Importe iva Incl: 67 €
Autor: Javier Álvarez Hernando
Fecha: 2020
Páginas: 1.684 en formato electrónico
Esta renovada edición se divide en dos grandes bloques:
uno general, donde se desgrana el Reglamento General de Protección de Datos y el resto de normativa de aplicación,
y otro específico, dedicado a diferentes sectores de actividad, a saber: comunidades de propietarios; relaciones laborales; Sistemas de Información Crediticia; Administración Pública, en general; protección de datos en el proceso y en la Administración de Justicia; en la abogacía y la procura; en el sector de la publicidad; en la videovigilancia; en el ámbito de la salud; en las redes sociales; y en las conocidas como tecnologías disruptivas (cloud computing; Big Data, Blockchain; Internet de las Cosas; Inteligencia Artificial; 5G)
A lo largo de la obra se incluyen;
– Cientos de referencias bibliográficas
– Resoluciones y dictámenes de las autoridades de protección de datos
– Las sentencias nacionales y comunitarias con mayor transcendencia
– Numerosos modelos y formularios que facilitan el cumplimiento normativo en materia de protección de datos
CONTENIDO
Bloque I.-Normativa general en Protección de Datos Personales
Tema 1. Protección de datos: antecedentes y evolución normativa. Conceptos y definiciones
I. Evolución histórica del Derecho a la Protección de Datos
1. Primeros instrumentos normativos
2. El Convenio 108 (RCL 1985, 2704) y su modernización
3. La Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD)
4. La Directiva 95/46/CE (LCEur 1995, 2977), de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
5. La Ley Orgánica 15/1999, de 13 de diciembre (RCL 1999, 3058), de Protección de Datos de Carácter Personal y su Reglamento de desarrollo
6. Carta de los Derechos Fundamentales de la Unión Europea (LCEur 2007, 2329) (Carta de Niza)
7. Resoluciones de Naciones Unidas sobre el derecho a la privacidad en la era digital
8. Tratado de Lisboa
9. El Reglamento General de Protección de Datos (RGPD (LCEur 2016, 605))
9.1. Publicación y entrada en vigor
9.2. La “economía de los datos” y el porqué de una nueva regulación europea
9.3. Novedades del RGPD (LCEur 2016, 605)
10. La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD (RCL 2018, 1629))
II. Normativa conexa en materia de protección de datos personales
1. Ley 34/2002, de 11 de julio (RCL 2002, 1744, 1987), de Servicios de la Sociedad de la Información y de Comercio Electrónico
2. Ley 25/2007, de 18 de octubre (RCL 2007, 1891), de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones
3. Ley 59/2003, de 19 de diciembre (RCL 2003, 2975), de firma electrónica y Reglamento 910/2014 (LCEur 2014, 1598), relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS)
4. Ley 9/2014, de 9 de mayo (RCL 2014, 657, 699), General de Telecomunicaciones
5. Armonización en el intercambio de datos policiales y judiciales: la Directiva (UE) 2016/680 (LCEur 2016, 606)
6. Directiva 2016/681 (LCEur 2016, 607), relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave
7. Normas sobre ciberseguridad: La Directiva 2016/1148 (LCEur 2016, 1042) del Parlamento Europeo y del Consejo (Directiva NIS). El Reglamento sobre la Ciberseguridad
8. Directiva (UE) 2019/1937 (LCEur 2019, 1855) del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (Directiva «Whistleblowing»)
9. El Real Decreto-Ley 14/2019, de 31 de octubre (RCL 2019, 1609), en materia de administración digital, contratación del sector público y telecomunicaciones
10. Propuesta de Reglamento europeo de e-Privacy y su interconexión con el Reglamento General de Protección de Datos
1. Ley 34/2002, de 11 de julio (RCL 2002, 1744, 1987), de Servicios de la Sociedad de la Información y de Comercio Electrónico
2. Ley 25/2007, de 18 de octubre (RCL 2007, 1891), de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones
3. Ley 59/2003, de 19 de diciembre (RCL 2003, 2975), de firma electrónica y Reglamento 910/2014 (LCEur 2014, 1598), relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS)
4. Ley 9/2014, de 9 de mayo (RCL 2014, 657, 699), General de Telecomunicaciones
5. Armonización en el intercambio de datos policiales y judiciales: la Directiva (UE) 2016/680 (LCEur 2016, 606)
6. Directiva 2016/681 (LCEur 2016, 607), relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave
7. Normas sobre ciberseguridad: La Directiva 2016/1148 (LCEur 2016, 1042) del Parlamento Europeo y del Consejo (Directiva NIS). El Reglamento sobre la Ciberseguridad
8. Directiva (UE) 2019/1937 (LCEur 2019, 1855) del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (Directiva «Whistleblowing»)
9. El Real Decreto-Ley 14/2019, de 31 de octubre (RCL 2019, 1609), en materia de administración digital, contratación del sector público y telecomunicaciones
10. Propuesta de Reglamento europeo de e-Privacy y su interconexión con el Reglamento General de Protección de Datos
III. El origen del derecho a la protección de datos como derecho fundamental en España
1. Perfilado del derecho fundamental a la protección de datos por parte del Tribunal Constitucional
2. Protección de datos como derecho fundamental en el RGPD (LCEur 2016, 605) y en la LOPDGDD (RCL 2018, 1629)
IV. Terminología básica en protección de datos
1. Dato personal
2. Dato relacionado con la salud
3. Teléfono y dirección como datos personales
4. La matrícula de vehículos es un dato personal
5. Los datos de consumo energético individualizados para cada punto de suministro son datos personales
6. El Documento Nacional de Identidad es un dato de carácter personal
7. La dirección IP es un dato de carácter personal
8. Correo electrónico como dato personal
9. El número de inscripción registral de una finca como dato personal
10. Las respuestas escritas de un examen de oposición son datos de carácter personal
11. Datos disociados. La anonimización de datos personales
12. La seudonimización
13. El afectado/a o interesado/a
14. Tratamiento de datos personales
15. Tratamiento de datos automatizado
16. Tratamiento de datos no automatizado
17. Tratamientos de datos automatizados y elaboración de perfiles
18. Tratamiento de categorías especiales de datos personales
19. La videovigilancia supone realizar un tratamiento de datos
20. Tratamiento de datos personales de personas físicas no fallecidas con fines de investigación científica o histórica
21. Tratamiento de datos personales relativos a condenas e infracciones penales, medidas cautelares y de seguridad
22. Tratamientos de datos que no requiere identificación
23. Fichero como conjunto estructurado de datos personales
24. Responsable del tratamiento
25. Corresponsables del tratamiento
26. El encargado del tratamiento
27. Representante del responsable o encargado del tratamiento
28. Destinatarios y terceros
29. Fuentes accesibles al público
30. Empresa, grupo empresarial y establecimiento principal
31. Tratamiento transfronterizo de datos personales
32. Normas corporativas vinculantes o «Binding Corporate Rules»
Tema 2. Ámbito de aplicación objetivo, subjetivo y territorial de la normativa de protección de datos
I. Objeto de la normativa de protección de datos: RGPD (LCEur 2016, 605) y LOPDGDD (RCL 2018, 1629)
II. Ámbito aplicación objetivo y tratamientos excluidos en la normativa de Protección de Datos
1. Ámbito de aplicación objetivo en el RGPD (LCEur 2016, 605)
2. Ámbito de aplicación material en la LOPDGDD (RCL 2018, 1629)
