tengo apoyo jurídico para tratarlos?
• ¿Me estoy adaptando a los principios del tratamiento de datos?
• ¿Se anonimizan datos?
• ¿Durante cuánto tiempo almaceno estos datos?
• ¿Realizo transferencias internacionales?
43
• ¿Solicito el consentimiento únicamente para mi empresa o también para

terceros?
3. Identificar los riesgos que afecten a la privacidad de los datos de los interesados o
titulares de los datos
Los riesgos que afectan al interesado serán aquellos que puedan ocasionar daños en la
confidencialidad de los datos del mismo, tales como:
• Comunicar datos a terceros cuando no sea necesario,
• No disponer de procedimientos de seguridad adecuados.
• Mantener los datos más tiempo que el estrictamente necesario para la
finalidad que se recogieron.
4. Finalidad, Calidad y Mantenimiento de los datos

Los datos personales serán usados únicamente para la finalidad para la cual han sido
recabados, nunca para una finalidad que sea incompatible, definir las finalidades y
mantenerlos el tiempo necesario.
• ¿Los datos que solicitamos son los necesarios?
• ¿Solicitamos datos adecuados para el tratamiento que vamos a realizar?
• ¿Se van a recabar datos que no van a ser utilizados?
• ¿Durante cuánto tiempo se van a almacenar los datos?
• ¿Qué vamos a hacer con los datos cuando no sean necesarios?

Debemos garantizar los derechos de los usuarios, por tanto, debemos analizar la gestión
de los mismos:
• ¿Sobre qué soportes se recogen datos?
• ¿Cómo vamos a informar sobre los derechos?
• ¿Damos la posibilidad de que el interesado ejerza automatizadamente los
derechos?
• ¿Cómo y quién va a recepcionarlos?
Todo proyecto relacionado con el tratamiento de datos personales debe disponer de
medidas de seguridad, el responsable de tratamiento es el encargado de implantar las
mismas, adoptando las medidas técnicas y organizativas adecuadas y apropiadas para
garantizar el nivel de seguridad adecuado a la categoría de los datos, tales como:
1. La seudonimización.
2. El cifrado.
3. Disponibilidad y resistencia de los sistemas que tratan los datos.
4. La capacidad de restaurar la disponibilidad en caso de incidencia.
5. Implantar un proceso de verificación y evaluación de las medidas de seguridad.
Debemos preguntarnos:
• ¿Cuáles son las medidas de seguridad para evitar accesos no autorizados a los
equipos, red, teléfonos móviles, tablets, servidores, accesos remotos?
• ¿Cuáles son las medidas de seguridad para evitar accesos no autorizados a
espacios físicos donde se almacenan datos personales?
44
• ¿Se ha informado y formado al personal sobre procedimientos de seguridad?

• ¿Cómo se realizarán las copias de seguridad?
• ¿Qué medidas de seguridad implantamos al as copias de seguridad?
7. Transferencias internacionales
Por último, si nuestro proyecto prevé transferencias de datos a terceros países, debemos
preguntarnos por la finalidad.
• ¿El producto o servicio requiere transferir datos a países que forman parte del
Espacio Económico Europeo?
• ¿El producto o servicio requiere transferir datos a países que no forman parte
del Espacio Económico Europeo?
• ¿Cómo se garantiza la protección de datos de los interesados en el país
receptor?
• ¿Cómo vamos a informar al os interesados?
REGISTRO DE OPERACIONES
En la actual LOPD se establece como primera obligación de la notificación de ficheros.
En esta nueva normativa europea se considera que la obligación general de notificar el

tratamiento de datos personales a las autoridades de control no contribuyó en todos los
casos a mejorar la protección de los datos personales.
Los responsables y encargados están obligados a cooperar con la autoridad de control y

a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir
para supervisar las operaciones de tratamiento.
Para facilitar el Registro de Operaciones, podemos partir del anterior Registro de Ficheros
que se supone debemos tener notificados en el Registro General de la Agencia Española
de Protección de Datos.
Aclaración:
El registro debe costar siempre por escrito aunque también se consideras válidos en
formato electrónico.
El contenido de registro de operaciones debe contener:

RESPONSABILIDAD
Campo Descripción
Responsable del Nombre y datos de contacto del responsable y, en su caso, del corresponsable o
tratamiento del representante del responsable.
Delegado de Nombre y datos de contacto del Delegado de Protección de Datos.
Protección de Datos
45
DESCRIPCIÓN DE LA ACTIVIDAD DE TRATAMIENTO Y DE LOS DATOS TRATADOS

Campo Descripción
Conjunto de operaciones, procesos o procedimientos, automatizados o
Actividad de
manuales, que conlleve la recogida, consulta, grabación, modificación, cesión o
Tratamiento
destrucción de datos de carácter personal.
Descripción de los fines explícitos y la base jurídica en virtud de los cuales el
Finalidad Responsable del tratamiento procede a la realización de las actividades de
tratamiento sobre datos personales.
Categorías de personas físicas identificadas o identificables a quien corresponden
los datos personales que son tratados:
Interesados
Clientes, proveedores, empleados, pacientes, alumnos,
Concursantes, junta directiva, socios, videovigilancia…
Detalle de los datos objeto del tratamiento en función de su clasificación:
Datos identificativos (nombre, DNI, dirección, …)
Datos financieros (cuenta bancaria, solvencia, …)
Datos profesionales (profesión, experiencia, …)
Categorías de datos
Datos de salud (enfermedades, alergias, …)
Datos ideológicos y políticos
Datos de menores (herencia, seguros, …)
Otros tipos de datos: especificar qué datos.
TRANSFERENCIAS Y CESIONES
Campo Descripción
Categorías de destinatarios a quienes se comunicaron o se comunicarán los datos
Cesiones personales, incluidos los destinatarios en terceros países u organizaciones
internacionales.
Identificación de transferencias internacionales de los datos.
Se debe identificar a dicho tercer país u organización internacional junto a la base
jurídica que la hace posible en ausencia de una decisión de adecuación o de
garantía adecuadas:
 Consentimiento explícito del interesado a la transferencia.
 Transferencia necesaria para la ejecución de un contrato entre el interesado
y el responsable del tratamiento.
Transferencias  Transferencia necesaria para la celebración o ejecución de un contrato, en
Internacionales de interés del interesado, entre el responsable del tratamiento y otra persona
Datos física o jurídica.
 Transferencia necesaria por razones importantes de interés público.
 Transferencia necesaria para la formulación, el ejercicio o la defensa de
reclamaciones.
 Transferencia necesaria para proteger los intereses vitales del interesado o
de otras personas.
Si fuese de aplicación, medidas y garantías adecuadas adoptadas.

Periodo de Indicador de los plazos de conservación de la información establecidos en
conservación función del tratamiento, la finalidad, la categoría del dato y las leyes establecidas.
46
MEDIDAS DE SEGURIDAD
Campo Descripción
Descripción general de las medidas técnicas y organizativas de seguridad, como:
 Seudonimización y cifrado de datos personales.
 Capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento.
Medidas de
 Restaurar la disponibilidad y el acceso a los datos personales de forma
Seguridad
rápida en caso de incidente físico o técnico.
 Proceso de verificación, evaluación y valoración regulares de la eficacia de
las medidas técnicas y organizativas para garantizar la seguridad del
tratamiento.
MEDIDAS A IMPLANTAR
El principio de seguridad de datos establecido en la Directiva 95/46 sigue vigente en el
Reglamento, por el cual impone al responsable y encargado de tratamiento adoptar las
medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los
datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no
autorizado durante toda la vida del dato.
Las medidas de seguridad deben estar presentes en todas las fases del tratamiento:
obtención, acceso y tratamiento, comunicación, cesiones y transferencias, transportes,
entrada y salida, conservación y supresión.
ACTUACIÓN MEDIDAS DE SEGURIDAD

Obtención Información y consentimiento en la recogida de datos, automatizados o no.
Control de acceso a equipos, dominio, red.
Acceso y Control mediante Identificación y autenticación.
tratamiento Control de acceso a locales, archivos, almacenes con soportes
automatizados o no de datos.
Comunicaciones, Gestión entidades con acceso a datos; contratación y supervisión de
cesiones y encargados de tratamiento.
transferencias Consentimiento para Transferencias internacionales.
Transporte, entrada Autorizaciones de entrada y salida de soportes con datos.
y salida Control para el transporte de datos.
Procedimientos para la conservación.
Conservación
Realización de copias de seguridad/respaldo.
Procedimientos de destrucción.
Supresión
Mecanismos de seudonimización.
Recomendamos la elaboración y documentación de las medidas de seguridad,

procedimientos y protocolos mediante un documento de seguridad (como se hacía en la
LOPD), que recoja todos los procedimientos que garanticen el cumplimiento del
Reglamento.
El documento debe contener:

 Registro de operaciones con los requisitos comentados anteriormente.
47
 Medidas de seguridad informáticas, como:

o Controles de acceso a los soportes.
o Contraseñas, creación y distribución.
o Copias de seguridad y restauración.
o Destrucción de soportes automatizados, cómo realizarlo (informar y
solicitar autorización), medios para hacerlo, dónde depositarlo
(contenedores).
o Sistema de seguridad por videovigilancia.
 Medidas de seguridad físicas, como
o Control de acceso a las instalaciones (locales, departamentos, almacenes),
llave, código o huella (¡ojo! dato biométrico).
o Procedimientos de los archivadores, dónde colocarlos.
o Seguridad en soportes no automatizados, cómo y cuál.
o Destrucción de soportes, cómo realizarlo (informar y solicitar
autorización), medios para hacerlo (destructoras de papel), dónde
depositarlo (contenedores).
 Medidas de seguridad organizativas, como:
o Elaborar las cláusulas informativas para la recogida y tratamiento de los
datos solicitados al interesado o titular de lo datos.
o Informar al personal de los procedimientos de seguridad que se deben
llevar a cabo para cumplir el Reglamento.
o Gestión de proveedores con acceso o no a datos: encargados de
tratamiento.
o Elaborar y facilitar contratos de prestación de servicios con encargados de
tratamiento.
o Conocer y gestionar incidencias o violaciones de seguridad.
o Autorizaciones para la entrada y salida de soportes automatizados o no.
o Inventario de soportes.
o Usuarios con acceso a ficheros de datos, soportes, aplicaciones, locales.
o Gestión de derechos.
Aclaración:
En definitiva, debemos concienciarnos de que la pérdida o descontrol de datos de
carácter personal supone vulnerar el derecho fundamental a la protección de datos del
interesado y, por tanto, a fin de evitar tal vulneración y la imposición de una sanción,
debemos proteger los datos. No se trata de una buena conducta, sino de una obligación
impuesta legalmente, por ello Es muy importante concienciar al personal sobre la
importancia de los datos con los que trabajan, de sus obligaciones y de las consecuencias
de no realizarlo correctamente.
EVALUACIÓN DE IMPACTO
¿Qué es?
La Evaluación de Impacto en Protección de Datos “EIPD” es una evaluación o mecanismo
con carácter preventivo que debe realizar el responsable del tratamiento para poder
identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de
tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas.
48
En la práctica, la EIPD permite determinar el nivel de riesgo que entraña un tratamiento,

con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo
hasta un nivel considerado aceptable.
Aclaración:
Todas las empresas, sin excepción, deben analizar las vulnerabilidades de seguridad y
potenciales brechas de seguridad, con la finalidad de implementar las mejores soluciones
destinadas a impedir la perdida de confidencialidad de los datos personales.
Debemos entender una EIPD como un proceso constante de mejora, por ello ante
cualquier cambio, modificación, actualización o incidencias que puedan generar nuevos
riesgos, se debe realizar una nueva evaluación de impacto, generando el informe
correspondiente y tomando las acciones y medidas de control necesarias.
En caso de que no generen nuevas amenazas y riesgos sobre los derechos y libertades de
los interesados, igualmente se debe realizar una valoración de los cambios producidos y
documentar claramente la no necesidad de implantar nuevas medidas de control
adicionales.
Aclaración:
Este análisis, así como la selección de las soluciones, debe realizarse teniendo en cuenta
el estado de la técnica. Es decir, deben implementarse medidas de seguridad avanzadas,
nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos
actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.
¿Quién es el responsable de la realización?

Una vez que sabemos qué es un EIPD y cuando realizarla, debemos designar al
responsable de la misma.
El responsable de realizar una EIPD es el responsable del tratamiento, si bien, el Delegado
de Protección de Datos “DPO”, prestará su asesoramiento necesario para el adecuado
desarrollo de la ejecución de la EIPD.
Aclaración:
La participación del Delegado de Protección de Datos en la elaboración debe
entenderse como una función de asesoramiento, considerando que el DPD, entre sus
funciones, debe responder a las consultas que surjan y monitorizar el proceso.
No solo el vamos a tener la participación del DPO, sino que también intervendrán (donde
existan) otros perfiles con diferentes roles y responsabilidades que estarán involucrados
en el producto, servicio, aplicación que trate datos personales o que por su conocimiento
puedan aportar valor a la EIPD; personal encargado de la seguridad, el área de tecnología,
área jurídica, recursos humanos o incluso diferentes responsables de distintas áreas
implicadas en el tratamiento pueden ser requeridas durante el proceso de evaluación.
¿Quién es el responsable de la ejecución?

Una EIPD, puede realizarse por personal interno o externo del responsable de
tratamiento, sin que esto exima del cumplimiento de sus obligaciones al mismo, que debe
49
asegurar que esta se haga de forma adecuada y se implanten los controles y medidas de
control resultantes de la evaluación.
A nivel interno del responsable de tratamiento (de la empresa), es necesario la

colaboración y comunicación interna de los departamentos o áreas involucradas en el
tratamiento de los datos, con la finalidad de que puedan facilitar información relevante
sobre el ciclo de vida de so datos, de ésta manera tendremos una visión más completa
del flujo de información de los datos.
¿Cuándo es necesario hacer una Evaluación de Impacto?

Los supuestos que establece el Reglamento ya los hemos comentado, pero vamos a
recordarlos:
 Decisiones automatizadas, que originen efectos jurídicos hacia el interesado
(persona a quien corresponden los datos personales) o le afecte
significativamente.
 Tratamientos a gran escala de categorías especiales de datos o de datos
personales relativos a condenas e infracciones penales o medidas de seguridad
conexas.
 Observación sistemática a gran escala de una zona de acceso público.
 Operaciones que, a criterio de la autoridad de control competente, impliquen un
alto riesgo para los derechos de los interesados.
 Cualquier tratamiento de datos que, por su naturaleza, alcance, contexto o fines,
implique un alto riesgo para los derechos y libertades de las personas físicas, y en
particular si utiliza nuevas tecnologías.
Ejemplo:
Cuando se modifique, actualice y/o enriquezca la información existente de personas mediante
la recogida de nuevas categorías de datos o se usen las existentes con nuevas finalidades o en
formas que antes no se usaban, en particular, si los nuevos usos o finalidades son más
intrusivos o inesperados para los afectados.
Ejemplo:
Cuando se lleve a cabo un tratamiento significativo no incidental de datos de menores o
dirigido especialmente a tratar datos de estos, en particular si tienen menos de catorce años.
Ejemplo:
Cuando se vaya a llevar a cabo un tratamiento destinado a evaluar o predecir aspectos
personales relevantes de los afectados (su estado de salud, fiabilidad o adecuación para tareas
determinadas, situación financiera, laboral, social (en particular, en relación con la concesión
de beneficios o subsidios), familiar (estructura familiar, datos de menores…), su ideología,
creencias, formación, gustos, aficiones, compras, etc) , su comportamiento, su
encuadramiento en perfiles determinados para cualquier finalidad (publicidad personalizada)
, encaminado a tomar medidas que produzcan efectos jurídicos que los atañen o los afectan
significativamente y, en particular, cuando establezcan diferencias de trato o trato
discriminatorio(Especialmente cuando se vayan a tomar decisiones que afectan de manera
significativa a determinados colectivos o individuos, que establezcan diferencias entre ellos o
puedan comportar un riesgo de discriminación de cualquier tipo (económica, social, política,
50
racial, sexual, etc.) como, por ejemplo, la concesión o denegación de un determinado beneficio
social, el ajuste de tarifas o precios o la oferta diferenciada de productos o servicios en función
de los datos personales que se traten) o que puedan afectar a su dignidad o su integridad
personal (a través de la monitorización y el análisis de la conducta de las personas, como:
historiales de navegación y actividades en internet, comunicaciones, movimientos, historiales
de lectura, compras, transacciones electrónicas, participación en foros, redes sociales, blogs o
cualquier otra actividad en línea)
Ejemplo:
Cuando se traten grandes volúmenes de datos personales a través de tecnologías como la de
datos masivos (Big data), internet de las cosas o el desarrollo y la construcción de ciudades
inteligentes.
Ejemplo:
Cuando se vayan a utilizar tecnologías que se consideran especialmente invasivas con la
privacidad como la videovigilancia a gran escala, la utilización de aeronaves no tripuladas
(drones), la vigilancia electrónica, la minería de datos, la biometría, las técnicas genéticas, la
geolocalización, o la utilización de etiquetas de radiofrecuencia (especialmente, si forman
parte de la llamada internet de las cosas) o cualesquiera otras que puedan desarrollarse en el
futuro.
Ejemplo:
Cuando el tratamiento afecte a un número elevado de personas o, alternativa o
adicionalmente, se produzca la acumulación de gran cantidad de datos respecto de los
interesados.
Ejemplo:
Cuando se cedan o comuniquen los datos personales a terceros y, en particular, siempre que
se pongan en marcha nuevas iniciativas que supongan compartir datos personales con
terceros que antes no tenían acceso a ellos, ya sea entregándolos, recibiéndolos o
poniéndolos en común de cualquier forma.
Ejemplo:
Cuando se vayan a transferir los datos a países que no forman parte del Espacio Económico
Europeo (Los Estados miembros de la UE además de Islandia, Liechtenstein y Noruega. Las
transferencias a terceros países declarados adecuados por la Comisión Europea o la Agencia
Española de Protección de Datos, aun implicando riesgos menores, suponen, en cualquier caso,
el que los datos personales se traten en una jurisdicción con un sistema de garantías menor
que el de los Estados miembros del Espacio Económico Europeo) y que no hayan sido objeto
de una declaración de adecuación por parte de la Comisión Europea o de la Agencia Española
de Protección de Datos.
Ejemplo:
Cuando se vayan a utilizar formas de contactar con las personas afectadas que se podrían
considerar especialmente intrusivas.
51
Ejemplo:
Cuando se vayan a utilizar datos personales no disociados o no anonimizados de forma
irreversible con fines estadísticos, históricos o de investigación científica.
Ejemplo,
Cuando la recogida tenga como finalidad el tratamiento sistemático y masivo de datos
especialmente protegidos.
FASES DE LA EVALUACIÓN DE IMPACTO

Partimos de la necesidad de realizar una EIPD, si bien, debemos recordar que en
pequeñas o medianas empresas o en aquellas cuya actividad no suponga un tratamiento
masivo de datos de carácter personal o no esté orientada a la explotación de los mismos
con finalidades que supongan una invasión importante de la privacidad, sería posible
optar por una aproximación menos formalizada que, teniendo en cuenta los principios
básicos detallados, implique una reflexión seria y responsable sobre los tratamientos de
datos personales que se vayan a efectuar y, así, detectar y minimizar los riesgos para los
derechos de los afectados que los mismos pudieran entrañar.
En la realización de una EIPD se distinguen diversas fases:
52
Descripción del proyecto y los flujos de información

En esta fase debemos realizar un análisis en profundidad del proyecto, obteniendo el
detalle de las categorías de datos que se tratan, los usuarios de los mismos, los flujos de
información y las tecnologías utilizadas.
Esta fase es fundamental, dado que la correcta categoría de los datos es crucial para
identificar los riesgos en el tratamiento y actividad del responsable de tratamiento.
El contenido de esta fase nos devolverá información, entre otras, sobre los objetivos y
finalidades, los actores implicados, las categorías de datos que se tratarán, las tecnologías
utilizadas, las comunicaciones a terceros, la necesidad de utilizar o no todos los datos
previstos, la necesidad que tienen los participantes de acceder y utilizar datos personales
o categorías de datos personales específicas.
El ciclo de vida de los datos se puede dividir en las siguientes etapas:

 Captura de datos: Proceso de obtención de datos para su almacenamiento y
posterior procesado.
Ejemplo:
Captura de datos mediante formularios web, redes sociales, landing, papel,
encuestas, videograbación (audio y video), huella dactilar, iris (datos
biométricos) fuentes externas o públicas como redes sociales, sensores…
 Clasificación / Almacenamiento: Establecer categorías y asignarlas a los datos para

su clasificación y almacenamiento en los sistemas o archivos.
 Uso / Tratamiento: Operación o conjunto de operaciones realizadas sobre datos
personales o conjuntos de datos personales, ya sea por procedimientos de los
datos automatizados o manuales.
 Cesión de los datos a un tercero para su tratamiento: Comunicación de datos
realizada a un tercero (toda persona física o jurídica, pública o privada u órgano
administrativo).
El concepto de cesión o comunicación es muy amplio, puesto que la revelación
recoge tanto la entrega, comunicación, consulta, interconexión, transferencia,
difusión o cualquier otra forma que facilite el acceso a los datos.
 Destrucción: Eliminar los datos que puedan estar contenidos en los sistemas o
archivos, de manera que no puedan ser recuperados de los soportes.
Analizar la necesidad y proporcionalidad del tratamiento

Analizar la necesidad es tan simple como saber si es necesario hacer el tratamiento con
esos datos para conseguir ese fin, por tanto, vamos a hacernos las siguientes preguntas:
1. ¿Qué datos vamos a tratar?
2. ¿Son necesarios todos los datos?
3. ¿Quién facilita los datos, de quién son?
4. ¿Qué finalidad vamos a dar a los datos?
Una vez que tenemos claro los datos y finalidades, debemos analizar la base que legitima
el tratamiento de los datos, recordemos cuales son:
53
o Consentimiento del interesado, que se cuente con el consentimiento del

interesado para los fines específicos del tratamiento.
o Ejecución de un contrato, que sea necesario para la ejecución de un contrato
donde el interesado es parte o para la aplicación a petición de este de medidas
precontractuales.
o Cumplimiento de una obligación, que el tratamiento sea necesario para el
cumplimiento de una obligación por parte del responsable del tratamiento.
o Que el tratamiento sea necesario para proteger intereses vitales del interesado o
de otra persona física.
o Que el tratamiento sea necesario para el cumplimiento de una misión realizada
en interés público o en el ejercicio de poderes públicos conferidos al responsable
del tratamiento.
o Que el tratamiento sea necesario para la satisfacción de intereses legítimos
perseguidos por el responsable del tratamiento o por un tercero, siempre que
sobre dichos intereses no prevalezcan los intereses o los derechos y libertades
fundamentales del interesado que requieran la protección de datos personales,
en particular cuando el interesado sea un niño.
Aclaración:
Recordemos que cuando la base de licitud del tratamiento es el consentimiento del
interesado, el responsable del tratamiento debe poder garantizar y demostrar que ha
obtenido el consentimiento inequívoco y explícito.
La proporcionalidad, recordemos que los datos deben ser “adecuados, pertinentes y

limitados en relación al fin para lo que serán tratados”, por tanto la proporcionalidad
tiene que ver con evaluar y comprobar si un tratamiento de datos supone una medida
restrictiva de un derecho fundamental de las personas, dicha evaluación tiene que
superar los tres puntos del llamado juicio de proporcionalidad:
 Juicio de idoneidad
Que la medida pueda conseguir el objetivo propuesto.
 Juicio de necesidad
Si es necesaria, es decir, si no existe otra medida menos intrusiva o más moderada
para conseguir el propósito con la misma eficacia.
 Juicio de proporcionalidad en sentido estricto
Si la medida es equilibrada, porque se derivan más beneficios o ventajas para el
interés general que no perjuicios sobre otros bienes o valores en conflicto.
Aclaración:
Por lo tanto, la proporcionalidad tiene que ver con evaluar si la finalidad que se persigue
se puede conseguir por otros medios, por ejemplo: usando otros datos o menos datos,
reduciendo el colectivo de personas afectadas (cuantitativamente o cualitativamente
hablando), usando otras tecnologías menos invasivas o aplicando otros procedimientos
o medios de tratamiento modificando los inicialmente previstos, etc.
54
Evaluar los riesgos que afecten a la privacidad

¿Qué es un riesgo? Es la combinación de la posibilidad de que se suceda una amenaza y
las consecuencias e impacto que tiene.
En esta fase se deben analizar los posibles riesgos para la protección de datos de las
personas, así como valorar la probabilidad de que exista el riesgo y el impacto del mismo.
Los riesgos pueden ser de dos tipos:

1. El que afecta a las personas cuyos datos son tratados y que se concreta en la
posible violación de sus derechos, la pérdida de información necesaria o el daño
causado por una utilización ilícita o fraudulenta de los mismos.
2. El que afecta al responsable de tratamiento por no haber implantado una
correcta política de protección de datos o por haberlo hecho de forma descuidada
o con recursos obsoletos, sin poner en marcha mecanismos de planificación,
implantación, verificación y corrección eficaces.
Por tanto para evaluar correctamente un riesgo debemos:

1. Identificar el origen de los riesgos.
Ejemplo:
Datos de personas en equipos informáticos es un escenario puede implicar un riesgo
2. Análisis de las situaciones que generan riesgo.

Ejemplo:
No disponer de medidas de seguridad como usuario y contraseña o el acceso no
autorizado al equipo informático es una situación que genera un riesgo para las
libertades de las personas cuyos datos se encuentran almacenados en el equipo
informático.
3. Valorar los riesgos.

Ejemplo
El riego de acceso no autorizado a datos si no disponemos de medidas de seguridad,
tiene una probabilidad alta de que se produzca y por tanto su impacto también será
alto.
Basándonos en el ejemplo anterior, veamos que es la amenaza, el riesgo y el impacto:

La no implantación de medidas de seguridad de acceso a equipos informáticos y la posible
fuga de información es la AMENAZA, que puede dar lugar al acceso a datos por parte de
personal no autorizado, cuya consecuencia, puede producir una vulneración de los
derechos y libertades de los interesados, un RIESGO, lo que podría derivar en un posible
daño moral sobre el interesado y económico sobre el responsable de tratamiento, el
IMPACTO.
Tratar los riesgos y establecer soluciones

Una vez evaluados los riesgos, debemos tratarlos con las medidas de control necesarias
para eliminar, mitigar, transferir o aceptar los riesgos detectados.
55
Aclaración
A veces no tiene por qué eliminarse completamente el riesgo, sino reducirlos a un nivel
de riesgo mínimo que permita para la organización la implementación del producto,
servicio o tratamiento de datos personales.
Las medidas de control, pueden ser de varios tipos:

 Organizativas: medidas asociadas a procedimientos dentro de la organización, del
responsable de tratamiento, como procedimientos de atención de los derechos,
incidencias, autorizaciones de entrada y salida de soportes, recogida y
tratamiento de curriculas.
 Legales: como imaginaréis son medidas relacionadas al cumplimiento de la
norma, Ley o en el caso que nos ocupa del Reglamento europeo 2016/679 de
Protección de Datos, como las cláusulas informativas y de consentimiento para
recogida de datos, contratos de prestaciones de servicios por acceso a ficheros
de datos de proveedores, etc.
 Técnicas: medidas que permitan dotar de seguridad física y lógica a los activos de
la empresa, como controles de acceso, usuarios y contraseñas, cifrado de
ficheros, etc.
Según el riesgo identificado, debemos valorar la posibilidad de desarrollar medidas de

seguridad y soluciones, por ejemplo:
 No recabar o almacenar determinados tipos de datos que suponen un alto riesgo
o que no son necesarios para la finalidad.
 Establecer el período máximo de almacenamiento.
 Establecer un procedimiento de destrucción de los datos una vez cumplido el
plazo anterior.
 Implementar las medidas de seguridad que aseguren la privacidad de los datos.
 Formar e informar al personal en relación a los procedimientos de seguridad que
debemos cumplir para garantizar la privacidad de los datos.
 Poner en práctica procedimiento de anonimización de los datos como la
seudodimización.
 Garantizar el ejercicio de los derechos.
 Establecer protocolos en caso de cesiones de datos personales.
 Establecer protocolos en caso de incidencias de seguridad.
 Adoptar las medidas necesarias para que los afectados sepan para qué se recaban
los datos personales, y que en caso de duda, puedan contactar con el responsable
de tratamiento para, de esta forma, recibir las aclaraciones pertinentes
Plan de acción y conclusiones

La última fase es elaborar un plan de acción donde se describan todas las medidas de
control e iniciativas que se deben llevar a cabo para implantar las medidas que ayuden a
reducir el riesgo o eliminarlos.
El informe debe ser redactado utilizando un lenguaje lo más claro y transparente posible,
evitando el uso tecnicismos legales y/o tecnológicos, permitiendo su comprensión a
todos los destinatarios del mismo. Para mejorar aún mas su compresión, podemos incluir
56
un glosario con las definiciones y no dar por supuesto que cualquier lector los conoce con
precisión.
El informe final debe ser remitido a la alta dirección del responsable de tratamiento para
que tome las decisiones necesarias en relación con las recomendaciones realizadas y las
medidas sugeridas.
Aclaración:
Puede ocurrir que existan riesgos que no sólo sean inaceptables sino que, incluso, no
se puedan eliminar, por lo que sería necesario estudiar la viabilidad del proyecto,
servicio o tratamiento de datos, o no directamente, no llevarlo a cabo.
Un plan de acción y conclusiones, debe contener la siguiente información:

• Descripción del responsable, intervinientes y recursos necesarios para las
operaciones que se van a llevar a cabo.
• Las medidas, operaciones y procedimientos que se van a realizar para hacer
frente a los riesgos y amenazas.
• Garantías, medidas de seguridad y mecanismos destinados a garantizar la
protección de datos personales y a demostrar la conformidad con el
reglamento, teniendo en cuenta los derechos e intereses legítimos de los
interesados y de otras personas afectadas.
• Plazo para la implantación de las medidas.
El informe final puede publicarse/divulgarse que para dar una mayor transparencia y que
los afectados sepan cómo afecta el producto, servicio o tratamiento, a su privacidad.
Además, esta publicación puede servir como estrategia de marketing de la empresa,
organización o Administración pública.
Supervisar y revisar la implantación

Para comprobar la efectividad de la EIPD y verificar si se han realizado los procedimientos
o si se han aparecido nuevos riesgos o detectado otros que habían pasado
desapercibidos, debemos hacer una tarea tan importante como las fases anteriores, la
supervisión, revisión y auditoria del proyecto, servicio o aplicación, en definitiva, del
tratamiento de los datos.
TRATAMIENTO SIN IDENTIFICACIÓN DEL INTERESADO (SEUDONIMIZACIÓN)