III. Ámbito subjetivo: Especial atención a las personas fallecidas y a los datos de contacto, de empresarios individuales y de profesionales liberales
1. Personas físicas y personas jurídicas
2. Personas fallecidas
3. Empresarios individuales, profesionales liberales y personas de contacto
IV. Ámbito territorial del Reglamento General de Protección de Datos
Tema 3. Principios en protección de datos y licitud del tratamiento
I. Introducción y encaje de los principios informadores en protección de datos
II. Principio de licitud, lealtad y transparencia. Causas de legitimación para tratar datos
1. Introducción y causas de legitimación para el tratamiento de datos
2. El consentimiento del interesado como causa legitimadora para el tratamiento de datos personales
2.1. El consentimiento en el RGPD (LCEur 2016, 605). Definición y condiciones que legitiman el tratamiento. El consentimiento tácito
2.2. Consentimiento específico para cada finalidad
2.3. Condiciones que legitiman el tratamiento basado en el consentimiento del interesado
2.4. El consentimiento informado
2.5. Duración del consentimiento prestado
2.6. Validez del consentimiento obtenido antes de la entrada en vigor del RGPD (LCEur 2016, 605)
2.7. Tratamiento de datos y consentimiento de menores de edad
A. Contexto normativo de menores
B. Tratamiento de datos de menores de edad en el RGPD (LCEur 2016, 605) y en la LOPDGDD (RCL 2018, 1629)
2.8. Consentimiento para el tratamiento de categorías especiales de datos personales
2.9. El RGPD (LCEur 2016, 605) descarta la validez del consentimiento tácito
2.10. El consentimiento y la transparencia en la Administración Pública
2.11. Supuestos conflictivos referidos al consentimiento del interesado para el tratamiento de sus datos
A. El consentimiento del interesado para la publicación de una fotografía suya en una red social: intromisión en el derecho a la propia imagen
B. El consentimiento verbal en la contratación de servicios de telecomunicaciones
C. Consentimiento y contratación fraudulenta de productos y servicios
3. La existencia de una relación contractual o precontractual como base jurídica legitimadora para el tratamiento de datos personales
4. Tratamientos de datos personales en cumplimiento de una obligación legal
5. Tratamientos en cumplimiento de una misión realizada en interés público o en el ejercicio de funciones públicas
6. El tratamiento de datos personales con base en el interés vital del interesado o de otra persona física
7. Legitimación para tratar datos personales basada en la existencia de un interés legítimo prevalente
7.1. El interés legítimo prevalente y su evolución legal y jurisprudencial
7.2. Supuestos que ayudan a determinar la licitud del tratamiento con base en el interés legítimo. La regla de ponderación y las expectativas razonables de los interesados
7.3. Supuestos de licitud bajo el interés legítimo prevalente recogidos expresamente en el RGPD (LCEur 2016, 605)
7.4. La presunción iuris tantum de interés legítimo prevalente en la LOPDGDD (RCL 2018, 1629)
7.5. Derecho de información y de oposición del afectado en los tratamientos basados en el interés legítimo
7.6. Interés legítimo, medidas y evaluaciones de impacto
7.7. Supuestos destacados en los que es suficiente la existencia de interés legítimo para el tratamiento de datos personales
7.8. El interés legítimo prevalente y el tratamiento de datos personales por parte de las Administraciones Públicas
7.9. Criterios de ponderación para la realización de la “prueba de sopesamiento” en los supuestos de valoración del interés legítimo prevalente como causa de legitimación para tratar datos personales
7.10. Modelos de evaluación de ponderación o sopesamiento para supuestos de valoración del interés legítimo prevalente como causa de legitimación para tratar datos personales
7.11. Checklist o listado de verificación del responsable del tratamiento para considerar el interés legítimo prevalente como causa de legitimación para tratar datos personales
7.12. Otros modelos de ayuda: propuesta de la IAF
III. El principio de exactitud en el tratamiento de datos
IV. El principio de limitación de la finalidad en el tratamiento de datos personales
V. El principio de minimización de datos
VI. El principio de limitación del plazo de conservación de datos. Obligación de bloqueo
VII. El principio de seguridad y confidencialidad
VIII. El principio de transparencia e información
1. Principio de transparencia como obligación global
2. Obligación de informar al interesado e información que debe facilitarse. Uso de iconografía
3. Excepciones a la necesidad de informar al interesado
4. Procedimientos de recogida de datos y forma de informar al interesado
5. Información proporcionada por capas o niveles
6. Directrices sobre el deber de informar (y otras medidas de responsabilidad proactiva) en Apps para dispositivos móviles
7. Modelo de cláusula informativa de protección de datos (datos de salud) solicitando el consentimiento explícito para determinados tratamientos
8. Adaptación de las políticas de privacidad de los sitios web al RGPD (LCEur 2016, 605)
9. Modelos de políticas de privacidad
MODELO 1. POLÍTICA DE PRIVACIDAD
MODELO 2. POLÍTICA DE PRIVACIDAD DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
IX. Consecuencias del incumplimiento del deber de información y transparencia
Tema 4. El principio de responsabilidad activa o «accountability» en protección de datos personales
I. El principio de responsabilidad activa y demostrable
1. Concepto, evolución histórica y alcance del principio de responsabilidad activa
2. Exigencia de responsabilidad activa y demostrable en el RGPD (LCEur 2016, 605). Medidas que facilitan el cumplimiento normativo
3. La responsabilidad activa y su exigencia a los encargados de tratamiento
4. Lista de Verificación (checklist) sobre medidas de responsabilidad activa
II. El Registro de las Actividades de Tratamiento de datos
1. Delimitación y regulación del Registro de Actividades de Tratamiento (RAT)
1.1. Principio de responsabilidad activa y el Registro de Actividades de Tratamiento
1.2. Supuestos en los que se exige disponer de un RAT a disposición de la Autoridad de Control
1.3. Delegado de protección de datos y el RAT
2. Contenido del Registro de Actividades de Tratamiento
3. Publicación del RAT en la sede electrónica o sitio web de la entidad
4. Modelos de Registro de Actividades de determinados tratamientos de datos
III. Protección de datos desde el diseño y por defecto
1. Protección de datos desde el diseño (PbD)
1.1. Concepto, regulación y alcance de la privacy by design
1.2. Principios Fundacionales de la Privacidad desde el Diseño y medidas
1.3. Factores de riesgo específicos de privacidad y objetivos de protección
1.4. La ingeniería de la privacidad (privacy engineering)
1.5. Estrategias de diseño de la privacidad
1.6. Patrones de diseño de la privacidad
1.7. Privacy Enhancing Technologies (PETS)
2. Medidas de protección de datos por defecto
IV. El Delegado de Protección de Datos (DPD) o «Data Protection Officer» (DPO)
1. Introducción y antecedentes históricos
2. ¿Qué es un delegado de protección de datos?
3. Funciones del delegado de protección de datos
3.1. Función de información y asesoramiento normativo
3.2. Función de supervisión del cumplimiento normativo. Auditoría
3.3. Función de cooperación y enlace con la autoridad de control
3.4. Función de atención a los interesados e intermediación en casos de reclamación
4. ¿Cuándo es obligatoria en una organización la existencia de un DPO?