A lo largo del curso, así como el Reglamento, se menciona con asiduidad el criterio
seudonimización,
¿Qué es la seudonimización? Es la información que, sin incluir los datos que puedan
identificar de manera directa a una persona, sí que potencialmente permiten, a través de
la asociación con información adicional, determinar quién es la persona que está tras los
datos seudonimizados.
57
Por tanto, la seudonimización de datos, es una técnica de tratamiento de los datos

personales, de forma que no se pueda reconocer la identidad de una persona sin utilizar
información adicional. Se trata de un método cuya finalidad es disminuir el vínculo que
hay, lo máximo posible, entre los datos y su propietario.
Es una sustitución en la información (se sustituyen diferentes datos por números, códigos
o cualquier otro componente diferenciador) sobre una persona de manera que, aún
correspondiendo a la misma persona, se dificulte el reconocimiento de la misma. Hay que
tener en cuenta que la seudonimización y protección de datos sean compatibles, se ha
de custodiar la información adicional que permite vincular la información adicional y el
titular del mismo.
Aclaración:
Seudonimización no es lo mismo que anonimato. La diferencia entre uno y otro radica
en que la anonimidad implica la imposibilidad de conectar los datos con la persona a
la que pertenecen. En el caso de la seudonimización, no es imposible conectar a la
persona con sus datos.
Para realizar la seudonimización, se utilizan técnicas tales como:

 Función hash: es una técnica irreversible. A través de una función criptográfica (hash)
se transforma cualquier bloque de datos en una serie de caracteres de la misma
longitud. Como se muestra a continuación dicha serie, por sí sola, no significa nada y
sin otra información adicional no puede ser leída.
Ejemplo:
Pongamos un nombre “más privacidad” obtenemos la siguiente función
hash: azd73020b29x1v300lpe36hñ9jq610c3c01gg09l33.
Si probamos a utilizar la misma palabra pero en mayúsculas obtendremos una
cadena distinta de caracteres.
 Cifrado con clave secreta: un cifrado de información normal y corriente. El poseedor

de la clave de desencriptación puede revertir el proceso en cualquier momento.
 Descomposición en tokens: mecanismo de cifrado unidireccional que consiste en
“esconder” la información bajo un número generado aleatoriamente y que no tenga
relación matemática con la información original.
 Función con clave almacenada: es una mezcla entre el primer y el segundo método.
 Cifrado determinista: generar un número aleatorio que sirva de seudónimo para un
conjunto de datos.
58
Tema 6 Procedimientos para la elección de Encargado del

Tratamiento
INTRODUCCIÓN
La mayoría de las empresas externalizan con proveedores servicios como la gestión
laboral, contable y fiscal para trabajadores, clientes (en clientes pensemos en todas
aquellas personas que tienen una relación contractual es decir también hablamos de
pacientes, alumnos, etc) proveedores (realización de nóminas, altas y bajas, asientos
contables, declaración de impuestos…), mantenimiento informático de los ordenadores,
servidores, de la red, marketing online, consultores ISO, mantenimiento de las
instalaciones y un largo etc.
Para realizar estas tareas, es imprescindible que los proveedores accedan y traten datos
personales que son responsabilidad del Encargado del tratamiento, es decir, de quien
contrata al proveedor.
Bien, resumamos, yo empresa, tengo datos de mis trabajadores, clientes, proveedores,

alumnos, pacientes… y se los estoy dando a una tercera empresa para que me preste el
servicio por el cual le contrato, ¿puedo hacerlo?, ¿debo informar a las personas que son
mis clientes, trabajadores etc, que estoy dando sus datos a una tercera empresa?, ¿me
pueden denunciar?.
La LOPD ya legislaba esta situación y obligaba a redactar y formalizar el llamado Contrato

de Prestación de Servicios, donde la empresa que contrata al proveedor le daba una serie
de instrucciones sobre cómo tratar los datos personales, indicaba el fichero del cual le
facilitaba información, la seguridad a implantar, en definitiva procedimientos para
garantizar el buen uso y confidencialidad de los datos personales.
Con la formalización de este Contrato de Prestación de Servicios, la empresa cliente

estaba cubierta ante el mal uso del proveedor en cuanto al tratamiento de los datos
personales, pero el nuevo Reglamento va más allá y ahora exige mayor responsabilidad
por parte de quien contrata al proveedor.
¿Recordáis la los términos Accountability y Privacy by Design, verdad?, pues aquí

tenemos otro claro ejemplo de cómo llevarlos a cabo.
Ahora somos responsables en la elección del proveedor Encargado del tratamiento y ya
no vale con redactar y formalizar el Contrato de Prestación de Servicios.
¿QUIÉN ES EL ENCARGADO DE TRATAMIENTO?

El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u
otro organismo que presta un servicio al responsable del tratamiento y conlleva el
tratamiento de datos personales por cuenta de éste.
¿Cuál es la diferencia entre Responsable de tratamiento y Encargado de tratamiento?

El Responsable del tratamiento es aquel que decide sobre la finalidad y los usos de la
información, mientras que el encargado del tratamiento debe cumplir con las
59
instrucciones que el Responsable del tratamiento le encarga en relación a un

determinado servicio.
Ejemplo:
Una empresa llamémosla X, tiene trabajadores y de acuerdo a las normativas debemos
realizar un tratamiento de datos y comunicaciones a organismos públicos para gestionar
correctamente la relación con los mismos.
La empresa X contrata a un tercero, gestoría laboral, llamémosla Y, la gestión de dichas

obligaciones.
El Responsable del tratamiento es X.

El Encargado del tratamiento es Y.
ELECCIÓN DEL ENCARGADO DEL TRATAMIENTO
ANTES AHORA
El Reglamento de Desarrollo de la Ley El RGPD, añade que el Responsable de
Orgánica de Protección Datos establecía la tratamiento debe adoptar medidas
necesidad de diligencia en la selección de apropiadas, incluida la elección del
encargados de tratamiento. encargado del tratamiento, de forma
que garantice y esté en condiciones de
demostrar que el tratamiento se realiza
conforme el RGPD
RESPONSABILIDAD ACTIVA
El Responsable del tratamiento debe elegir un encargado del tratamiento que ofrezca
garantías suficientes respecto al tratamiento de los datos y de la seguridad de las medidas
técnicas y organizativas, de acuerdo con lo establecido en el Reglamento, y que garantice
la protección de los derechos de las personas afectadas.
El encargado del tratamiento debe ofrecer suficientes garantías en lo referente a

conocimientos del Reglamento y la Protección de Datos, por ello:
1. Contratar solo aquellos que puedan acreditar conocimientos, fiabilidad y
recursos, de cara a la aplicación de medidas técnicas y organizativas que
cumplan los requisitos del presente Reglamento, incluida la seguridad del
tratamiento.
2. Que hayan informado y/o formado a su personal sobre los procedimientos
correspondientes para evitar la pérdida de confidencialidad de los datos
personales que van a tratar.
3. La valoración y acreditación de estos colaboradores debe incluirse en el
informe de impacto y el desarrollo del programa de privacidad por diseño.
Ejemplo:
Si queremos que un proveedor nos demuestre que cumple con el Reglamento y por
tanto nos ofrece las garantías suficientes para elegirlo como encargado del
60
tratamiento, podemos solicitarle información sobre la adhesión a códigos de

conducta o la posesión por parte de su Delegado en Protección de Datos “DPO”, del
certificado correspondiente emitido por una certificadora autorizada por la Autoridad
de Control.
Aclaración:
La responsabilidad última sobre el tratamiento sigue estando atribuida al
responsable, que es quien determina la existencia del tratamiento y su finalidad.
RESPONSABILIDADES Y OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO.

Ya sabemos que es responsabilidad del Responsable del tratamiento elegir un encargado
del tratamiento que ofrezca garantías suficientes, pero para poder verificar que el
encargado del tratamiento nos ofrece estas garantías, éste debe haber realizado una
serie de procedimientos y protocolos enfocados a la seguridad para poder acreditar que
cumplen el Reglamento.
Estamos hablando de que el encargado del tratamiento debe realizar una valoración o
análisis de riesgo sobre los datos y tratamientos que realiza con ellos, cuyo objetivo será
determinar las medidas de seguridad que debe implantar y aplicar.
La valoración o análisis de riesgos no es algo estático y varía en función de los datos que
tratamos, por tanto una valoración de riesgo principalmente se basa en:
• El tipo de datos que tratamos
• El tratamiento que se hace con el dato
• El número de interesados afectados
Por tanto, el encargado del tratamiento también tiene el deber de proteger los datos
personales en cualquier fase del tratamiento, desde el diseño del tratamiento y por
defecto durante todo el ciclo de vida del mismo: recogida, tratamiento, conservación y
supresión. También deberá garantizar un nivel de seguridad adecuado en relación con los
riesgos que entrañe el tratamiento.
Aclaración:
La valoración de riesgos, está orientada a determinar las medidas de seguridad técnicas
y organizativas para proteger los datos personales y garantizar los derechos y libertades
de los interesados.
CONTENIDO DEL CONTRATO DE ENCARGO DEL TRATAMIENTO.

La relación entre el responsable y el encargado del tratamiento debe regularse y
establecerse a través de un contrato o un acto jurídico similar. El contrato o acto jurídico
debe ser por escrito o en formato electrónico.
El contenido del contrato debe incluir los siguientes puntos:

A. Las instrucciones del responsable del tratamiento
B. El deber de confidencialidad
61
C. Las medidas de seguridad

D. Subcontratación
E. Los derechos de los interesados
F. La colaboración en el cumplimiento de las obligaciones del responsable
G. El destino de los datos al finalizar la prestación
H. La colaboración con el responsable para demostrar el cumplimiento
A.- Las instrucciones del responsable del tratamiento

Se trata de describir de forma concreta y precisa las instrucciones del Responsable
de tratamiento en relación a la prestación del servicio encargo:
o Identificar de forma clara y concreta el tratamiento a realizar por el
encargado del tratamiento.
o Identificar los datos que van a ser tratados y categoría.
o Identificar si hay transferencias internacionales de datos.
B.- El deber de confidencialidad

El encargado del tratamiento debe garantizar que las personas que puedan
acceder a los datos, están autorizados y han sido informados y/o formados sobre
los procedimientos necesarios para tratar datos personales y se han
comprometido, de forma expresa, a respetar la confidencialidad de los mismos y
a cumplir las medidas de seguridad correspondientes, de las que hay que
informarles.
Se tomarán medidas para garantizar que cualquier persona que actúe bajo la
autoridad del encargado del tratamiento sólo pueda tratarlos siguiendo
instrucciones del responsable, ni comunicarlos a terceras personas, salvo que
cuente con la autorización expresa del responsable del tratamiento, en los
supuestos legalmente admisibles o salvo que esté obligada a ello en virtud del
Derecho de la Unión o de los Estados miembros.
El cumplimiento de esta obligación debe quedar documentado y a disposición del
responsable del tratamiento.
Aclaración:
El deber de secreto se debe mantener incluso después de que finalice la
relación entre responsable y encargado de tratamiento.
C.- Las medidas de seguridad

Determinar las medidas de seguridad técnicas y organizativas apropiadas para
garantizar el nivel de seguridad adecuado al riesgo existente, como:
a) La seudoanimización y el cifrado de datos personales.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento.
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales
de forma rápida, en caso de incidente físico o técnico.
62
d) El proceso de verificación, evaluación y valoración regulares de la eficacia de

las medidas técnicas y organizativas para garantizar la seguridad del
tratamiento.
D.- Subcontratación
El contrato debe establecer, por si se da el caso, el régimen de subcontratación.
El Reglamento exige la autorización previa por escrito del responsable del
tratamiento para que el encargado del tratamiento pueda recurrir a otro
encargado (subencargado) para desarrollar el servicio encomendado, cuando
esto conlleve el tratamiento de los datos personales por parte de un tercero.
En todo caso, el subencargado del tratamiento debe estar sujeto a los mismos
requisitos de seguridad y confidencialidad que el encargado del tratamiento.
En caso de incumplimiento por el subencargado, el encargado inicial seguirá

siendo plenamente responsable ante el responsable del tratamiento en lo
referente al cumplimiento de las obligaciones del subencargado.
Aclaración:
Cuando sea aplicable la legislación de contratos del sector público, habrá
que tener en cuenta también las disposiciones específicas previstas en
dicha ley.
E.- Los derechos de los interesados

Hay que establecer la forma en la que el encargado del tratamiento asistirá al
responsable de tratamiento en el cumplimento de la obligación de responder a
las solicitudes que tengan por objeto el ejercicio de los derechos de los
interesados:
 Acceso a datos personales
 Rectificación Supresión (derecho al olvido)
 Limitación del tratamiento
 Portabilidad de datos
 Oposición
 A no ser objeto de decisiones individualizadas automatizadas (incluida la
elaboración de perfiles)
Aclaración:
El acuerdo deberá establecer de forma clara si corresponde al encargado
del tratamiento atender y dar respuesta a las solicitudes de estos derechos
F.- La colaboración en el cumplimiento de las obligaciones del responsable

Se debe establecer la forma en que el encargado ayudará al responsable a
garantizar el cumplimiento de las obligaciones relativas a la aplicación de las
medidas de seguridad que correspondan.
63
Ejemplo:
La notificación de violaciones de datos a la Autoridad de Control y a los
interesados, la realización de las evaluaciones de impacto relativa la
protección de datos y, en su caso, la realización de consultas previas.
G.- El destino de los datos al finalizar la prestación

Hay que prever si, una vez finalice la prestación de los servicios de tratamiento, el
encargado del tratamiento debe proceder a la supresión o a la devolución de los
datos personales y de cualquier copia existente, ya sea al responsable o a otro
encargado designado por el responsable.
El acuerdo debe establecer de forma clara cuál de las dos opciones es la elegida
por el responsable, así como la forma y el plazo en que debe cumplirse.
Aclaración:
El encargado puede conservar una copia con los datos debidamente
bloqueados, mientras puedan derivarse responsabilidades de la
ejecución de la prestación.
H.- La colaboración con el responsable para demostrar el cumplimiento

Es preciso establecer la obligación del encargado de poner a disposición del
responsable toda la información necesaria para demostrar el cumplimiento de las
obligaciones establecidas en el Reglamento.
Ejemplo:
Permitir y contribuir a la realización de auditorías, incluidas
inspecciones, realizadas por el responsable o por otro auditor
autorizado por el responsable.
ENCARGADO DE TRATAMIENTO SIN ACCESO A DATOS.

Habitualmente solemos pensar en proveedores que acceden a datos, pero también
existen proveedores de servicios que si bien no tratarán datos personales de manera
automatizada sistemática, si pueden acceder a ellos y por tanto se deben al deber de
cumplir y garantizar la seguridad y confidencialidad de los datos a los que puedan tener
acceso y por tanto también debemos formalizar la relación y cumplir de igual modo los
requisitos anteriormente comentados.
Estamos hablando de empresas de mantenimiento de las instalaciones tales como

fontanería, carpintería, limpieza, mantenimiento de impresoras, recogida de basura,
mensajerías y cualquier actividad y/o servicio por el cual accedan a las instalaciones de
nuestra empresa donde tengamos datos personales.
64
CORRESPONSABLE DEL TRATAMIENTO.