5. Designación formal e infracciones por no disponer de la figura del delegado de protección de datos en una organización
MODELO DE DESIGNACIÓN DE UN DELEGADO DE PROTECCIÓN DE DATOS, POR PARTE DEL RESPONSABLE O ENCARGADO DEL TRATAMIENTO (SECTOR PRIVADO)
MODELO DE DESIGNACIÓN DE UN DELEGADO DE PROTECCIÓN DE DATOS, POR PARTE DEL RESPONSABLE O ENCARGADO DEL TRATAMIENTO (SECTOR PÚBLICO)
6. Publicación de los datos de contacto del delegado de protección de datos
7. La figura del delegado de protección de datos
8. Incompatibilidad y conflicto de intereses del delegado de protección de datos
9. Modelo de certificación como delegado de protección de datos
10. Compromiso ético de los delegados de protección de datos
11. Proceso de certificación para delegados de protección de datos
Tema 5. Régimen Jurídico del responsable y el encargado del tratamiento
I. El responsable y el encargado del tratamiento. Conceptos
1. Introducción y regulación
2. El Responsable del Tratamiento (RT)
2.1. Concepto: determinación de fines y medios
3. Ampliación y determinación del concepto de responsable del tratamiento en la jurisprudencia del TJUE
II. Corresponsabilidad en el tratamiento de datos
1. Concepto de corresponsabilidad en el tratamiento. Suscripción de un acuerdo
2. Modelos de acuerdo de corresponsabilidad en el tratamiento de datos
Formulario
3. Incumplimientos en supuestos de corresponsabilidad
III. Encargado del tratamiento (ET)
IV. Elección y supervisión del encargado del tratamiento. Principio de responsabilidad activa
V. Responsabilidad del responsable y del encargado del tratamiento
VI. Finalización de la prestación de servicios objeto del encargo
VII. Información al interesado respecto de los encargados de tratamientos
VIII. Aplicación del RGPD (LCEur 2016, 605) a los encargados de tratamiento dentro y fuera de la Unión Europea
IX. Ejercicio de derechos y registro de actividades de tratamiento
X. El contrato de encargo y su contenido
XI. Supuestos de subcontratación del servicio por parte del encargado del tratamiento
XII. Contratos preexistentes a la entrada en vigor del RGPD (LCEur 2016, 605)
XIII. Encargados del tratamiento en la Administración Pública
XIV. Modelo de contrato entre un responsable y un encargado del tratamiento
Formulario
XV. Modelo de contratos entre encargado y un subencargado del tratamiento
Formulario
XVI. Modelo de anexo respecto a medidas de seguridad a incorporar en los contratos entre un responsable y un encargado o subencargado del tratamiento
Formulario
XVII. Supuestos específicos de acceso a datos por cuenta de terceros
1. Empresas de seguridad como encargadas o como responsables del tratamiento
2. Auditor de cuentas como responsable del tratamiento
3. Asesoría o gestoría como encargados del tratamiento
4. Empresa dedicada a servicios de geolocalización como encargada del tratamiento
5. Encargados del tratamiento de control de acceso a edificios
6. Empresa de destrucción documental como encargada del tratamiento
Formulario
7. Servicios prestados entre entidades que conforman un mismo grupo empresarial
Tema 6. Derechos de los interesados y su ejercicio. Los derechos digitales
I. Introducción a los derechos. Poder de disposición y control de los interesados sobre sus datos personales
II. Limitaciones del alcance de las obligaciones y los derechos de los interesados
1. Restricciones y limitaciones establecidas en el Reglamento General de Protección de Datos
2. Requisitos legislativos formales para limitar derechos de las personas
3. Restricciones y limitaciones vigentes establecidas en la derogada Ley Orgánica 15/1999 (RCL 1999, 3058)
4. Restricciones y limitaciones establecidas en normas o en la consideración o no de dato personal
III. Procedimiento para el ejercicio de derechos
1. El responsable del tratamiento como obligado, no solo a informar, sino a dar cumplida respuesta al ejercicio de un derecho
2. ¿Quién puede ejercitar un derecho en protección de datos?
3. Identificación de los interesados
4. Acreditación del ejercicio del derecho
5. Plazos para responder los ejercicios de derechos
6. Ejercicio de derechos a título gratuito, salvo excepciones
7. Resumen de obligaciones generales para el responsable del tratamiento, en materia de ejercicio de derechos
8. Infracciones frente a vulneraciones de los derechos de los interesados
9. Ejemplo de Protocolo procedimental en relación con la gestión de derechos de los interesados en materia de protección de datos
Formulario
IV. Derecho a la información y principio de transparencia
1. Información como derecho de los interesados
2. Resumen de obligaciones del responsable del tratamiento en materia de transparencia e información
V. Derecho de acceso y su regulación
1. En qué consiste el derecho de acceso
2. Derecho a obtener una copia de los datos tratados
3. Alcance y limitaciones del derecho de acceso
4. Ejercicio del derecho de acceso por medios electrónicos
5. Plazo y procedimiento para satisfacer el ejercicio del derecho de acceso
6. Supuestos en los que cabe denegar un derecho de acceso
7. Supuestos concretos de derechos de acceso a datos personales
7.1. Acceso a los datos de los fallecidos por parte de sus herederos
7.2. Acceso a datos personales del resto de miembros de una asociación
7.3. Derecho de acceso sobre decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles
7.4. Acceso por parte de los padres a las calificaciones de sus hijos menores de edad
7.5. Acceso de los progenitores a las calificaciones de sus hijos mayores de edad en el ámbito universitario y en centros docentes
A. En el ámbito universitario
B. Supuesto de centros docentes no universitarios
7.6. Derecho de acceso a documentos e informes sobre la evolución de un menor en una escuela infantil
8. Modelo para el ejercicio del derecho de acceso datos del responsable del tratamiento
Formulario
9. Modelo de contestación ante un ejercicio del derecho de acceso a datos personales
Formulario
VI. Derecho a la portabilidad de los datos
1. Concepto y regulación
1.1. Requisitos y condiciones para el ejercicio del derecho a la portabilidad
1.2. Elementos de la portabilidad de los datos
1.3. Limitaciones al derecho de portabilidad
1.4. Aplicación de las normas generales al ejercicio de los derechos de los interesados a la portabilidad de los datos
1.5. Derecho a la portabilidad en redes sociales
1.6. Resumen del alcance del derecho a la portabilidad
1.7. Modelo de ejercicio del derecho a la portabilidad de los datos
Formulario
2. Derecho de rectificación
2.1. Concepto y regulación
2.2. Derecho de rectificación en tratamientos de elaboración de perfiles
2.3. Modelo de ejercicio derecho de rectificación datos del responsable del tratamiento
Formulario
Formulario
3. Derecho de supresión (derecho al olvido)
3.1. Introducción
3.2. Antecedentes históricos desde el “the right to be let alone” a la Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de 13 de mayo de 2014
A. The right to be let alone. La configuración primigenia del derecho al olvido
B. Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) que resuelve la problemática sobre el derecho al olvido
C. Directrices de aplicación de la sentencia del TJUE de 2014
3.3. Concepto y regulación del derecho al olvido en el RGPD (LCEur 2016, 605) y en la Ley 3/2018, de 5 de diciembre (RCL 2018, 1629)
Formulario
Formulario
4. Derecho a la limitación del tratamiento
Formulario
5. El derecho de oposición y decisiones individuales automatizadas
5.1. Derecho de oposición en el RGPD (LCEur 2016, 605)
5.2. Modelos de ejercicio del derecho de oposición
Formulario
Formulario
5.3. Modelo de contestación ante un ejercicio de oposición por parte del responsable del tratamiento
Formulario
5.4. Derecho de oposición frente a decisiones individuales automatizadas, incluida la elaboración de perfiles
5.5. Modelo de ejercicio del derecho a no ser objeto de decisiones individuales automatizadas
Formulario
5.6. Modelo de contestación ante el ejercicio de oposición frente a decisiones individuales automatizadas
Formulario
6. Los derechos digitales
6.1. Derechos digitales y su reconocimiento
A. Concepto y circunstancias
B. Regulación y derechos
C. Ámbito de aplicación
6.2. Derechos digitales
A. Derechos relativos al acceso y uso de Internet
B. Derechos educativos y de los menores de edad
a. Derecho a la educación digital y competencias digitales
b. Derechos de los menores de edad
C. Derechos ampliados en protección de datos
a. Derecho de rectificación en Internet
b. Derecho a la actualización de informaciones en medios de comunicación digitales
c. Derecho al olvido
d. Derecho a la portabilidad en redes sociales
e. Derecho al testamento digital
D. Derechos de los trabajadores y empleados públicos
VII. Análisis jurídico de la acción de reclamación de una indemnización por haber sufrido daños y perjuicios derivados de una infracción en materia de protección de datos. Estudio del artículo 82 del RGPD (LCEur 2016, 605)
1. Introducción
2. Requisitos de la acción de responsabilidad del artículo 82 RGPD
3. Elementos de la responsabilidad del artículo 82 RGPD
4. Competencia judicial
Tema 7. Seguridad, análisis de riesgos y evaluaciones de impacto en protección de datos
I. Breve referencia a la seguridad y su evolución normativa
II. La seguridad en el Reglamento General de Protección de Datos
1. Introducción. La seguridad como principio y como obligación
2. La seudonimización de datos personales
2.1. Concepto y alcance de la seudononimización
2.2. Función Hash o resumen, como técnica de seudononimización de datos personales
3. La anonimización y los riesgos de reutilización de datos disociados. La K-anonimización
3.1. Concepto y riesgos de la anonimización de datos personales
3.2. Riesgo de desanonimización de datos: la K-anonimidad
4. El cifrado de datos personales
5. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
6. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico
7. Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento
8. Medidas de seguridad de carácter técnico
9. Medidas de seguridad de carácter organizativo
10. Recomendaciones de seguridad para proteger los datos personales en situaciones de movilidad y teletrabajo
10.1. Recomendaciones dirigidas a responsables del tratamiento
10.2. Recomendaciones dirigidas al personal que participa en las operaciones de tratamiento
10.3. Recomendaciones de seguridad para reuniones virtuales
11. Recomendaciones de seguridad en las plataformas corporativas en la nube
12. Incumplimientos del personal de las medidas de seguridad
III. Análisis de riesgos en los tratamientos de datos personales sujetos al RGPD (LCEur 2016, 605)
1. El enfoque del riesgo en el RGPD. Introducción
2. Tratamientos de datos que implican alto riesgo para los derechos y libertades de las personas
3. Introducción a la teoría del riesgo
3.1. Concepto de riesgo. Los factores de gravedad y probabilidad
3.2. Las fuentes de riesgo, los eventos, consecuencias y probabilidades en las Directrices UNE-ISO 31000
3.3. Sujeto pasivo del riesgo
3.4. El proceso de gestión de riesgos
3.4.1. Introducción
3.4.2. Ciclo de mejora continua en el análisis de riesgos
3.4.3. Fases de una política de gestión de riesgos
3.4.4. Inventario de activos
3.4.5. Estados por los que puede pasar el riesgo
3.4.6. Valoración del riesgo. Métodos de cálculo
3.4.7. El tratamiento del riesgo: la evaluación del riesgo
3.4.8. Reevaluación del riesgo, una vez aplicadas las salvaguardas y controles
3.4.9. El plan de tratamiento del riesgo
3.4.10. Revisión de la evaluación y seguimiento de la gestión de riesgos
3.4.11. El informe de riesgos
4. El riesgo y los operadores en protección de datos: responsable, encargado del tratamiento y delegado de protección de datos
4.1. El responsable y el encargado del tratamiento en el proceso de gestión de riesgos
4.2. El Delegado de Protección de Datos y el enfoque de riesgo
5. Infracciones relacionadas con la gestión de riesgos
6. Directrices y metodologías relacionadas con la gestión de riesgos
IV. Gestión de riesgos en tecnologías biométricas
V. Modelo de Informe de “Proceso de análisis de riesgos”
VI. La Evaluación de Impacto en Protección de Datos (EIPD)
1. Supuestos en los que se exige una evaluación de impacto
1.1. Cuestiones previas
1.2. Supuestos generales, recogidos en el artículo 35 RGPD (LCEur 2016, 605), que exigen, o no, la realización de una EIPD
2. Recomendaciones de tipos de tratamiento que requieren una EIPD, según el GT29
3. Tipos de operaciones de tratamiento que requieren, y los que no requieren, una EIPD, según la AEPD
3.1. Lista orientativa de la AEPD sobre tipos de tratamientos que requieren una EIPD, según el artículo 35.4RGPD
3.2. Lista orientativa de la AEPD sobre tipos de tratamientos que NO requieren una EIPD, según el artículo 35.5RGPD
4. Contenido mínimo de una Evaluación de Impacto en protección de datos
5. Solicitud de la opinión del interesado
6. Códigos de conducta y evaluaciones de impacto
7. Consulta previa a la AEPD
8. Esquema procedimental para la realización de una Evaluación de Impacto en protección de datos
8.1. Análisis de necesidad. Equipo de trabajo y definición del proyecto
8.2. Descripción del proyecto y de los flujos de información. Detalle de las categorías de datos que se tratan, los usuarios de los mismos, los flujos de información y las tecnologías utilizadas
9. Modelo 1 de informe de Evaluación de Impacto en Protección de Datos
10. Modelo 2 de informe de Evaluación de Impacto en Protección de Datos (EIPD) para el sector privado
11. Modelo de Informe de Evaluación de Impacto en la Protección de Datos (EIPD) para Administraciones Públicas
VII. FACILITA: Herramienta para operaciones de tratamiento de escaso riesgo
VIII. Herramienta Gestiona EIPD de la Agencia Española de Protección de Datos: Asistente para el análisis de riesgos y evaluaciones de impacto en protección de datos
IX. Brechas o violaciones de seguridad de datos personales y su notificación a la Autoridad de Control y a las personas afectadas
1. Concepto y alcance general de las brechas de seguridad de datos personales
1.1. Concepto y alcance
1.2. Gestión de brechas de seguridad y notificación a la Autoridad de control y los interesados
1.3. Antecedentes y otras normas que exigen procedimientos de gestión de brechas de seguridad
2. Notificación de violaciones de seguridad de los datos personales a la autoridad de control y a los afectados
2.1. Obligación de notificación de una violación de seguridad de los datos a la autoridad de control
2.2. Obligación de notificación de una violación de seguridad de los datos al interesado
3. Modelo de comunicación de una quiebra de seguridad a un afectado
4. Ejemplo de aviso sobre incidente de seguridad comunicado por la aplicación Flipboard
5. Protocolo de gestión de quiebras de seguridad o «data breach» y su notificación a la autoridad de control
6. Medidas de seguridad de los operadores de comunicaciones electrónicas. Quiebras de seguridad y su notificación a la AEPD
6.1. Medidas de seguridad de los operadores
6.2. Quiebras de seguridad y su notificación
X. Medidas de seguridad en tratamientos de datos realizados por la Administración
1. Medidas de seguridad en el sector público
2. Medidas de seguridad en la Administración Electrónica
3. Medidas de seguridad en el Sistema de Registros Administrativos de apoyo a la Administración de Justicia
4. Esquema Nacional de Seguridad
5. Ejemplos de vulneraciones en materia de seguridad por parte de la Administración Pública.
XI. Otras cuestiones relacionadas con la seguridad de la información
1. Ciberseguridad. La Directiva NIS y el Real Decreto-Ley 12/2018, de 7 de septiembre (RCL 2018, 1254), de seguridad de las redes y sistemas de información. Reglamento sobre Ciberseguridad en la UE
2. Declaración de prácticas de certificación y sus implicaciones en materia de seguridad de los datos
3. Bloqueo de los datos y medidas de seguridad
Tema 8. Transferencias internacionales de datos
I. Introducción y antecedentes
II. Regulación de las Transferencias Internacionales de Datos (TID)
III. Principio general y supuestos en los que cabe una TID
IV. TID basadas en una Decisión de adecuación de la Comisión Europea
V. Transferencias mediante garantías adecuadas
VI. Supuestos sometidos a autorización previa de las autoridades de protección de datos
VII. Transferencias no autorizadas por el Derecho de la UE
VIII. Suspensión y autorización judicial en relación con decisiones de la Comisión Europea, en materia de TID, que vulneren el RGPD (LCEur 2016, 605)