Cuando dos o más responsables determinen conjuntamente los objetivos y los medios
del tratamiento serán considerados corresponsables del tratamiento
Los Corresponsables deberán formalizar un acuerdo entre si para determinar sus

respectivas responsabilidades con el objetivo de cumplir las obligaciones que les exige el
Reglamento, es decir, se trata de establecer de qué tratamiento y obligaciones se ocupará
cada uno de los corresponsables.
Ejemplo:
Grupo de empresas donde más de una acceden y tratan datos del interesado para
prestarle el servicio solicitado.
El acuerdo deberá reflejar, como mínimo, lo siguiente:

• Las funciones de cada Corresponsable con respecto al tratamiento y a sus
relaciones con los interesados.
• Las responsabilidades de cada Corresponsable con respecto al Reglamento.
• Los procedimientos y mecanismos para el ejercicio de los derechos de los
interesados.
Los Corresponsables del Tratamiento, deben acordar quién debe actuar como punto
único de contacto para los interesados en el ejercicio de sus derechos, así como
determinar las funciones que deben ejercer cada uno de los Corresponsables y la relación
de cada uno de ellos con los Interesados. Independientemente de los términos del
acuerdo entre los Corresponsables, los Interesados podrán ejercer sus derechos frente a
cada uno de los Responsables.
Aclaración:
Se trata de repartir de mutuo acuerdo las responsabilidades relacionadas con el
cumplimiento de las obligaciones del Reglamento.
65
Tema 7 Elaboración de perfiles

INTRODUCCION
¿Os suena el Big Data? Estamos en la era de los datos, de los millones de datos que
circulan libremente por la red y son el oro de las empresas, ¿por qué?, porque permiten
a las empresas tener información particular de las personas, información
tremendamente valiosa sobre sus hábitos; qué ven, con menos o más asiduidad, que
sitios visitan, qué compran, que les gusta, a que producto dedican más tiempo cuando
navegan etc.
Seguramente recibe información comercial, publicidad, a través de medios electrónicos,

cada vez menos postal, incluso por whastapp aunque recordemos que esa práctica no es
legal, no por el RGPD, sino por las cláusulas contractuales de la aplicación, pero eso es
otro tema.
Como decíamos, recibimos publicidad, por teléfono (a horas intempestivas), por email,
por mensajería instantánea, de empresas con las que tenemos una relación, como el
banco, marca de nuestro vehículo, moto, bici, de marcas de ropa, de tecnología y de todas
aquellas empresas a las que les hemos facilitado los datos y no hemos chequeado la
casilla “no deseo recibir información comercial” o “no deseo que mis datos se cedan a las
empresas xxxx con fines comerciales” o no hemos hecho uso de nuestro derecho de
oposición.
Esta publicidad hasta no hace mucho, era la misma para todos, era global, pero desde
hace años la publicidad es particular, va dirigida a una persona concreta y se basa en la
navegación que hacemos a diario en Internet y las famosas cookies.
El avance de las nuevas tecnologías permite que muchos de los procesos de análisis de
datos ocurran sin que nos demos cuenta ni tengamos conocimiento de ello. En la mayoría
de los casos no somos conscientes de que se están tomando decisiones que nos afectan,
que están basadas exclusivamente en el tratamiento automatizado de los datos
personales.
El nuevo Reglamento busca protegernos de las consecuencias que puedan derivarse del
perfilado de usuarios o profiling si no se lleva a cabo con unas mínimas garantías.
¿Qué es una elaboración de perfiles?

El profiling consiste en crear perfiles de usuarios derivados del comportamiento y
preferencias del usuario que se basan en evaluar el uso que éste hace de los productos y
servicios que visita a través de medios automatizados. La elaboración de perfiles permite
que los individuos sean categorizados sobre la base de algunas características
observables a partir de las cuales deducir otras que no lo son. Se evalúan determinados
aspectos personales para realizar análisis o predicciones sobre cuestiones muy variadas
(rendimiento profesional, situación económica, salud, preferencias personales, intereses,
fiabilidad, comportamiento, ubicación o movimientos).
66
Referencias sobre la elaboración de perfiles en el Reglamento

El RGPD permite la elaboración de perfiles, siempre y cuando se realice de acuerdo a los
criterios del RGPD.
Ejemplo:
La elaboración de perfiles se utiliza de forma habitual en el marco de las acciones de
marketing, siendo muy práctico para identificar el objetivo, el tarjet, de nuestro negocio,
campaña, servicio, aplicación …
Para cumplir el RGPD es necesario e imprescindible:

1. Informar al interesado de manera clara, con un lenguaje sencillo, coloquial y
evitando la terminología jurídica/técnica, sobre la existencia de la elaboración
de perfiles, sobre la lógica aplicada, así como la importancia y las
consecuencias previstas de dicho tratamiento.
2. Recoger el consentimiento explícito, para la elaboración y tratamiento de los
datos basados en un perfilado del interesado.
3. Darle la opción de negarse (derecho de oposición) a que sus datos se utilicen
para la elaboración de un perfil.
Ejemplo de información al interesado:

Con el fin de poder ofrecerle nuestros productos y servicios de acuerdo a sus intereses,
elaboraremos un perfil comercial e individualizado de usuario mediante procesos
automatizados estadísticos. Como resultado de este proceso, recibirá comunicaciones de
marketing con contenidos relacionados con nuestra actividad y servicios.
 SI, doy mi consentimiento explícito a la elaboración de perfiles con las finalidades
indicadas.
 NO, doy mi consentimiento explícito a la elaboración de perfiles con las finalidades
indicadas.
Aclaración:
El derecho de oposición a la creación de perfiles debe mencionarse de forma explícita y
ser presentado claramente y al margen de cualquier otra información.
¿Cuándo se pueden realizar elaboraciones de perfiles?

Partiendo de que solo se podrá realizar una elaboración de perfiles si se aplican medidas
adecuadas, un interesado solo podrá ser objeto de una elaboración de perfiles basada
únicamente en un tratamiento automatizado, cuando:
 Esté informado de que la decisión que pueda ser tomada a consecuencia de la
misma pueda producirle efectos jurídicos que le afecten significativamente.
 El interesado pueda ejercer el derecho a obtener la intervención humana por
parte del Responsable del tratamiento, a expresar su punto de vista y a impugnar
la decisión, si el tratamiento ha sido autorizado mediante:
o El consentimiento explícito del interesado.
o Un contrato entre el interesado y el Responsable del tratamiento.
 El tratamiento esté autorizado por la legislación vigente.
67
Está prohibida la elaboración de perfiles cuando el tratamiento se base en categorías

especiales de datos, excepto si:
 El interesado ha dado su consentimiento para fines específicos permitidos por la
legislación vigente.
 El tratamiento se realiza para fines de interés público o bajo la supervisión de
poderes públicos, fundamentados en la legislación vigente.
Límites en la elaboración de perfiles

Como ya hemos indicado, el RGPD no prohíbe la elaboración de perfiles, pero sí detalla y
establece unos límites, concretamente:
“El derecho de las personas a no verse sometidas a una decisión con efectos jurídicos
sobre ellas o que les afecten de significativamente de modo similar, cuando la decisión
se base únicamente en el tratamiento automatizado de sus datos personales”
Para entender el criterio “que les afecte significativamente” veamos el ejemplo que el
RGPD nos indica, concretamente dos:
Ejemplo de información al interesado:

1. La denegación automática de una solicitud de crédito en línea.
2. Los servicios de contratación en red en los que no media intervención humana
alguna.
Por tanto el perfilado de usuarios que se realice para tomar decisiones que tengan
efectos jurídicos en los usuarios o que les afecten significativamente de un modo similar,
no está permitido salvo en los siguientes casos:
 Cuando la decisión resulte necesaria para la celebración o la ejecución de un
contrato entre el interesado y un responsable del tratamiento.
 Cuando la decisión esté autorizada por el Derecho de la Unión o de los Estados
miembros que se aplique al responsable del tratamiento y que establezca
asimismo medidas adecuadas para salvaguardar los derechos y libertades y los
intereses legítimos del interesado.
 Cuando la decisión se base en el consentimiento explícito del interesado.
 En estos casos, el responsable de tratamiento tiene que adoptar las medidas
adecuadas para proteger los derechos y libertades y los intereses legítimos del
interesado. Como mínimo el interesado debe tener derecho a obtener
intervención humana por parte del responsable, a expresar su punto de vista y a
impugnar la decisión.
¿Qué medidas de seguridad debemos implantar?

El Responsable del tratamiento deberá realizar, antes del tratamiento, una evaluación del
impacto de las operaciones de tratamiento cuando dicho tratamiento se base en una
evaluación sistemática y exhaustiva de aspectos personales basado en un tratamiento
automatizado, como la elaboración de perfiles y sobre cuya base se tomen decisiones
que produzcan efectos jurídicos para los interesados.
68
Tema 8 Incidencias - Violaciones de Seguridad

Los procedimientos de seguridad que debemos implantar, para garantizar la
confidencialidad de los ciudadanos y su buen uso, no siempre dependen, solo, de nuestro
buen hacer. Hay situaciones que pueden provocar lo que se llama brechas de seguridad,
incidencias de seguridad o violaciones de seguridad.
Hablamos de cosas tan habituales como un ataque informático, los famosos hackers, que
si son capaces de vulnerar la seguridad del pentágono, que no harán con la seguridad de
nuestras entidades.
Lógicamente, esto no es óbice para no implantar todas las medidas de seguridad que se
correspondan con el tratamiento de los datos que haga y hagamos nuestra empresa
como Responsable del tratamiento.
Si en algún momento, se produce una incidencia que ponga en peligro los datos
personales de aquellas personas con las que nuestra entidad mantenga algún tipo de
relación, debemos actuar rápidamente, tal y como veremos en esta lección.
El Reglamento dice que una violación de la seguridad de los datos personales es “toda
violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o
ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a dichos datos” que pueda producirse en cualquier
fase del tratamiento: obtención, acceso, intervención, transmisión, conservación o
supresión de datos.
Aclarar que la notificación de las violaciones o brechas de seguridad no es nuevo y ya fue

introducida por el art.4.2 de la Directiva sobre privacidad y comunicaciones electrónicas
(2002/58/CE) y transpuesta al derecho español por la Ley General de Telecomunicaciones
(Ley 9/2014 de 9 de Mayo) a través de su art. 41.2 y 3 y en los art. 2 y 3 del Reglamento
UE (611/2013). Si bien dichas notificaciones o violaciones de seguridad sólo afectaban a
los operadores de servicios de comunicaciones electrónicas, a partir del 25 de mayo de
2018 las notificaciones sobre violaciones o brechas de seguridad deberán ser notificadas
por los responsables de tratamiento a las Autoridades de Control y, en su caso, a los
interesados si las mismas suponen un alto riesgo para los derechos y libertades de las
personas físicas.
Violaciones de seguridad de los datos personales

El Responsable de tratamiento debe notificar a la Autoridad de Control tan pronto como
tenga conocimiento de que se ha producido una violación de la seguridad de los datos
personales. Dicha notificación deberá realizarse sin dilación indebida y a más tardar en el
plazo de 72 horas.
Además, también debemos notificar dicha incidencia al interesado.
El objetivo de notificar la violación de seguridad es siempre que el afectado pueda

reaccionar tan pronto como sea posible y tomar las medidas oportunas para proteger su
69
intimidad, honor y posibles consecuencias. Por ello, el Reglamento exige que se realice
de manera inmediata.
Aclaración:
No será necesario notificar la incidencia salvo que el Responsable del tratamiento
pueda demostrar la improbabilidad de que la violación de seguridad entrañe un riesgo
alto para los derechos y libertades de los interesados.
Tampoco será necesario comunicarlo a los interesados cuando se hayan tomado
medidas para acabar con ese riesgo o cuando la notificación requiera un gasto
desproporcionado.
Si la notificación no fuese posible realizarla en 72h, debemos detallar los motivos de la
dilación, pudiendo ser notificada de manera escalonada, en varias fases.
Ejemplo
Una incidencia puede ser:
 Accesos a equipos, aplicaciones o ficheros (automatizados o no), sin contar con la
debida autorización.
 Acceso indiscriminado a impresoras, fotocopiadoras.
 Imposibilidad, por causas diversas, de acceder a un equipo, aplicación o fichero
para el que presuntamente se tiene permiso.
 Comunicación de datos personales a personas no autorizadas.
 Comunicación de datos personales a terceras empresas no autorizadas.
 Falta de contrato entre Responsable y Encargado del tratamiento.
 Transferencia internacional de datos sin estar sujeta a una Decisión de
suficiencia de la UE o Garantías adecuadas de protección de datos.
 Pérdida total o parcial de datos personales almacenados en ficheros.
 Irregularidades o deficiencias relativas a la resolución de las incidencias de
seguridad detectadas y registradas.
 Incidencia en los procesos de recuperación de datos.
 Cambios o incidencias producidas, no comunicadas o no autorizadas en el software
y/o hardware.
 Incidencia relativas a deficiencias en el uso, suministro, reutilización o desechado
de soportes.
 Incidencias relativas a las redes de comunicaciones.
 Detección de pruebas con datos reales sin autorización.
 Incidencias con el cifrado de información.
 Detección de virus en el sistema, equipos.
 Pérdida o extravío de documentos.
 Pérdida o extravío de soportes automatizados (portátil, teléfono, tablet, memoria
de almacenamiento, discos duros extraíbles…).
 Intentos de hurto o robo en las instalaciones.
 Extravío de llaves de locales, oficinas, despachos o armarios que contengan
ficheros con datos personales y/o soportes automatizados.
 Publicación de imágenes sin autorización del interesado.
 Vulnerar el derecho del secreto profesional.
 Envío de correos electrónicos masivos sin ocultar los destinatarios “cco”.
70
 Cualquier violación o situación que pueda conducir a un incumplimiento de la

normativa de acceso físico.
 …
A lo largo del curso En el tema de Medidas de Seguridad se explican medidas concretas,

para evitar los ejemplos de incidencias comentados debemos podemos implantar
medidas organizativas, técnicas/ como:
 Instalar antivirus, antispam, antimalware, cifrado, seudonimización.
 Uso de contraseñas para la autentificación de acceso a los sistemas y equipos
informáticos.
 Instalar mecanismos de seguridad para acceder a espacios físicos, locales,
archivadores.
 Evitar dejar a la vista de personas no autorizadas soportes automatizados o no,
así como documentos que a simple vista divulguen datos personas de personas,
como curriculas, facturas, presupuestos, listados de trabajadores…
¿CUÁNDO UNA VIOLACIÓN DE SEGURIDAD PUEDE COMPORTAR UN ALTO RIESGO?

El criterio para notificar una incidencia basándonos en el alto riesgo que menciona el
Reglamento, debemos entenderlo en el sentido de que sea probable que la violación de
seguridad ocasione importante daños a los interesados.
Por ejemplo, en casos en que se desvelen contraseñas, números identificativos como DNI,
pasaporte, se difundan de forma masiva datos sensibles como salud, políticas,
raza/etnias, vida sexual, perfil concreto de usuario que permita conocer aspectos
privados, circunstancias financieras o que se puedan producir perjuicios económicos para
los afectados.
El criterio que debemos seguir para valorar una incidencia se basará en:
 El potencial daño para los datos de los interesados.
 Valorar el riesgo según el tipo de datos y sus consecuencias.
 El volumen de datos personales afectados.
 El nivel de sensibilidad de los datos personales.
Notificación de una violación de datos a la Autoridad de control (artículo 33)

NOTIFICACIÓN DE LA VIOLACIÓN DE SEGURIAD
AUTORIDAD DE CONTROL
La comunicación deberá contener como mínimo la siguiente información:
 Una descripción de la naturaleza de la violación de la seguridad de los datos
personales:
o Las categorías de los datos.
o El número aproximado de interesados afectados.
o El número aproximado de registros de datos personales afectados.
 El nombre y los datos de contacto del Delegado de Protección de Datos o de otro
perfil de contacto (antiguo Responsable de Seguridad) en el que pueda obtenerse
más información.
71
 Descripción de las posibles consecuencias de la violación de seguridad.