1. Suspensión del procedimiento ante decisiones de la Comisión Europea en TID que infringen el RGPD (LCEur 2016, 605)
2. Decisiones de la Comisión Europea que resultan de aplicación
3. Procedimiento de autorización judicial
IX. Transferencias internacionales de datos tributarios
X. Entidades estadounidenses certificadas en el marco del Escudo de Privacidad UE-EE.UU.
1. Antecedentes de la TID a Estados Unidos: el Acuerdo de Puerto Seguro o «Safe Harbour»
2. Escudo de la privacidad Unión Europea-Estados Unidos de América
XI. El registro de nombres de pasajeros o «Passenger Name Records» (PNR)
1. El registro de nombres de pasajeros y la Directiva (UE) 2016/681 (LCEur 2016, 607), pendiente de trasposición en España
2. Australia, Canadá y Estados Unidos de América, respecto a los datos personales («Passenger Name Records» –PNR–) incluidos en los registros de nombres de los pasajeros que se transfieren al servicio de aduanas de estos países
XII. Los Estados Unidos de América respecto al tratamiento y la transferencia de datos de mensajería financiera de la UE a los EE.UU. a efectos del Programa de Seguimiento de la Financiación del Terrorismo (Decisión del Consejo 2010/412/UE (LCEur 2010, 965), de 13 de julio de 2010). Acuerdos SWIFT
XIII. Medidas provisionales y régimen sancionador ante infracciones relativas a TID
XIV. Los Estados Unidos respecto a los datos a efectos policiales y judiciales en materia penal
XV. Normas corporativas vinculantes (NCV)
1. Concepto y alcance de las NCV o BCR
2. Antecedentes normativos y disposiciones actuales que dan soporte a las NCV
3. Contenido mínimo de las NCV
4. Aprobación de una NCV por la AEPD o autoridad autonómica de protección de datos
5. Solicitud normalizada de aprobación de NCV para responsables del tratamiento
6. Solicitud normalizada de aprobación de NCV para encargados del tratamiento
XVI. Ejemplo de Política de normas corporativas vinculantes en una organización
XVII. Primera Resolución de la AEPD aprobando las NCV de un grupo empresarial
Tema 9. Instrumentos de acreditación de cumplimiento en protección de datos: códigos de conducta y la certificación
I. Los códigos de conducta en protección de datos
1. Objeto y naturaleza de los códigos de conducta. Aproximación normativa
2. Efectos e incentivos de los códigos de conducta
3. Ámbito de aplicación de los códigos de conducta
3.1. Ámbito de aplicación subjetivo
3.2. Ámbito de aplicación objetivo y territorial
4. Contenido de los códigos de conducta
5. Procedimiento de elaboración y adopción de los códigos de conducta
6. Supervisión de los códigos de conducta y acreditación de los organismos de supervisión
6.1. Criterios de acreditación para los organismos de supervisión de códigos de conducta
7. Adaptación de los códigos tipo registrados al RGPD (LCEur 2016, 605)
8. Resumen de la regulación de los códigos de conducta
II. Mecanismos de certificación en protección de datos
1. Introducción y objeto
2. Certificación en protección de datos
3. El organismo de certificación
Tema 10. Régimen de responsabilidad en protección de datos
I. Infracciones y sanciones en protección de datos. Introducción
II. Sujetos responsables
III. Infracciones y sanciones en el RGPD (LCEur 2016, 605) y en la LOPDGDD (RCL 2018, 1629)
IV. Graduación y atenuación de las sanciones
V. El apercibimiento y la advertencia en el Reglamento General de Protección de Datos
VI. El principio de presunción de inocencia
VII. La prescripción de infracciones y sanciones
VIII. Prácticas agresivas en materia de protección de datos como competencia desleal
1. Prácticas agresivas en protección de datos
2. Acciones frente a actos de competencia desleal
3. Coste cero y reacción de la AEPD
Tema 11. Autoridades de control en protección de datos
I. Autoridades de Control en el Reglamento General de Protección de Datos
1. Aproximación normativa
2. Independencia
3. Competencia, funciones y poderes
4. Informe de actividad. Memoria anual
II. La Agencia Española de Protección de Datos como Autoridad Administrativa Independiente
1. Régimen jurídico de la AEPD
2. Funciones y potestades de la AEPD
3. Memoria anual de la AEPD
4. Potestades de investigación y planes de auditoria preventiva de la AEPD
5. Deber de colaboración con la AEPD
6. Planes de auditoría preventiva
7. Acción exterior del Estado en protección de datos
8. Régimen económico presupuestario y de personal
9. Organigrama de la Agencia Española de Protección de Datos
9.1. La Presidencia de la Agencia Española de Protección de Datos
9.2. Consejo Consultivo de la Agencia Española de Protección de Datos
9.3. La Inspección de Datos
9.4. El Registro General de Protección de Datos
9.5. Secretaría General de la AEPD
9.6. Gabinete Jurídico de la AEPD
III. El Consejo General del Poder Judicial (CGPJ) y su competencia sobre datos jurisdiccionales
IV. Autoridades autonómicas de protección de datos
1. Regulación de las Autoridades autonómicas de protección de datos
2. Autoritat Catalana de Protecció de Dades – Autoridad Catalana de Protección de Datos (APDCAT)
3. Datuak Babesteko Euskal Bulegoa – Agencia Vasca de Protección de Datos (AVPD)
4. Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA)
V. Supervisor Europeo de Protección de Datos (SEPD)
VI. Comité Consultivo del Convenio n.º 108
VII. Grupo de Trabajo del Artículo 29 (GT29)
VIII. El Comité Europeo de Protección de Datos (CEPD)
IX. La Europol
X. Autoridad Común de Control de Schengen: SIS II
XI. Autoridad Común de Control en el Sistema de Información Aduanero (Sistemas SIA)
XII. Autoridad Común de Control Eurojust
XIII. Red Global de Control de la Privacidad («Global Privacy Enforcement Network» – GPEN)
Tema 12. Procedimientos en materia de protección de datos
I. Procedimientos de cooperación y coherencia en el RGPD (LCEur 2016, 605)
1. Cooperación
2. Asistencia mutua
3. Coherencia
II. Procedimiento por vulneraciones de la normativa de protección de datos
1. Introducción y régimen jurídico
2. Normas comunes para los diferentes procedimientos en protección de datos
3. Procedimiento por vulneración de la normativa de protección de datos por falta de atención de una solicitud de ejercicio de los derechos
4. Procedimiento sancionador
5. Procedimiento de reclamaciones transfronterizas
III. Régimen transitorio de los procedimientos
IV. Intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos
V. Inspecciones, actas y obstrucción a la labor inspectora de la AEPD
VI. Suspensión de procedimientos judiciales, según el Reglamento General de Protección de Datos
VII. Terminación del procedimiento por reconocimiento de la responsabilidad o pronto pago
VIII. La representación en el Reglamento General de Protección de Datos
IX. Publicidad de las resoluciones de la AEPD
Bloque II.-Tratamientos específicos de datos personales
Tema 13. Comunidades de propietarios, administradores de fincas y protección de datos
I. ¿Qué es la protección de datos y qué implica para una comunidad de propietarios?
1. Introducción y regulación
2. La comunidad de propietarios como «responsable del tratamiento» y el administrador de fincas como «encargado del tratamiento»
2.1. Conceptos básicos: tratamiento de datos personales
2.2. La Comunidad de Propietarios como responsable y administrador de fincas como encargado del tratamiento. Necesidad de contrato o acto jurídico vinculante
Formulario
II. Obligaciones en materia de protección de datos
1. Elaboración de un Registro de actividades de tratamiento
2. Bases jurídicas que legitiman el tratamiento de datos. Principios aplicables
Formulario
3. Derechos de los interesados y su ejercicio
4. Análisis de riesgos y medidas de seguridad de los tratamientos de datos en la comunidad de propietarios
5. Deber de confidencialidad de la Comunidad de propietarios y del Administrador de la finca en el tratamiento de datos personales
III. Videovigilancia en las comunidades de propietarios
1. Introducción
2. ¿Es de aplicación la normativa de protección de datos a los tratamientos de videovigilancia?
3. Legitimación y Cuórum necesario para la aprobación en junta general de la instalación de un sistema de videovigilancia
4. Proporcionalidad y minimización de datos
5. Instalación en una comunidad de propietarios de un sistema de videovigilancia conectado a una central de alarmas
6. Aspectos para tener en cuenta cuando se pretenda instalar un sistema de videovigilancia en una comunidad de propietarios
Formulario
7. Conservación de las imágenes grabadas
8. Derechos que pueden ejercitar las personas cuyas imágenes han sido captadas por un sistema de videovigilancia en una comunidad de propietarios
Formulario
9. Vulneración de los derechos a la intimidad y a la propia imagen en diferentes supuestos de videovigilancia
10. Videovigilancia en plazas de garaje
11. Videovigilancia en servidumbres de paso
12. Videoporteros y mirillas digitales
13. Uso de cámaras simuladas
14. Viviendas unifamiliares
15. Grabación de las juntas
IV. Listados de propietarios morosos y tablones de anuncios
1. Comunicaciones, tablones y protección de datos
2. Revelación oral de la condición de moroso de un vecino por parte de la presidenta de la comunidad
3. Exposición pública de comunicaciones recibidas por el presidente de la comunidad
4. Publicación periódica de la relación de propietarios con cuotas vencidas y pendientes de pago
5. Derecho al honor y exposición pública de datos de propietarios morosos
6. Entrega a los propietarios de documentación relativa a la gestión y administración del inmueble. Cesión de datos a entidades financieras
V. El administrador de fincas y la protección de datos
1. El administrador de fincas en el régimen de propiedad horizontal
2. El administrador de fincas y el régimen de propiedad vertical
Tema 14. La protección de datos y su impacto en las relaciones laborales
I. El impacto tecnológico en las relaciones laborales y el derecho a la protección de datos
1. Introducción
2. Protección de Datos en el RGPD (LCEur 2016, 605) y en la LOPDGDD (RCL 2018, 1629) desde la perspectiva de las relaciones laborales
2.1. Principios
II. Protección de datos en la fase previa a la contratación de personal
1. Tratamiento de datos personales en los procesos de selección de personal
2. Tratamiento del dato de discapacidad de un/a candidato/a en la Administración Pública
3. Tratamiento de datos personales contenidos en un curriculum vitae (CV)
4. Cláusula de contestación ante solicitudes de empleo
Formulario
5. Consulta a Redes Sociales (RRSS) en procesos de selección de personal
6. Solicitud de datos que resulten discriminatorios en un proceso de selección
7. Antecedentes penales del candidato o del empleado de nueva incorporación
8. Certificado de delitos de naturaleza sexual
9. Portales de empleo a través de Internet
10. Agencias de colocación y tratamiento de datos
III. Protección de datos y su impacto en el desarrollo de la relación laboral
1. El protagonismo de los convenios colectivos en la normativa sobre protección de datos personales
2. El principio de transparencia en el tratamiento de datos en los contratos laborales
3. Ejemplo de cláusula de protección de datos a incorporar en los contratos de trabajo
Formulario
4. Cláusulas de confidencialidad y su incumplimiento como causa de despido disciplinario
5. Ejemplo de cláusula de confidencialidad y de información sobre los controles sobre los medios puestos a disposición de los trabajadores y sobre el derecho a la desconexión digital
Formulario
6. Nulidad de las cláusulas incorporadas en el contrato de trabajo que exigen al trabajador proporcionar el teléfono y correo electrónico
7. Se considera lícita la cláusula de un contrato de una empresa de «contact-center» sobre cesión de imagen de empleados para «telemarketing»
8. Cláusulas para suscribir por parte de los trabajadores: normas de uso de los sistemas de información y del correo electrónico corporativo
8.1. Ejemplo de catálogo de normas de uso del correo electrónico en una organización
Formulario
9. Listas negras de trabajadores
10. El Registro horario y protección de datos
10.1. Regulación del registro horario y su regulación en el Estatuto de los Trabajadores (RCL 2015, 1654)
10.2. Sistemas manuales, analógicos o digitales de registro y protección de datos
10.3. ¿Es necesario el consentimiento del trabajador para implantar un sistema de control horario? ¿Hay que informarle acerca de las medidas de control establecidas?
10.4. Proveedores externos de los sistemas de registro son encargados de tratamiento
10.5. Modelo de escrito para comunicar a los trabajadores la instalación de sistemas de control horario
Formulario
Formulario
10.6. El control biométrico de los trabajadores
A. Control biométrico en la jurisprudencia social
B. Control biométrico en el RGPD (LCEur 2016, 605)
11. Las tarjetas identificativas de los trabajadores en los trabajos de cara al público
12. Tratamiento de datos de salud de los trabajadores con el fin de control del absentismo laboral
13. Comentarios vertidos en una red social sobre la salud de un empleado constituyen intromisión ilegítima en su derecho a la intimidad personal
IV. Prevención de riesgos laborales y protección de datos
1. Tratamientos de datos personales en la función de prevención de riesgos laborales
2. Servicios de prevención de riesgos laborales
3. Acceso de los delegados de prevención a datos de salud
4. Prevención de riesgos psicosociales en la empresa. El ciberacoso laboral
5. Ejemplo de Protocolo de actuación frente al acoso laboral
Formulario
6. Tratamiento de datos personales de empleados afectados por el Virus COVID-19
V. Función de las organizaciones sindicales y sus implicaciones en materia de protección de datos
1. Cesión de datos personales de trabajadores a organizaciones sindicales
2. Remisión de información sindical por correo electrónico a los trabajadores
3. Publicación de información sindical que incorpore datos personales de trabajadores en los tablones de anuncios o en la intranet corporativa
4. Comunicación de datos de trabajadores a los representantes sindicales y, en particular, al comité de empresa
5. Comunicación de datos de empleados públicos a los representantes de los trabajadores
VI. Cesión de datos de los trabajadores con el fin de suscribir seguros de vida y planes de pensiones
VII. Cesión de la Relación Nominal de Trabajadores (RNT) de trabajadores a contratistas
VIII. El control tecnológico en las relaciones laborales. Derechos de los trabajadores y requisitos para la fiscalización de dispositivos por parte del empleador
1. Control tecnológico de la prestación laboral. Introducción y aproximación normativa
2. Jurisprudencia que ha configurado el control de los dispositivos tecnológicos en la relación laboral
2.1. Doctrina jurisprudencial en España respecto al control de los dispositivos puestos a disposición de los trabajadores
2.2. Jurisprudencia del Tribunal Europeo de Derechos Humanos: la expectativa razonable de intimidad y privacidad en el ámbito laboral
A. Expectativa razonable de intimidad y privacidad
B. Caso Barbulescu I
C. Caso Barbulescu II
D. Caso López Ribalda y otros I
E. Caso Libert
F. Caso López Ribalda y otros II
2.3. Utilización de pruebas obtenidas de redes sociales para justificar un despido disciplinario
3. Regulación del uso de dispositivos digitales puestos a disposición por el empleador en la LOPDGDD (RCL 2018, 1629)
4. Videovigilancia y grabación de sonidos en el ámbito laboral
4.1. Legitimación del tratamiento de videovigilancia: control laboral
4.2. El límite del principio de proporcionalidad de la medida de videovigilancia y grabación de sonidos en el centro de trabajo
4.3. Información a los trabajadores acerca de la instalación de sistemas de videovigilancia y grabación de sonidos
4.4. Ejemplo de escrito para comunicar a los trabajadores la instalación de un sistema de videovigilancia en el centro de trabajo
Formulario
4.5. Lugares prohibidos para la instalación de sistemas de videovigilancia
4.6. Comunicación de la instalación de sistemas de videovigilancia y grabación de sonidos a los representantes de los trabajadores y comité de empresa