 Descripción de las medidas adoptadas para solventar la violación de seguridad.
 Medidas adoptadas para paliar los posibles efectos negativos sobre los interesados.
Aclaración:
Con independencia de la notificación a la Autoridad de Control, los responsables deben
documentar todas las violaciones de seguridad. Se trata de una obligación que
establece el RGPD y que se aproxima en gran medida al Registro de Incidencias que
existe en el Real Decreto 1720/2007 de la Ley Orgánica 15/99 de Protección de Datos
de Carácter Personal.
Comunicación de una violación de datos al interesado (artículo 34)

Afectados
Como ya sabemos, además de la comunicación a la Autoridad de Control el Responsable
del tratamiento deberá comunicar al interesado sin dilación indebida, la violación de la
seguridad de los datos personales cuando la misma entrañe un alto riesgo para los
derechos y libertades de las personas físicas.
No será necesaria la comunicación al interesado, si el responsable cumple con alguna de

las siguientes condiciones:
 El responsable del tratamiento ha adoptado con anterioridad a la violación de
seguridad, medidas de protección técnicas y organizativas apropiadas sobre los
datos que sufrieron dicha brecha o violación de seguridad, de manera que hagan
ininteligibles los datos personales para cualquier persona que no esté autorizada
a acceder a ellos, como por ejemplo el cifrado.
 El responsable del tratamiento tras la violación de seguridad ha tomado medidas
para garantizar que ya no se materializará un alto riesgo para los derechos y
libertades del interesado;
 Suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por
una comunicación pública o una medida semejante por la que se informe de
manera igualmente efectiva a los interesados.
Contenido
La comunicación al interesado describirá en un lenguaje claro y sencillo una descripción
de la violación de la seguridad de los datos personales y contendrá como mínimo la
siguiente información:
 El nombre y los datos de contacto del Delegado de Protección de Datos o de otro
perfil de contacto (antiguo Responsable de Seguridad) en el que pueda obtenerse
más información.
 Descripción de las posibles consecuencias de la violación de seguridad.
 Descripción de las medidas adoptadas para solventar la violación de seguridad.
 Medidas adoptadas para paliar los posibles efectos negativos sobre los
interesados.
72
Aclaración:
El Reglamento establece que en aquellos supuestos en los que el Responsable del
tratamiento no haya comunicado al interesado la violación de la seguridad de los datos
personales, la Autoridad de Control, podrá exigirle que lo haga, si considera que existe
probabilidad de que la violación de seguridad entrañe un alto riesgo para los derechos
y libertades de las personas físicas.
73
Tema 9 Delegado de Protección de Datos (DPO)

INTRODUCCIÓN -¿QUÉ ES DPO?
El Reglamento 2016/679 de protección de datos (RGPD), cuya entrada en vigor está
prevista el 25 de mayo de 2018, ofrecerá un marco de cumplimiento modernizado
basado en la rendición de cuentas por lo que se refiere a la protección de datos en
Europa. Los delegados de la protección de datos (DPO) serán el elemento nuclear de este
nuevo marco jurídico para muchas organizaciones, lo que facilita el cumplimiento de las
disposiciones del RGPD.
Según el RGPD, será obligado para determinados responsables y encargados del

tratamiento de datos la designación de un DPO, lo que será aplicable a todas las
autoridades y organismos públicos (con independencia de los datos que procesen) y a
otras organizaciones que, como actividad principal, realicen un seguimiento de personas
de forma sistemática y a gran escala, o que procesen categorías especiales de datos
personales a gran escala.
Incluso en los casos en los que la RGPD no requiera específicamente el nombramiento de

un DPO, las organizaciones puede que en ocasiones consideren útil designar un DPO de
forma voluntaria.
El Grupo de Trabajo del Artículo 29 anima a llevar a cabo estos esfuerzos voluntarios.
El DPO es la piedra angular de la rendición de cuentas y que el nombramiento de un DPO

puede facilitar el cumplimiento de la normativa y, por otra parte, convertirse en una
ventaja competitiva para las empresas. Además de facilitar el cumplimiento mediante la
implementación de herramientas de rendición de cuentas (tales como facilitar o llevar a
cabo evaluaciones de impacto y auditorías de protección de datos), los DPO actúan de
intermediarios entre las partes interesadas correspondientes (p. ej. autoridades
supervisoras, interesados y unidades de negocio dentro de las organizaciones).
Los DPO no son personalmente responsables en caso de incumplimiento del RGPD. El

RGPD declara taxativamente que es el responsable o el encargado del tratamiento quien
está obligado a garantizar y poder demostrar que el tratamiento se lleva a cabo con
arreglo a sus disposiciones (artículo 24). La protección de datos es responsabilidad del
responsable o el encargado del tratamiento, quien asimismo tiene un papel crucial a la
hora de hacer posible el desempeño efectivo de las tareas del DPO. El nombramiento de
un DPO es el primer paso, pero debe conferírsele suficiente autonomía y recursos para
que lleve a cabo su cometido de forma efectiva.
La RGPD reconoce al DPO como un actor clave en el nuevo sistema de gestión de los datos
y establece las condiciones de su nombramiento, su puesto y sus tareas. El objeto de
estas directrices es aclarar las disposiciones relevantes del RGPD para ayudar a los
responsables y encargados del tratamiento a cumplir con la legislación y, asimismo,
ayudar a los DPO en el desempeño de su función.
74
A continuación vamos a ver con más detalle esta figura tan importante y relevante en el
nuevo marco normativo de la Protección de Datos
¿CUÁNDO SE NECESITA UN DPO?
El elemento principal para el cumplimiento del marco legislativo será el Delegado en

Protección de Datos (DPO).
La figura del DPO es muy parecida en cuanto a su configuración a la que ya conocemos

del Compliance Officer en materia penal
El artículo 37 exige que se designe un DPO en tres casos específicos:

 Cuando el tratamiento lo lleva a cabo una autoridad u organismo públicos.
 Cuando las actividades principales del responsable o el encargado del tratamiento
consisten en operaciones de tratamiento que requieren el seguimiento regular y
sistemático de los interesados a gran escala.
 Cuando las actividades principales del responsable o el encargado del tratamiento
consisten en el tratamiento a gran escala de categorías especiales de datos
personales relacionados con condenas y delitos penales.
¿Qué significa a gran escala? El GT29 recomienda que se tengan en cuenta los siguientes
factores, en especial, a la hora de determinar si el tratamiento se lleva a cabo a gran
escala:
1. El número de interesados involucrados —bien como cifra concreta o como
proporción de la población correspondiente—
2. El volumen de datos o el abanico de diferentes conceptos de datos que se
procesan
3. La duración, o permanencia, de la actividad de tratamiento de datos
4. El alcance geográfico de la actividad de tratamiento
¿Qué significa un seguimiento regular y sistemático?

• Que se produce de acuerdo con un sistema.
• Preestablecido, organizado o metódico.
• Que tiene lugar como parte de un plan general de recogida de datos.
• Llevado a cabo como parte de una estrategia.
• Continuado o que se produce a intervalos concretos durante un periodo concreto.
• Recurrente o repetido en momentos prefijados.
• Que se produce de forma constante o periódica.
75
• El GT29, indica que son todas las formas de seguimiento en Internet, la posterior
elaboración de un perfil o incluso el uso con fines de publicidad comportamental.
Considerando 24: «Para determinar si puede considerarse que una actividad de

tratamiento hace el seguimiento del comportamiento de los interesados, debe
esclarecerse si se realiza el seguimiento de personas físicas en Internet, incluyendo el uso
posterior potencial de técnicas de tratamiento de datos personales consistentes en la
creación de perfiles personales, especialmente para tomar decisiones relativas a dicha
persona o para analizar o predecir sus preferencias personales, sus comportamientos y
sus actitudes.»
Ejemplo de tratamientos que requieren un DPO:

 Tratamiento en la Administración Pública y Organismos Públicos
 tratamiento de datos de pacientes de un hospital.
 tratamiento de datos de desplazamiento de personas físicas que utilizan el sistema
de transporte público de una ciudad, por ejemplo el seguimiento a través de tarjetas
de transporte.
 tratamiento de datos de geolocalización en tiempo real de clientes con fines
estadísticos.
 tratamiento de datos de clientes en una empresa de seguros o un banco.
 tratamiento de datos personales para publicidad basada en el comportamiento por
parte de un motor de búsqueda.
 tratamiento de datos (contenido, tráfico, ubicación) por parte de proveedores de
telefonía o de servicios de Internet.
DESIGNACIÓN
La dirección de la entidad, como Responsable del Tratamiento máximo de la implantación
del Reglamento europeo en Protección de datos 2016/679, debe designar para la
implantación y seguimiento del proyecto un Órgano de Control formado por aquella/s
persona/s de la empresa y/o externo/s que por sus conocimientos, formación y
experiencia se consideran los más idóneos para el desempeño de sus funciones,
habiéndose efectuado tal designación formalmente.
REQUISITOS PARA LA DESIGNACIÓN DEL DPO.

El apartado 5 del artículo 37 de la norma determina que el DPO deberá ser nombrado en
base a sus “cualidades profesionales y, en particular, su conocimiento” en la materia de
la protección de datos, que le capacite para cumplir las tareas que le atribuye el
Reglamento.
76
Esas competencias o capacidades acreditadas se obtendrán a través de estudios reglados,

oficiales y/o demostrar experiencia profesional.
Aclaración:
Esas competencias o capacidades podrán ser obtenidas a través de estudios reglados y
oficiales, es decir mediante una certificación.
Aunque no es necesario una titulación específica, el DPO debe aunar conocimientos en
informática y seguridad informática, conocimientos jurídicos y aunar experiencia en
protección de Datos o en su defecto formación certificada.
77
Nivel de conocimiento y Cualificación Personal

Aunque no debe tener una titulación específica, en la medida en que entre las funciones
del DPO se incluya el asesoramiento al responsable o encargado en todo lo relativo a la
normativa sobre protección de datos, los conocimientos jurídicos en la materia son sin
duda necesarios, pero también es necesario contar con conocimientos ajenos a lo
estrictamente jurídico, como por ejemplo en materia de tecnología aplicada al
tratamiento de datos o en relación con el ámbito de actividad de la organización en la
que el DPO desempeña su tarea.
Es de utilidad el conocimiento que el responsable del tratamiento tenga del sector

empresarial y la organización. El DPO debe tener suficiente comprensión de las
operaciones de tratamiento llevadas a cabo y los sistemas de información, así como las
necesidades de seguridad y protección de los datos del responsable del tratamiento.
Según el informe de la Confederation of European Data Protection Organitations (CEDPO,

las conclusiones son:
A la vista de las tareas que se confían al DPO, se requieren cualidades de distinta
naturaleza, incluyendo conocimientos jurídicos, técnicos, de gestión de programas
y de gestión de riesgos, así como habilidades de comunicación. El DPO debe velar
por que sus funciones se lleven a cabo por él mismo y/o por su equipo, formado
por profesionales de diferentes perfiles, incluyendo, pero no limitado a personas
con titulación en Derecho o informática. La organización que nombra a un DPO
debe facilitar al DPO recursos que reúnan estos diferentes perfiles.
CARACTERÍSTICAS DEL DPO:

ESPECIAL REFERENCIA A LA INDEPENDENCIA.
Aclaración:
¿Qué quiere decir independiente?, el DPO debe evitar conflictos de intereses. Estos
conflictos pueden surgir cuando el DPD, en su tarea de supervisión de las actividades
de tratamiento de datos llevadas a cabo por la organización, debe valorar su propio
trabajo dentro de ella, como sucede si se designa DPD al responsable de tecnologías
de la información (cuando estas tecnologías se emplean para el tratamiento de
datos) o al responsable de un área de negocio que decide sobre determinados
tratamientos.
POSICIÓN DENTRO DE LA EMPRESA

El DPO desempeña un papel clave a la hora de promover una cultura de protección de
datos dentro de la organización y ayuda a implementar elementos esenciales del RGPD,
como son los principios del tratamiento de datos, los derechos de los interesados, la
protección de datos por diseño y por defecto, los registros de actividades de tratamiento,
la seguridad del tratamiento y la notificación y comunicación de violaciones de datos.
78
El artículo 38 del RGPD estipula que el responsable y el encargado del tratamiento

deberán garantizar que el DPO «se involucre, de manera adecuada y oportuna, en todas
las cuestiones que guarden relación con la protección de los datos personales».
Es crucial que el DPO se involucre desde la fase más temprana posible en todas las
cuestiones relacionadas con la protección de datos. En relación con las evaluaciones de
impacto de la protección de datos, la RGPD establece expresamente la implicación
temprana del DPO y especifica que el responsable del tratamiento deberá solicitar
asesoramiento al DPO cuando lleve a cabo tales evaluaciones de impacto. Garantizar que
se informe y se consulte al DPO desde el inicio facilitará el cumplimiento del RGPD,
asegurará un enfoque de privacidad por diseño y, por lo tanto, debería ser un
procedimiento estándar dentro de la gestión de una organización. Además, es
importante que el DPO se perciba como un interlocutor dentro de la organización y que
forme parte de los grupos de trabajo pertinentes que se ocupan de las actividades de
tratamiento de datos dentro de la organización.
En consecuencia, la organización debe garantizar al DPO:

• Se invite al DPO a participar con regularidad en reuniones con los cuadros
directivos altos y medios.
• Será respaldado por la dirección, por el Responsable del Fichero.
• Se recomienda que esté presente cuando se tomen decisiones con implicaciones
para la protección de datos. Toda la información relevante deberá transmitirse al
DPO de manera oportuna para que pueda prestar un asesoramiento adecuado.
• La opinión del DPO deberá siempre gozar de la consideración debida. En caso de
desacuerdo, el GP29 recomienda, como buena práctica, documentar las razones
de no seguir el consejo del DPO.
• Deberá consultarse con prontitud al DPO una vez que se produzca una violación
de datos u otro incidente.
• Se le deben facilitar medios suficientes para elaborar la gestión y llevar a cabo su
trabajo.
El Dictamen WP 243 del GT29 recomienda que, desde la dirección de la
organización, se apoye las funciones del DPO; se le permita disponer de
tiempo suficiente para el desempeño de sus funciones sobre todo cuando
desarrolle su actividad a tiempo parcial o desempeñe otras funciones
simultáneas; se le asignen recursos económicos, materiales y humanos
adecuados; se comunique su designación a toda la organización; se facilite
su formación continua o se le dé el acceso necesario a todas las áreas de
la organización de las que puede recibir tanto apoyo como información
para el desempeño de sus funciones.
• No podrá recibir órdenes de superiores (que supongan un incumplimiento).
El Dictamen WP 243 del GT29 resalta que la «independencia» del DPO,
entendida como «autonomía» para el desempeño de sus funciones, es una
de las garantías básicas que establece el REPD, y que, por tanto, tienen
que asegurar quienes lo designen.
79
Aclaración:
Autonomía, está estrechamente relacionada con el requisito de evitar conflicto de
intereses para así asegurar el derecho fundamental a la protección de datos.
Cualquier tipo de injerencia en el desarrollo de las funciones del DPO, incluida, por
ejemplo, el no proporcionar los recursos necesarios para el desarrollo de sus
funciones, implicaría vulnerar su estatuto jurídico e incluso podría llegar a vulnerar
también el derecho fundamental a la protección de datos.
• No podrá ser cesado ni despedido por el ejercicio de sus funciones.

El Dictamen WP 243 del GT29 explica que dicha «inmunidad» del DPO no
implica que no pueda ser despedido por motivos objetivos, que incluso
podrían entenderse referidos a un mal desempeño de sus funciones o un
incumplimiento de sus obligaciones ya sea como empleado o consultor.
• Rendirá cuentas al más alto nivel jerárquico de la empresa.
El DPO debe tener una línea de reporte directo al Consejo de
Administración –u órgano equivalente– de la organización o a un miembro
de este, en relación a sus responsabilidades de DPO.
El art. 38.3 estipula que El DPO informará directamente al más alto nivel jerárquico
del responsable o del encargado. Esto requiere reforzar la autonomía y relevancia
del DPO y requiere que la organización del responsable o del encargado vincule al
DPO al más alto nivel jerárquico (como el Consejo de Administración o un miembro
de este). Por ejemplo, la estructura organizativa debe garantizar que:
El DPO tenga acceso directo a la alta dirección y sin filtros, esto es, sin nivel
intermedio entre El DPO y la alta dirección. Esto ayudará a garantizar que el DPO
no tengan conflictos de intereses respecto a su función como DPO y por lo tanto
gocen de suficiente protección en el desempeño de sus tareas.
El respectivo Consejo o miembro del Consejo actúe como supervisor funcional y

administrativo del/de la DPO, con responsabilidades respecto de las cuestiones
relativas al personal y presupuesto del/de la DPO.
La línea de reporte del/de la DPO a la alta dirección pueda ser claramente

identificada (por ejemplo, en un organigrama).
• Debe estar a disposición de los interesados (titulares de los datos), que podrán
ponerse en contacto con el DPO a través de los medios que se faciliten y por la
Autoridad de Control.
Por tanto, debemos garantizar que el DPO participe de forma adecuada y
en tiempo oportuno en todas las cuestiones relativas a la protección de
datos.
Para facilitar el objetivo de cumplimiento (compliance) con el Reglamento
y asegurar la aproximación de la privacidad desde el diseño, el Dictamen
WP 243 recomienda que las organizaciones incorporen procedimientos
dirigidos a informar y consultar al delegado de protección de datos. De tal
forma que estos protocolos o guías permitan la participación el DPO
reduciendo los riesgos en el tratamiento de datos.
80
• Independiente – Evitar Conflictos de intereses

El artículo 38(6) permite a los DPO «desempeñar otras tareas y funciones».
No obstante, exige que la organización garantice que «tales tareas y
funciones no deriven en un conflicto de interés».
La ausencia de conflicto de interés está estrechamente ligada al requisito
de actuar con independencia. Aunque se permite a los DPO tener otras
funciones, solo se les puede confiar otras tareas y funciones siempre que
estas no originen conflictos de interés. Esto supone en especial que el DPO
no puede detentar un cargo dentro de la organización que le lleve a
determinar los fines y medios del tratamiento de datos personales. Debido
a la estructura organizativa específica de cada organización, esto deberá
considerarse caso por caso.
Aclaración:
Ausencia de Conflictos, estos conflictos pueden surgir cuando el DPO, en su tarea de
supervisión de las actividades de tratamiento de datos llevadas a cabo por la
organización, debe valorar su propio trabajo dentro de ella, por ejemplo, los cargos
en conflicto pueden incluir los puestos de alta dirección (tales como director
ejecutivo, director de operaciones, director económico/financiero, director médico,
jefe del departamento de marketing, director de recursos humanos o jefe del
departamento de TI), pero también otros puestos inferiores en la estructura
organizativa si tales cargos o funciones llevan a la determinación de los fines y medios
del tratamiento
El artículo 37 permite a un grupo de empresas designar un único DPO

siempre que este sea «fácilmente accesible desde cada establecimiento».
La noción de accesibilidad se refiere a las tareas del DPO como punto de
contacto respecto de los interesados y la autoridad supervisora, pero
también internamente dentro de la organización, teniendo en cuenta que
una de las tareas del DPO es «informar y asesorar al responsable y el
encargado del tratamiento así como a los empleados que llevan a cabo el
tratamiento sobre sus obligaciones con arreglo al presente Reglamento».
Para garantizar que el DPO, ya sea interno o externo, sea accesible, es

importante asegurarse de que sus datos de contacto estén disponibles de
acuerdo con los requisitos del RGPD.
El responsable de fichero o el encargado del tratamiento deben publicar

los datos de contacto del delegado de protección de datos (y los
comunicarán a la autoridad de control, según reza el artículo 37.7 del
RGPD. A este respecto, el Dictamen WP 243 del Grupo del artículo 29,
aclara que el Reglamento no exige que se publique el nombre del DPO,
siendo por tanto algo que, como buena práctica, deben considerar en su
caso el responsable del tratamiento y el DPO. El Dictamen añade que los
datos de contacto del DPO deben de estar disponibles tanto para los
interesados como para la autoridad de supervisión, llegando a indicar que
81
la comunicación con esta última debe de ser en el idioma de la misma,

además de llevarse a cabo a través de canales de comunicación segura, a
fin de asegurar la confidencialidad.
FUNCIONES.
Bien, ya sabemos cuándo necesitamos un DPO, quién y requisitos que debe cumplir,
ahora vamos a ver qué funciones tiene:
Como imaginaréis, su función principal es la de encargado de implantar, revisar,

mantener, divulgar y gestionar el cumplimiento de los principios, normas y
procedimientos de seguridad administrativos y técnicos en relación a la recogida,
tratamiento y almacenamiento de datos.
El cumplimiento de la normativa es un grupo de acciones e implantaciones que debemos

realizar, sin embargo dependiendo podemos diferenciarlas en función de su contenido,
por ello en primer lugar situaremos las funciones relacionadas con el ámbito jurídico, es
decir, que normativa/s debemos aplicar:
1. Identificar las bases jurídicas de cumplimiento, es decir, las normas y obligaciones
que debemos cumplir, pero ojo también debe estar atento a otras normativas
sectoriales que puedan variar condiciones determinadas, diferentes a la
normativa general de protección de datos. Es decir, el DPO no sólo debe tener
encima de la mesa el nuevo Reglamento europeo.
2. Valorar la compatibilidad de las finalidades para la recogida y tratamiento de los
datos, hablamos de si los datos son necesarios y los justos e imprescindibles para
prestar el servicio al interesado.
En segundo lugar una vez identificadas las normativas, debemos dedicar nuestros
esfuerzos a realizar los análisis pertinentes cuya conclusión nos dará la situación actual
de nuestro proyecto y el grado de cumplimiento que debemos implantar y adecuar:
1. Diseñar e Implantar un sistema de Análisis de Riesgos, es decir, una auditoría
previa al tratamiento de los datos.
2. Diseñar e implantar un sistema de Evaluación de Impacto.
ACLARACIÓN: La conclusión del análisis de riesgos dará lugar a la realización de la
evaluación de Impacto o no, si bien, es recomendable realizarla siempre.
3. Auditar habitualmente el cumplimiento de la normativa.
En tercer lugar, una vez conozcamos el grado de cumplimiento, comenzaremos a

implantar las obligaciones, tanto de seguridad informática y sistemas como las
“administrativas”:
1. Diseñar un mecanismo de formación, sensibilización y divulgación de la normativa
para los trabajadores. Es fundamental que todas las personas que estén
involucradas en la recogida tratamiento y almacenamiento de datos, conozcan los
procedimientos que deben cumplir.
82
2. Diseñar e implantar procedimientos para cumplir con el deber de información y

consentimiento a los interesados/titulares de los datos.
3. Diseñar e implantar procedimientos para gestionar la atención de las solicitudes
de ejercicio de derechos por parte de los interesados
4. Diseñar e implantar un procedimiento para la contratación de encargados de
tratamiento “proveedores”. Recordad que la entidad es responsable de elegir
bien al proveedor.
5. Implantar las medidas necesarias para garantizar la confidencialidad, honor,
intimidad y seguridad de los datos personales.
El Delegado de Protección de Datos tiene las siguientes funciones:

• Informar y asesorar a los responsables y encargados del tratamiento de datos
personales y a sus empleados de las obligaciones que tienen, derivadas tanto de
la legislación europea como de la española.
• Supervisar el cumplimiento de dicha legislación y de la política de protección de
datos.
• Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto
de un tratamiento de datos personales, cuando entrañe un alto riesgo para los
derechos y libertades de las personas físicas, y supervisar luego su aplicación.
• Actuar como punto de contacto de las autoridades de control para cualquier
consulta sobre el tratamiento de datos personales; especialmente, la consulta
previa obligatoria en los casos en los que el tratamiento entrañe un alto riesgo.
Control del cumplimiento del RGPD

El artículo 39(1) (b) encomienda a los DPO, entre otras funciones, la de controlar el
cumplimiento del RGPD. El considerando 97 especifica además que el DPO «debe ayudar
al responsable o el encargado del tratamiento a controlar el cumplimiento interno del
presente Reglamento».
Como parte de estas funciones de control del cumplimiento, el DPO puede, en particular:
• Recabar información para determinar las actividades de tratamiento,
• Analizar y comprobar la conformidad de las actividades de tratamiento,
• Informar, asesorar y emitir recomendaciones al responsable o el encargado del
tratamiento.
El control del cumplimiento no significa que el DPO sea responsable personalmente en

caso de algún incumplimiento. La RGPD declara taxativamente que es el responsable del
tratamiento, no el DPO, quien está obligado a «implementar las medidas técnicas y
organizativas apropiadas para garantizar y poder demostrar que el tratamiento se lleva a
cabo con arreglo al presente Reglamento» (artículo 24(1)). El cumplimiento de la
normativa de protección de datos es una responsabilidad corporativa del responsable del
tratamiento, no del DPO.
83
A) Función de información y asesoramiento normativo

• Debe informar y asesorar al responsable o al encargado del tratamiento de las
obligaciones normativas en protección de datos que les incumban. Por tanto, se
exige una formación en privacidad muy cualificada por parte del DPO, tal y como
señala, además del sentido común, el artículo 37.5 del RGPD.
• Debe asesorar al responsable o al encargado del tratamiento acerca de la
evaluación de impacto relativa a la protección de datos (también es responsable
de supervisar su realización).
• Debe informar y asesorar a los empleados que traten datos personales en el seno
de las organizaciones responsables o encargadas del tratamiento. A tal fin debería
existir un canal interno, ya sea a través de la intranet corporativa, o a través de un
buzón interno de consultas.
B) Función de supervisión del cumplimiento normativo. Auditoría

• Debe supervisar el adecuado cumplimiento de las normas sobre protección de
datos en la entidad u organización.
• Debe revisar las políticas internas de privacidad en la organización y su adecuación
normativa.
• Debe asignar responsabilidades entre los miembros de la organización, respecto
a las obligaciones en materia de protección de datos.
• Se debe ocupar de la realización de acciones internas de concienciación respecto
al cumplimiento efectivo de las normas sobre privacidad, incluidas las de carácter
interno.
• Debe realizar acciones formativas para el personal que participa en las
operaciones de tratamiento de datos.
• Debe supervisar las evaluaciones de impacto en la protección de datos. El
Dictamen del GT29 referido ut supra, destaca que su función se convierte, al
mismo tiempo, en un deber en cuanto a «ofrecer el asesoramiento que se le
solicite» y «supervisar» la aplicación de dicha evaluación. El Dictamen WP 243
recomienda que el asesoramiento del DPO se extienda, entre otras cuestiones, a
determinar la metodología a seguir, o si se debe externalizar o no la elaboración
de la evaluación de impacto.
C) Función de cooperación y enlace con la autoridad de control

• Debe cooperar con la autoridad de control, o agencia de protección de datos
correspondiente.
• Debe actuar como punto de contacto de la Agencia para las cuestiones
relacionadas con el tratamiento de datos personales incluida la consulta previa
(que se detalla en el artículo 36 del RGPD respecto a evaluaciones de impacto que
muestren alto riesgo para la privacidad), y consultar en su caso, sobre cualquier
otro asunto.
D) Función de atención a los interesados

• Debe atender a los interesados que lo soliciten. Al respecto, el artículo 38.4 del
RGPD indica que «los interesados podrán ponerse en contacto con el delegado de
protección de datos por lo que respecta a todas las cuestiones relativas al
tratamiento de sus datos personales y al ejercicio de sus derechos».
84
Estas funciones genéricas del DPD se pueden concretar en tareas de asesoramiento y

supervisión, entre otras, en las siguientes áreas:
1. Cumplimiento de principios relativos al tratamiento, como los de limitación de
finalidad, minimización o exactitud de los datos.
2. Identificación de las bases jurídicas de los tratamientos.
3. Valoración de compatibilidad de finalidades distintas de las que originaron la
recogida inicial de los datos.
4. Determinación de la existencia de normativa sectorial que pueda determinar
condiciones de tratamiento específicas distintas de las establecidas por la
normativa general de protección de datos.
5. Diseño e implantación de medidas de información a los afectados por los
tratamientos de datos.
6. Establecimiento de mecanismos de recepción y gestión de las solicitudes de
ejercicio de derechos por parte de los interesados.
7. Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
8. Contratación de encargados de tratamiento, incluido el contenido de los
contratos o actos jurídicos que regulen la relación responsable-encargado.
9. Identificación de los instrumentos de transferencia internacional de datos
adecuados a las necesidades y características de la organización y de las razones
que justifiquen la transferencia.
10. Diseño e implantación de políticas de protección de datos.
11. Auditoría de protección de datos.
12. Establecimiento y gestión de los registros de actividades de tratamiento.
13. Análisis de riesgo de los tratamientos realizados.
14. Implantación de las medidas de protección de datos desde el diseño y protección
de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos.
15. Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de
los tratamientos.
16. Establecimiento de procedimientos de gestión de violaciones de seguridad de los
datos, incluida la evaluación del riesgo para los derechos y libertades de los
afectados y los procedimientos de notificación a las autoridades de supervisión y
a los afectados.
17. Determinación de la necesidad de realización de evaluaciones de impacto sobre
la protección de datos.
18. Realización de evaluaciones de impacto sobre la protección de datos.
19. Relaciones con las autoridades de supervisión.
20. Implantación de programas de formación y sensibilización del personal en
materia de protección de datos.
El papel del DPO en una evaluación de impacto de la protección de datos

Según el artículo 35(1), es tarea del responsable del tratamiento, no del DPO, llevar a
cabo, cuando sea preciso, una evaluación de impacto de la protección de datos. No
obstante, el DPO puede desempeñar un papel muy importante y útil a la hora de ayudar
al responsable del tratamiento. Siguiendo el principio de la protección de datos por
diseño, el artículo 35(2) establece específicamente que el responsable del tratamiento
«deberá solicitar asesoramiento» al DPO cuando lleve a cabo una evaluación de impacto
85
de la protección de datos. El artículo 39(1)(c), a su vez, encomienda al DPO la tarea de

«ofrecer asesoramiento cuando se solicite en relación con la evaluación de impacto de la
protección de datos y controlar su ejecución».
Enfoque basado en el riesgo

El artículo 39(2) establece que el DPO deberá «considerar debidamente el riesgo asociado
a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el
contexto y los fines del tratamiento».
En esencia, requiere que los DPO prioricen sus actividades y centren sus esfuerzos en
aquellas cuestiones que presenten mayores riesgos relacionados con la protección de
datos. Esto no significa que deban descuidar el control de la conformidad de las
operaciones de tratamiento de datos que comparativamente presenten un menor nivel
de riesgo, sino que deben centrarse primordialmente en las áreas de mayor riesgo.
Este enfoque selectivo y pragmático debe ayudar a los DPO a asesorar al responsable del
tratamiento sobre qué metodología emplear al llevar a cabo una evaluación de impacto
de la protección de datos, qué áreas deben someterse a auditoría de protección de datos
interna o externa, qué actividades de formación internas proporcionar al personal o los
directores responsables de las actividades de tratamiento de datos y a qué operaciones
de tratamiento dedicar más tiempo y recursos.
Mantenimiento de los registros.