4.7. Ejemplo de escrito para comunicar a los representantes de los trabajadores acerca de la instalación de cámaras de videovigilancia en el centro de trabajo
4.8. Acceso, por parte de los representantes de los trabajadores, a las grabaciones realizadas por el sistema de videovigilancia en el centro de trabajo
4.9. Grabación de sonidos en el centro de trabajo
5. Sistemas de geolocalización de los trabajadores
6. El derecho a la desconexión digital
IX. Sistemas de denuncias internas o «whistleblowing» en el sector privado y público
1. Concepto y antecedentes
2. Regulación de los sistemas de denuncias internas o «whistleblowing»
2.1. Legitimación del tratamiento en sistemas de denuncias internas
2.2. Denuncias anónimas
2.3. Derecho de información de la existencia de un sistema de denuncias internas
2.4. Acceso a los datos contenidos en los sistemas de denuncias internas
2.5. Plazo de conservación de los datos en los sistemas de información de denuncias internas
3. Herramienta dirigida al cumplimiento normativo en los modelos de prevención de delitos
4. Modelo de protocolo de recepción y gestión de denuncias internas
Formulario
Tema 15. Sistemas de Información Crediticia
I. Introducción y evolución histórica
1. Breve referencia a la evolución normativa de los Sistemas de Información Crediticia
2. Justificación de los tratamientos de datos de los Sistemas de Información Crediticia. El «crédito responsable»
II. Regulación de los Sistemas de Información Crediticia
1. Aproximación
2. Legitimación para el tratamiento de los SICs
3. Requisitos de las deudas para su inclusión en SICs y obligaciones de los responsables de este tipo de tratamientos
III. Responsabilidad de los acreedores y de las Agencias de Información Crediticia. Corresponsabilidad en el tratamiento de datos
IV. Registros de incumplimiento de obligaciones dinerarias en España
1. Registro de sentencias firmes de impagos de rentas de alquiler
2. Ficheros de inquilinos morosos y listas negras
3. Registro de Impagados Judiciales
V. Deudas acaecidas durante el matrimonio y su acceso a los sistemas de información crediticia
VI. Registros de incumplimiento de obligaciones dinerarias de carácter sectorial
1. Registro de sentencias firmes de impagos de rentas de alquiler
2. Ficheros de inquilinos morosos y listas negras
3. Registro de Impagados Judiciales
VII. Central de Información de Riesgos del Banco de España (CIRBE)
VIII. Posibles acciones del afectado ante la amenaza de inclusión en SICs consecuencia de la reclamación de una deuda por la prestación de un servicio con el que el usuario no está conforme. Acciones frente a la inclusión en SICs y como consecuencia de supuestos de suplantación de identidad
1. Incompetencia de la AEPD para solventar cuestiones civiles
2. Amenaza de inclusión de datos en SICs consecuencia de prestaciones de servicios discutidas por el interesado
3. Inclusión en SICs consecuencia de la suplantación de identidad en la contratación de servicios
4. Tratamiento e inclusión de datos personales en SICs, por parte de empresas de recobro
5. Derechos que puede ejercer el interesado
IX. Vulneración del derecho al honor por inclusión indebida o no veraz en un fichero relativo al cumplimiento o incumplimiento de obligaciones dinerarias
1. Introducción
2. Derecho al honor de personas jurídicas
3. Plazo de caducidad de las acciones de protección frente a intromisiones ilegítimas en el derecho al honor
4. Doctrina judicial por afección al derecho al honor de afectados cuyos datos fueron incorporados a SICs
5. Cuantificación del daño
Tema 16. Tratamiento de datos personales en el sector público
I. Introducción
II. Impacto del RGPD (LCEur 2016, 605) sobre la actividad de las Administraciones Públicas
1. Identificación de tratamientos. Determinación de finalidades y causas de legitimación
2. Elaboración y publicación de un Registro de Actividades de Tratamiento (RAT (RCL 1956, 1048, 1294))
3. Exigencia de cumplir con el principio de información
4. Ejercicio de derechos
5. Análisis de riesgos
6. Medidas de seguridad y quiebras de seguridad
7. Evaluaciones de Impacto en Protección de Datos (EIPD)
8. Encargados de tratamiento
9. Delegado de Protección de Datos (DPO)
10. Transferencias internacionales de datos
III. Tratamientos de datos específicos en la administración pública regulados en la LOPDGDD (RCL 2018, 1629)
1. Tratamiento de datos personales con fines de archivo en interés público
2. Tratamiento de datos en el ámbito de la función estadística pública
3. Tratamiento de datos personales relativos a infracciones y sanciones administrativas
4. Tratamiento de los registros de personal del sector público
5. Tratamiento de los sistemas de denuncias internas
IV. Diversos aspectos sobre protección de datos en el sector público
1. Aportación de documentación por parte de los ciudadanos en procedimientos administrativos
2. Potestad de verificación de datos personales de los ciudadanos
3. Identificación de los ciudadanos en notificaciones de actos administrativos
4. Comunicación de datos personales de los administrados a sujetos privados
5. Sanciones impuestas al Sector Público en materia de protección de datos
V. Supuestos específicos de tratamientos de datos por parte del sector público
1. Comunicación de datos con transcendencia tributaria a la AEAT
2. Publicación de datos de infractores tributarios por parte de la Agencia Tributaria
3. Tratamiento de datos del Padrón de habitantes por parte de una Administración Pública con el objetivo de fomentar la participación ciudadana
4. Comunicación de datos sobre la inscripción en el Padrón de habitantes de alguna persona inscrita en un inmueble al propietario del mismo
5. Grabación de reuniones de órganos colegiados de las Administraciones Públicas
6. Publicación en Internet de las actas de los Plenos municipales
7. Acceso por parte de concejales de la oposición a documentación en la Corporación Local
8. Publicación de fotografías en la web de una Administración Pública con la finalidad de informar acerca de las actividades realizadas
9. Publicación en la sede electrónica de licencias de obras concedidas
10. Acceso a los expedientes administrativos y comunicación de datos a la persona denunciada
11. Acceso al expediente de licencia urbanística o proyecto de obra pública
12. Publicación de datos de licitadores, actas y miembros de las mesas de contratación administrativa
13. Comunicación de datos sobre personas que reciben la Renta Mínima de Inserción desde una administración autonómica a una local
14. Comunicación de datos de menores vulnerables desde una Corporación local a una Mancomunidad que presta servicios sociales
15. Acceso a expedientes administrativos sobre ayudas sociales por parte de un secretario-interventor en un Ayuntamiento
16. Publicación en Internet de los datos de personas que han resultado elegidas presidentes y vocales de las mesas electorales en elecciones
17. Información contenida en el Catastro y datos personales
18. Derecho de supresión de datos frente a la Dirección General de Instituciones Penitenciarias
19. Impugnación de valoraciones en procesos de adopción
20. Derecho de cancelación de datos ante los Registros Administrativos de Apoyo a la Administración de Justicia
21. Entidad adjudicataria de la prestación de un servicio de atención telefónica a mujeres víctimas de violencia de género
22. Entidades colaboradoras en la función de intermediación en la adopción internacional como encargadas de tratamiento
23. Acceso a datos personales del padrón por parte de una empresa pública, por cuenta del Ayuntamiento
24. Registro Central de Delincuentes Sexuales
25. Sistema Nacional de Publicidad de Subvenciones y Ayudas Públicas
26. El Registro Nacional de Víctimas de Accidentes de Tráfico
27. El Registro Central de Sanciones en materia de violencia, racismo, xenofobia e intolerancia en el deporte (RCS)
28. El «cloud computing» en las Administraciones Públicas
29. Entidades locales y Sistemas de Información Crediticia
30. Publicidad del registro de la propiedad versus protección de datos
31. Tratamiento de imágenes a través de cámaras de control del tráfico
32. Las “smart cities” o ciudades inteligentes y la protección a la ciudadanía