Según el artículo 30, apartados 1 y 2, es el responsable o el encargado del tratamiento,
no el DPO, quien está obligado a «mantener un registro de las operaciones de
tratamiento de las que es responsable» o a «mantener un registro de todas las categorías
de actividades de tratamiento llevadas a cabo en nombre de un responsable del
tratamiento».
El DPO asesora sobre la estructura del registro de las actividades de tratamiento, así como
las reglas aplicables a su mantenimiento. Posteriormente, el DPO verifica periódicamente
que el registro esté completo y sea preciso (deber de supervisión) y facilita orientación al
responsable del tratamiento (a los respectivos departamentos) para corregir lo que es
incorrecto.
El responsable del tratamiento puede asignar al DPO la tarea de mantener el registro de

las operaciones de tratamiento que son responsabilidad del responsable del tratamiento.
Dicho registro debe considerarse una de las herramientas que permiten al DPO llevar a
cabo sus funciones de control del cumplimiento, información y asesoramiento al
responsable o el encargado del tratamiento.
En cualquier caso, el registro que se requiere mantener según el artículo 30 debe verse
también como una herramienta que permite al responsable del tratamiento y a la
autoridad supervisora, cuando así se solicite, tener una perspectiva general de todas las
actividades de tratamiento de datos personales que lleva a cabo una organización.
86
MIEMBROS ADJUNTOS AL DPO

En lo que concierne a la ubicación física y accesibilidad de los DPO, el CEDPO indica:
La ubicación física específica de DPO de un Grupo empresarial o DPO de una
organización que cuente con varios establecimientos parece irrelevante hoy en
día. Su accesibilidad, una involucración en el negocio apropiada y una buena
«red» local (por ejemplo, contando con profesionales de privacidad locales que
sirvan de enlace), serían los elementos clave a tener en cuenta para asegurar una
protección efectiva.
La accesibilidad del/de la DPO no depende necesariamente solamente de sus
propias habilidades, sino de la combinación de sus habilidades y las de su «red»
local, por ejemplo, los mencionados enlaces locales de privacidad, para asegurar
el conocimiento local jurídico y de lengua apropiados, cuando sea necesario.
Aclaración:
Por tanto, el Responsable del Tratamiento, junto con el DPO, puede designar
miembros adjuntos que ayuden en el control y gestión de los procedimientos a
implantar así como la evaluación, seguimiento y mantenimiento una vez
implantados.
Deberán reunir las características necesarias para poder desarrollar las funciones que le
han sido encomendadas. Estos requisitos son:
• Formación y experiencia: los miembros adjuntos al DPO deben poseer una
formación general en Protección de Datos, mejor si aúnan experiencia, para
poder desempeñar las funciones asignadas, que les permita ejercer su labor de
supervisión, control y vigilancia.
Para ello, se tendrá en cuenta el desempeño de puestos de responsabilidad en la
estructura de la entidad.
• Deber de secreto: Tal y como establece el artículo 38.5 del RGPD, para el DPO, los
miembros adjuntos al DPO están obligados a mantener el secreto y/o la
confidencialidad en lo que respecta al desempeño de sus funciones.
• Dedicación: Los perfiles adjuntos al DPO deben disponer del tiempo suficiente
para poder ejercer su labor de supervisión, control y vigilancia.
Funciones de los adjuntos al DPO

Los miembros adjuntos al DPO deben ayudar en la gestión, control, supervisión y
desarrollo del buen funcionamiento de los procedimientos implantados por el DPO.
Las implicaciones y gestiones esenciales a realizar por los adjuntos al DPO son:
• Identificar sobre cualquier incidencia de riesgo.
• Reportar al DPO cualquier tipo de incidencia y/o acción potencialmente delictiva.
• Informar y colaborar con el DPO en cuanta documentación le sea requerida.
• Asistir a las reuniones del DPO.
• Propuestas de necesidades, mejoras, recursos con su área, incluso en otras áreas,
donde identifique carencias de seguridad y riesgo con la finalidad de mejorar el
sistema de tratamiento de datos personales.
87
• Realizar tareas de seguimiento de las medidas, procedimientos y protocolos de

seguridad que se deben cumplir.
• Reportar periódicamente sobre la situación en relación al punto anterior, así
como las posibles necesidades detectadas para el correcto funcionamiento de las
medidas e implantación.
De este modo, cada uno de los miembros integrantes del DPO será responsable de forma
individualizada de las decisiones, acciones y omisiones que adopte en su ámbito de
gestión y control.
Modificación en la composición de los miembros adjuntos al DPO

La estructura del equipo del DPO podrá sufrir modificaciones en su estructura
organizativa, con la finalidad de conseguir su buen funcionamiento, a propuesta del DPO,
cuya aprobación precisará en todo caso, la ratificación del responsable del fichero o
tratamiento.
En este sentido, el DPO deberá actualizar su estructura interna en los supuestos donde
sea de aplicación los mecanismos de reacción propuestos ante incidencias en las que se
aprecie conflicto de interés de alguno de los miembros adjuntos al DPO, a petición de los
propios miembros adjuntos al DPO y/o ante incumplimiento de sus funciones y
honorabilidad en el tratamiento de datos personales.
Nuevos nombramientos de miembros adjuntos al DPO y/o ceses:

• Para los nuevos nombramientos, se verificará que cumplen con los requisitos de
idoneidad necesarios para su designación.
• En el caso de ceses, se deberá describir las circunstancias que dan lugar al mismo.
Confidencialidad
Los miembros adjuntos al DPO pueden tener acceso a datos personales catalogados
como sensibles o riesgo alto, por ello tienen el deber de confidencialidad respecto a toda
aquella información de la que pudieran poder llegar a tener conocimiento por el ejercicio
de sus funciones.
88
Tema 10 Transferencia Internacional de Datos

INTRODUCCIÓN
Seguramente tenga un teléfono móvil con el cual hará fotos y vídeos que se guardan en
la memoria del propio teléfono, en una aplicación que su teléfono le proporciona o en un
espacio de almacenamiento gratuito o de pago si decide aumentarla capacidad de
almacenamiento.
¿Sabe dónde están ubicados esos espacios de almacenamiento gratuitos o de pago?, es

decir, ¿en qué país?, seguramente no y seguramente desconoce que está guardando
datos en un país fuera de la Unión Europea, lo que se considera una Transferencia
Internacional de Datos, pero en este caso hablamos del ámbito doméstico o personal y
se encuentra fuera del cumplimiento del Reglamento (bueno con alguna excepción que
ahora no es momento de comentar).
¿Qué pasa si ese almacenamiento lo hace un Responsable de tratamiento?, como

imaginaréis la respuesta es que estamos ante una Transferencia Internacional de Datos y
sólo se podrán transmitir datos a aquellos países, territorios, sectores u organismos
internacionales respecto de los que la Comisión Europea haya considerado que disponen
de un nivel adecuado de protección o, en otro caso, se aporten garantías suficientes o se
den algunas de las circunstancias previstas como excepciones que vamos a ver.
Pero éste es el caso más simple de transferencia internacional de datos, porque hoy en
día muchas empresas pertenecen o tienen acuerdos con multinacionales a las que
transfieren datos, entre otros, de sus clientes.
Transferencia de datos a terceros países u organizaciones internacionales

Una transferencia Internacional de Datos es el traspaso de datos personales a
Responsables, Encargados o Destinatarios de terceros países u Organizaciones
internacionales no establecidos en la U.E.
Veamos las diferencias más notables entre la Ley Orgánica 15/99 de Protección de Datos
y el Reglamento europeo 2016/679:
ANTES AHORA
 SAFE HARBOR  PRIVACY SHIELD
 El exportador ha de ser siempre el  El exportador puede ser el responsable
responsable del tratamiento. del tratamiento y el encargado de
 Solicitar de la Agencia Española de tratamiento.
Protección de Datos una autorización  Las transferencias se pueden llevar a
previa para poder transferir datos. cabo sin necesidad de autorización
previa (si ofrecen garantías adecuadas).
 Códigos de conducta y normas
corporativas vinculantes para grupos
empresariales.
89
Vamos a pararnos un momento en el Safe Harbor y el Privacy Shield para entender la

razón por la cual la transferencia internacional de datos debe ser controlada y gestionada
con las máximas garantías de seguridad.
Se pasa del Safe Harbor “Puerto Seguro” al Privacy Shield “Escudo de Seguridad”.
Las transferencias internacionales de datos de carácter personal adquirieron una mayor
relevancia pública tras las revelaciones de Edward Snowden (experto consultor
informático que prestó servicios para la CIA y la NSA) sobre la vigilancia masiva que hacían
de nuestros datos y haciendo públicos documentos clasificados.
Además, y sobre todo con la sentencia del Tribunal de Justicia de la Unión Europea, de
octubre de 2015, por la cual invalida el Safe Harbor que consideraba que las entidades
de EEUU adheridas a dicho sistema proporcionaban un nivel adecuado de protección de
datos. Esta sentencia dio lugar a que muchos responsables de ficheros adquirieran
consciencia de que estaban realizando transferencias internacionales con motivo de la
contratación de determinados servicios, como cloud computing, es decir, la famosa nube
y sus servicios.
¿Sabías que...? – El por qué de derogar el Safe Harbor

Max Schrems estaba cursando su último semestre en la famosa Universidad de Santa
Clara en Silicon Valley cuando asistió a una conferencia de Ed Palmieri, el abogado de
Facebook especializado en privacidad. Max quedó atónito al descubrir que Facebook
tenía un gran y grave desconocimiento de la legislación europea en materia de
protección de datos. Ya de vuelta en casa, empezó a hacer un seguimiento de los
derechos que tienen nuestros datos cuando cruzan en Atlántico. Descubrió que no tenían
más suerte que intentar cruzar en canoa sin remo, motor ni vela la costa de EEUU hasta
Europa en plena galerna.
Así que decidió llevar a esta red social a los tribunales en 2011, tras conocerse las
revelaciones que Edward Snowden hizo sobre la red de vigilancia mundial organizada
por la Agencia de Seguridad Nacional Estadounidense (NSA), en colaboración con la CIA.
Su denuncia argumentó que la empresa estadunidense no garantizaba la protección de
datos de los ciudadanos europeos, que gracias a los acuerdos con la U.E. se transferían
a EEUU.
El joven abogado austríaco empezó entonces a poner denuncias ante las agencias
responsables de la Protección de Datos en aquellos países donde las grandes empresas
puntocom tenían sede. Esto es: contra Facebook y Apple en Irlanda, Skype y Microsoft
en Luxemburgo, y Yahoo en Alemania.
Fue en Irlanda que el Tribunal Superior interpelo al Tribunal de Justicia de la U.E. para
que interpretara la legislación europea al respecto.
Por ello el cambio y que ahora solo se podrán transmitir datos a países u organismos
internacionales que la Comisión Europea haya considerado que aseguran un nivel óptimo
de protección de datos cuando:
1. Exista una decisión de adecuación tomada por la Comisión de la UE.
90
2. Existan garantías adecuadas de protección de datos.

3. Se hayan elaborado y aprobado normas vinculantes “NCV”
4. A falta de lo anterior, podamos acogernos a alguna excepción:
a) Sea necesaria para satisfacer intereses legítimos imperiosos del responsable.
b) No sea repetitiva.
c) Afecte solo a un número limitado de interesados.
d) No prevalezcan los derechos, libertades e intereses de los afectados.
e) Se comunique a la Autoridad de Protección de Datos.
Aclaración:
1. Una Organización internacional es un organismo internacional y sus entes
subordinados creado mediante un acuerdo entre dos o más países.
2. Una decisión de adecuación es una resolución adoptada por la Comisión de la
U.E. que garantiza que la transferencia internacional de datos posee un nivel de
protección suficiente. La Comisión podrá derogar, modificar o suspender
cualquier decisión de adecuación sin efecto retroactivo.
Aclaración:
Normas Vinculantes son políticas de protección de datos asumidas por un Responsable
de tratamiento o Encargado que se encuentra en la U.E. a un Responsable de
tratamiento o Encargado perteneciente a un grupo empresarial o unión de empresas
dedicadas a una actividad económica conjunta.
La autoridad de control debe verificar y aprobar que constituye una garantía adecuada
según el RGPD, por ejemplo y entre otros: que sean jurídicamente vinculantes y se
apliquen y sean cumplidas por todos las empresas del grupo empresarial o unión de
empresas, incluidos sus empleados.
Países declarados con nivel adecuado de protección de datos.

Hasta la fecha:
 Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000
 Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001
 Argentina. Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003
 Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003
 Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004
 Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008
 Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010
 Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010
 Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011
 Uruguay. Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012
 Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012
 Estados Unidos. Aplicable a las entidades certificadas en el marco del Escudo de
Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de
2106.
Aclaración :
Queda por ver qué pasa con Reino Unido por el tema Brexit.
91
Si la entidad a la que realizamos la transferencia internacional no se encentra en esta lista,

no podremos basar la transferencia en la decisión de adecuación.
Como podéis observar, el RGPD parte de los criterios ya establecidos en la Directiva 95/46
(derogada por el Reglamento 2016/679) e incorporados en la LOPD, es decir, que sólo se
podrán transmitir datos a aquellos países, territorios, sectores u organismos
internacionales respecto de los que la Comisión Europea haya considerado que disponen
de un nivel adecuado de protección o, en otro caso, se aporten garantías suficientes o se
den algunas de las circunstancias previstas como excepciones, y siempre y cuando se
observen los demás requisitos del Reglamento.
Aclaración:
No cabe duda que todas estas modificaciones van a facilitar las relaciones comerciales y la
cooperación internacional al evitar tener que solicitar la autorización de la Agencia en la
mayoría de los casos, pero siempre garantizando los derechos de los afectados en la
transmisión de los datos fuera de la UE.
Garantías Adecuadas para poder transmitir datos.

Como recordaréis, hemos dicho que solo se podrán realizar transferencias
internacionales a terceros países cuando exista una decisión de adecuación, sin embargo
hay excepciones que se establecen en ausencia de dicha decisión de adecuación y solo
se podrán realizar cuando los terceros países ofrezcan garantías adecuadas de protección
de datos y dispongan de recursos legales para ejercer los derechos.
Por tanto, en ausencia de una decisión de adecuación o de garantías adecuadas, podrá

realizarse cuando se cumpla alguna de las condiciones siguientes:
Aprobadas por la Autoridad de control:

 Acuerdos jurídicamente vinculantes y ejecutivos entre Autoridades u Organismos
públicos.
 Cláusulas contractuales tipo de protección de datos con el Responsable,
Encargado o Destinatario de los terceros países u Organizaciones internacionales
 Pertenencia a un grupo de empresas con normas corporativas vinculantes
aprobadas por la Autoridad de control.
 Adhesión a un código de conducta aprobado por la Autoridad de control.
 Posesión de un certificado, sello o marca de protección de datos expedido por un
Organismo de certificación acreditado.
 Autorización específica de la Autoridad de control obtenida mediante la
presentación de una solicitud para realizar la transferencia internacional.
Por interés del interesado

 El interesado dé explícitamente su consentimiento, tras haber sido informado de
los riesgos debidos a la ausencia de garantías adecuadas de protección de datos.
 Sea necesario para la ejecución de un contrato o precontrato entre el
Responsable y el interesado.
92
 Sea necesario para la ejecución de un contrato por interés del interesado, entre
el Responsable y otra persona física o jurídica.
 Sea necesario para proteger los intereses vitales del interesado u otras personas,
cuando esté física o jurídicamente incapacitado para dar su consentimiento.
Ejemplo:
Transferencias internacionales de datos por interés del interesado pueden ser los servicios
en la nube, seguros de viaje, tratamientos médicos en países fuera de la U.E.
Por interés legítimo e imperioso del Responsable o Encargado del tratamiento

Las transferencias internacionales podrán ser lícitas por un interés legítimo e imperioso
del Responsable o Encargado del tratamiento, siempre y cuando se cumplan todas las
siguientes condiciones:
 La transferencia no sea repetitiva y afecte un número limitado de interesados.
 El interés legítimo del Responsable no quede anulado por los intereses o derechos
y libertades del interesado.
 Se realice una evaluación de impacto y se hayan puesto en práctica las garantías
adecuadas de protección.
Por interés público

Las transferencias internacionales también podrán ser lícitas cuando se realizan por
motivos importantes y legítimos de interés público, cuando:
 Sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un
procedimiento judicial.
 Se realice desde un registro público legal que tenga por objeto facilitar
información al público en general o a cualquier persona que pueda acreditar un
interés legítimo y no implique la consulta de la totalidad de los datos personales
o de las categorías de datos.
Ejemplo:
Intercambios internacionales de datos entre autoridades en el ámbito de la competencia,
administraciones fiscales o aduaneras, entre autoridades de supervisión financiera.
Entre servicios competentes en materia de seguridad social o de sanidad pública, por
ejemplo en caso contactos destinados a localizar enfermedades contagiosas o para reducir
y/o eliminar el dopaje en el deporte.
Obligaciones específicas en transferencias internacionales de datos

Evidentemente se deben cumplir todas las medidas de seguridad y procedimientos
implantados para el tratamiento de los datos personales que garanticen la
confidencialidad, privacidad, honor, intimidad y seguridad, pero además, en este caso
debemos cumplir concretamente las siguientes:
93
 Identificar en el Registro del tratamiento, entre otra información, la identificación

de las transferencias internacionales de datos a terceros países o a organizaciones
internacionales con documentación de las garantías adecuadas de protección que
se hayan adoptado.
 Información y comunicación a los interesados: Informar al interesado sobre la
intención de realizar transferencias internacionales, detallando la existencia o
ausencia de una decisión de adecuación con una referencia a las garantías
adecuadas y a los medios para obtener copia de ellas o al momento en que se
hayan facilitado las mismas.
 Ejercicio de los derechos de los interesados: Posibilitar el ejercicio del derecho de
acceso informando al interesado de los Destinatarios o categorías de
destinatarios internacionales.
Cuando exista un encargo del tratamiento, el Responsable del tratamiento posibilitará el

ejercicio del derecho de acceso informando de las garantías adecuadas de protección de
datos aplicadas.
94
Tema 11 Autoridades de control y régimen sancionador

Posición de la Agencia Española de Protección de Datos.
Una autoridad e control es la autoridad pública independiente establecida en un Estado
miembro, en nuestro caso hablamos de la Agencia Española de Protección de Datos, que
se encarga de supervisar la aplicación del presente Reglamento, con el fin de proteger los
derechos y las libertades fundamentales de las personas físicas en lo que respecta al
tratamiento y de facilitar la libre circulación de datos personales en la Unión.
FUNCIONES DE LA AUTORIDAD DE CONTROL
Podemos distinguir 3 funciones diferentes:

Afectan al interesado:
1. Promover la sensibilización del Reglamento entre el público.
2. Facilitar información al interesado de los derechos que le otorga el
Reglamento.
3. Facilitar la presentación de reclamaciones mediante formularios por vía
electrónica u otros medios de comunicación.
4. Resolver las reclamaciones presentadas por un interesado.
Afectan al Responsable y Encargado de tratamiento

1. Recibir las notificaciones de violaciones de seguridad.
2. Adoptar cláusulas contractuales tipo (contratos con terceros, transferencias
internacionales de datos).
3. Elaborar guías de ayuda para Responsables y Encargados del tratamiento.
4. Asesorar al Responsable o al Encargado del tratamiento del procedimiento
para realizar una consulta previa a la Autoridad de control
Afectan a las garantías de cumplimiento

1. Establecer los requisitos de certificación, expedir mecanismos de certificación,
sellos y marcas de protección de datos, renovarlos o retirarlos a su
vencimiento.
2. Elaborar y publicar los criterios para la acreditación de un organismo de
certificación o de supervisión de códigos de conducta
95
PODERES DE LA AUTORIDAD DE CONTROL

Debemos distinguir entre poderes investigadores y correctores:
Poderes investigadores Poderes correctores

1. Ordenar al Responsable y al 1. Imponer sanciones.
Encargado del tratamiento o, si lo 2. Formular advertencias o
hubiere, al representante de estos, amonestaciones al Responsable y
que faciliten cualquier información al Encargado del tratamiento
que soliciten. cuando las operaciones de
2. Llevar a cabo investigaciones en tratamiento puedan infringir el
forma de auditorías Reglamento.
3. Llevar a cabo una revisión de las 3. Ordenar al Responsable y al
certificaciones expedidas Encargado del tratamiento que
4. Notificar al Responsable y al atiendan las solicitudes del
Encargado del tratamiento las interesado para ejercer sus
presuntas infracciones del derechos.
Reglamento. 4. Ordenar al Responsable del
tratamiento la comunicación de
una violación de seguridad a los
interesados afectados por la
misma.
5. Imponer una limitación temporal o
definitiva del tratamiento.
6. Ordenar la rectificación, limitación
o supresión de datos.
7. Retirar una certificación si no se
cumplen los requisitos legales.
8. Ordenar la suspensión de una
transferencia internacional de
datos.
SANCIONES
La entrada en vigor del régimen sancionador del RGPD, supone un cambio sustancial y un
cuantioso incremento de las sanciones que se puedan imponer por incumplimiento del
RGPD.
Además, el RGPD, prevé las sanciones a las administraciones públicas (autoridades y

organismos públicos), y establece la capacidad de las autoridades de control de imponer
dichas sanciones económicas.
Aclaración:
Es decir, el RGPD otorga a los Estados miembros la capacidad de establecer normas
respecto a si se puede imponer multas administrativas a la administración pública y la
medida de las mismas.
96
¿Por qué me pueden sancionar?

Básicamente por lo mismo que con la anterior Directiva y normativas de cada estado
miembro de la U.E., en nuestro caso de la Ley Orgánica 15/99 de Protección de Datos y
Real Decreto 1720/2007, pero además, como ya sabemos tenemos nuevos
procedimientos que implantar como Análisis de Riesgos, Evaluaciones de Impacto,
Registros de Tratamientos, Notificación de Incidencias, nuevos derechos y la manera de
informar y solicitar el consentimiento.
Las sanciones se impondrán, en función de las circunstancias de cada caso, es decir, se

tendrá en cuenta una serie de condicionantes que hará que la sanción sea limitada o
agravatoria y son:
 La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate
así como el número de interesados afectados y el nivel de los daños y perjuicios
que hayan sufrido.
 La intencionalidad o negligencia en la infracción.
 Cualquier medida tomada por el responsable o encargado del tratamiento para
paliar los daños y perjuicios sufridos por los interesados.
 El grado de responsabilidad del responsable o del encargado del tratamiento,
habida cuenta de las medidas técnicas u organizativas que hayan aplicado.
 Toda infracción anterior cometida por el responsable o el encargado del
tratamiento.
 El grado de cooperación con la autoridad de control con el fin de poner remedio
a la infracción y mitigar los posibles efectos adversos de la infracción.
 Las categorías de los datos de carácter personal afectados por la infracción.
 La forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso, en
qué medida.
 Cuando hubiera medidas, ya ordenadas contra el responsable o el encargado de
tratamiento por la autoridad de control, en relación con el mismo asunto.
 La adhesión a códigos de conducta en virtud o a mecanismos de certificación.
 Cualquier otro factor agravante o atenuante aplicable a las circunstancias del
caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o
Aclaración
En todos estos condicionantes existe un criterio clave ya comentado en muchas
ocasiones durante el curso, la protección de datos desde el diseño, y lo que implica que
para la realización de un tratamiento se deben tener en cuenta aspectos como:
 El estado de la técnica, coste de la aplicación y la naturaleza
 Ámbito, entorno y finalidad del tratamiento
 Los riesgos basados en la probabilidad y gravedad que ocasionaría el tratamiento
para los derechos y libertades de las personas físicas
 La obligación del responsable del tratamiento de implantar, en toda la vida útil del
dato, medidas técnicas y organizativas adecuadas con el fin de garantizar la
seguridad y confidencialidad de los datos y que solo serán objeto de tratamiento
los datos personales imprescindibles para cada uno de los fines específicos del
tratamiento.
97
IMPORTE DE LAS SANCIONES

Las sanciones pueden ascender a:
 10 millones de euros o el 2% como máximo del volumen de negocio total anual global.
 20 millones de euros o el 4% como máximo del volumen de negocio total anual global.
Caso 1, multas para infracciones de las siguientes disposiciones del RGPD:

 Condiciones aplicables al consentimiento del menor en relación con los servicios
de la sociedad de la información.
 Tratamientos que no requieren identificación.
 Condiciones aplicables al consentimiento del menor en relación con los servicios
de la sociedad de la información.
 Tratamientos que no requieren identificación.
 Encargados del tratamiento.
 Corresponsables del tratamiento.
 Tratamientos bajo la autoridad del Responsable y del Encargado del tratamiento.
 Representantes de los Responsable del tratamiento no establecidos en la UE.
 Registro de las actividades del tratamiento.
 Protección de datos desde el diseño y por defecto.
 Seguridad del tratamiento.
 Evaluación de impacto relativa a la protección de datos.
 Consultas previas.
 Notificación de una violación de seguridad a la Autoridad de control.
 Comunicación de una violación de seguridad al interesado.
 Garantías de certificación.
 Organismos y procedimientos de certificación.
 Designación del DPO.
 Funciones del DPO.
 Poderes del DPO.
 Cooperación con la Autoridad de Control.
Caso 2, multas para infracciones de las siguientes disposiciones del RGPD:

 Principios relativos al tratamiento de datos personales.
 Licitud del tratamiento.
 Condiciones para el consentimiento.
 Tratamiento de categorías especiales de datos personales.
 Transferencias de datos personales a terceros países u organizaciones
internacionales.
 Disposiciones relativas a situaciones específicas de tratamiento de datos.
 Derechos del interesado.
 No facilitar el acceso a la Autoridad de control para ejercer sus facultades
investigadoras.
 El incumplimiento de un requerimiento de la Autoridad de control
 El incumplimiento de las resoluciones de la Autoridad de control
98

LOPD Reglamento Europeo 2016 - 679

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

LOPD Reglamento Europeo 2016 - 679

Uploaded by

Copyright:

Available Formats

LOPD - REGLAMENTO EUROPEO 2016/679

Tema 1 Introducción al Reglamento, conceptos generales

Hasta la aplicación obligatoria tanto la Directiva europea 95/46, como la LOPD y el

El nuevo Reglamento Europeo en Protección de Datos es una de las normas centrales de

Es un reglamento transversal a todas las actividades que se desarrollen en el sector

Actualmente nos regimos por la Directiva 95/46.

Esta normativa va a tener un impacto esencial a nivel mundial, porque la directiva

hablamos de protección de datos hablamos de flujo económico de datos

La normativa tiene 2 objetivos, regular la protección de datos y la libre circulación

En el ámbito de la protección de datos las fronteras no existen, quien no tiene gmail,

FUNDAMENTOS DE LA PROTECCIÓN DE DATOS

Además, el marco legislativo europeo también reconoce el derecho a la protección de

¿QUÉ ES UN DATO DE CARÁCTER PERSONAL?

La persona/titular de los datos, es lo que conoceremos partir de ahora como “el

¿Cuándo una persona es identificable?

Una persona física no se considerará identificable si dicha identificación requiere plazos

Ejemplo: si obtenemos imágenes a través de una cámara de videovigilancia, las

Por tanto, un dato personal puede ser un identificador, un dato de localización o un

¿Los datos genéticos y biométricos se consideran dato personal?

¿QUÉ ES LA PROTECCIÓN DE DATOS?

Seguramente usted recibirá información comercial a través de medios electrónicos (sms,

Actualmente para cualquier actividad, nos solicitan información personal:

 Nosotros somos los que decidimos si queremos recibir información comercial,

Ejemplo: si compramos un coche, seguramente el concesionario nos informará que

En virtud de la Protección de Datos podemos negarnos a que nuestros datos sean

¿Cuándo sé que estoy tratando/manejando datos?

OBJETIVO DEL REGLAMENTO

El Reglamento europeo en Protección de Datos es una norma única de aplicación directa

Una norma única permite y consigue:

2. Evita la dispersión normativa existente de diferentes normativas de cada Estado

A través del principio de responsabilidad proactiva o “Accountability” que introduce el

Por tanto, los datos personales serán tratados con:

APLICACIÓN DEL REGLAMENTO

¿Quién debe cumplir el Reglamento?

EMPRESA DATOS PERSONALES PERSONA

El GDPR se aplica a las operaciones (tratamiento automatizado como al tratamiento

Ejemplo: ¿quién no ha estado en una celebración, en una comida/cena, con amigos

Las novedades más destacables son:

 Registrar documentalmente las operaciones de tratamiento del Responsable

Tema 2 Principios del nuevo Reglamento

A través del principio de responsabilidad proactiva, debemos implantar medidas que

El cumplimiento del Accountability se basa en el buen hacer desde el mismo momento

DIFERENCIAS ENTRE LOPD 15/99 Y REGLAMENTO EUROPEO 2016/679.

La introducción de las novedades va a suponer que cualquier empresa

Ley Orgánica 15/99 de Protección de Datos (Directiva

PRINCIPIOS Y CALIDAD DE LOS DATOS

Debemos garantizar al interesado los siguientes aspectos relativos a sus datos

ACCOUNTABILITY & PRIVACY BY DESIGN

“Se trata de buscar la privacidad desde el primer momento de concepción de un bien o

El Responsable de tratamiento debe aplicar medidas técnicas y organizativas

Debemos identificar, antes de que se materialicen, los riesgos de un producto o servicio

Al diseñar y desarrollar aplicaciones, servicios y productos que están basados en el

El análisis dará lugar a un resultado mínimamente documentado, sobre las implicaciones

Los supuestos que el Reglamento General de Protección de Datos contempla como

 Tratamientos a gran escala de categorías especiales de datos o de datos

Una evaluación de impacto, debe basarse en una serie de fases:

1. ¿Es necesario?- ¿Cuál es la finalidad? – Calidad de los datos

2. Describir los flujos de información

3. Identificar los riesgos que afecten a la privacidad

4. Mantenimiento de los datos personales

5. Garantizar los derechos

¿Qué normativa de seguridad cumplimos?

7. Cesiones de datos - Transferencias internacionales