VI. Transparencia, acceso a la información pública y protección de datos
1. Tratamiento y acceso del público a documentos oficiales en el RGPD (LCEur 2016, 605)
2. Transparencia, acceso a la información pública y protección de datos en España
3. Acceso a datos personales de empleados públicos y puesto que ocupan a la luz de la ley de transparencia
4. Publicación en Internet de datos obtenidos mediante el acceso derivado de la Ley de Transparencia (RCL 2013, 1772)
VII. Reutilización de la información del sector público
1. Regulación
2. Ámbito objetivo de aplicación de la Ley sobre reutilización de información en el sector público
3. Condiciones generales para la reutilización de información en el sector público
4. Reutilización y protección de datos
5. Conexión con la Ley de Transparencia y Acceso a la Información Pública (RCL 2013, 1772)
6. Orientaciones sobre protección de datos en la reutilización de la información del sector público
VIII. Protección de datos y operaciones de tratamiento realizadas por fuerzas y cuerpos de seguridad
1. Regulación
2. Obligación de comunicar datos personales a las FCS en el marco de una investigación
3. Comunicación de datos de personas hospedadas a las FCS
4. Comunicación de datos del Padrón Municipal a las FCS en el ejercicio de sus funciones
5. Cesión de datos del registro de vehículos a la Policía local
6. Acceso, por parte de la Policía local, al listado de beneficiarios de tarjetas de estacionamiento
7. Registro de matrículas de vehículos estacionados por parte de las FCS
8. Sistema integrado de gestión operativa, análisis y seguridad ciudadana (SIGO) de la Guardia Civil
9. Ejercicio de derechos ante ficheros policiales de investigación
10. Ficheros policiales sobre abogados sospechosos por razón de las defensas asumidas
11. El Sistema Integrado de Interceptación de las Telecomunicaciones (SITEL)
11.1. Regulación de las intervenciones telefónicas y telemáticas
11.2. Configuración de SITEL como herramienta de interceptación de las telecomunicaciones
11.3. Información a la que puede acceder SITEL
11.4. Destrucción de los registros
12. Base de datos policial sobre identificadores obtenidos a partir del ADN
12.1. La intimidad genética
A. Antecedentes normativos
B. Base de datos policial sobre identificadores obtenidos del ADN
12.2. Las muestras de ADN son datos personales
12.3. Operadores que tienen acceso a los datos de ADN
12.4. Plazo de conservación de las muestras de ADN
12.5. Comisión Nacional para el uso forense del ADN
12.6. Documento de consentimiento informado de detenido o imputado para la obtención de muestras de ADN en asunto criminal
13. Videovigilancia y el tratamiento de imágenes por parte de fcs
13.1. Regulación de los sistemas de videovigilancia por las FCS
13.2. Captación de imágenes en dispositivos privados por parte de la Policía en situaciones de urgencia
13.3. Comunicación de imágenes de videovigilancia a FCS y Juzgados y Tribunales
13.4. Uso de drones por las FCS
Tema 17. Tratamiento de datos personales en el proceso y en la administración de justicia
I. Normativa de aplicación
1. La Directiva 2016/680 (LCEur 2016, 606) y la Ley Orgánica 6/1985, de 1 de julio (RCL 1985, 1578, 2635), del Poder Judicial
2. Aplicación supletoria del RGPD (LCEur 2016, 605) y de la LOPDGDD (RCL 2018, 1629)
3. Periodo transitorio hasta la transposición de la Directiva 2016/680 (LCEur 2016, 606)
II. Administración de Justicia y protección de datos
1. Sometimiento a la derogada LOPD (LO 15/1999 (RCL 1999, 3058))
2. Tipos de ficheros y responsable de los mismos
3. Consentimiento para el tratamiento
4. Supresión de datos y acceso a las resoluciones
5. Cesiones o comunicaciones de datos
6. Creación, modificación y supresión de ficheros. Responsable de seguridad
7. Derechos de los interesados
8. Competencia de la AEPD y del Consejo General del Poder Judicial
9. Infracciones en protección de datos
10. Tratamientos de datos del CGPJ
III. El Consejo General del Poder Judicial (CGPJ) y su competencia sobre datos jurisdiccionales
IV. El impacto de la regulación sobre tratamientos de datos personales en la normativa procesal y en la Directiva 2016/680 (LCEur 2016, 606)
1. Tratamientos de datos personales en el proceso penal
2. Responsable del tratamiento
3. El Encargado del tratamiento
4. Principios aplicables al tratamiento de datos personales en el ámbito penal y policial, según la Directiva 2016/680 (LCEur 2016, 606)
5. Principio de responsabilidad activa («accountability»)
6. Principio de protección de datos por defecto y desde el diseño
7. Principio de licitud y lealtad. Legitimación para el tratamiento
8. Principio de minimización de datos
9. Principio de limitación de la finalidad
10. Principio de exactitud
11. Principio de limitación del plazo de conservación
12. Principio de seguridad y confidencialidad
13. Categorías especiales de datos
14. Registros de actividades de tratamiento y de operaciones
15. Evaluaciones de impacto y consulta previa a la autoridad de control
16. Medidas de seguridad
17. Notificación de violaciones de seguridad de los datos
18. Delegado de protección de datos
19. Otras cuestiones
V. Derechos de los interesados en el tratamiento de datos personales en el ámbito penal y policial
1. Derechos de los interesados
2. Derecho de acceso
3. Derecho de rectificación o supresión de datos personales y limitación de su tratamiento
4. Ejercicio de los derechos del interesado a través de la autoridad de control
5. Derechos del interesado en las investigaciones y los procesos penales
6. Reclamaciones por daños y perjuicios
VI. Supuestos de acceso a datos personales y su limitación en el proceso
1. Distintas categorías de interesados en el proceso
VII. Impedir ser parte a un interesado en un procedimiento de responsabilidad patrimonial contra la Administración puede vulnerar del CEDH (RCL 1999, 1190, 1572). Asunto «Vicent del Campo c. España»
VIII. Acceso de las partes procesales al expediente judicial. El carácter reservado
IX. Declaración del secreto de las actuaciones
X. Protección de testigos y peritos
XI. Entrega de documentación a un tercero en un acto de notificación
XII. Publicación de datos por edictos y su tratamiento por terceros
XIII. Subastas electrónicas y protección de datos
XIV. Datos contenidos en Sentencias y resoluciones judiciales
1. Sentencias del Tribunal Constitucional
2. Sentencias del Tribunal Europeo de Derechos Humanos
3. Sentencias del Tribunal de Justicia de la UE
XV. Acceso a procedimientos archivados por parte de quien acredite un interés legítimo o hubiera sido parte en el mismo
XVI. Comunicación de datos contenidos en diligencias de investigación, por parte del Ministerio Fiscal, a terceros que acrediten un interés legítimo
XVII. Estatuto de la víctima de delitos y protección de datos
XVIII. Orden de conservación de datos por el Ministerio Fiscal o Policía Judicial
XIX. Tratamiento de datos de verificación de la firma electrónica por la administración de justicia
Tema 18. Protección de datos en el sector de la abogacía y la procura
I. Cambio de paradigma en los despachos de abogacía y procuradores
II. Determinación del responsable del tratamiento en las distintas formas de ejercicio de la abogacía
1. Ejercicio individual
2. Ejercicio colectivo y societario
3. Colaboración profesional
4. Ejercicio por cuenta ajena
III. Tratamientos de datos en el ejercicio de la abogacía o la procura
1. Operaciones de tratamiento de datos más comunes por parte de la abogacía y la procura
2. Categorías especiales de datos y de infracciones penales
3. Causas de legitimación del tratamiento de datos por abogados/as y procuradores/as
4. Registro de actividades de tratamiento
5. Turno de oficio y tratamiento de datos personales
5.1. Legitimación del tratamiento de datos en turno de oficio
5.2. Justificación de las asistencias en turno de oficio ante el Colegio de Abogacía
6. Deber de informar y principio de transparencia
Formulario
7. Tratamientos de datos de la contraparte
8. Gestión de riesgos y evaluaciones de impacto en protección de datos
8.1. Realización de análisis y gestión de riesgos en los despachos
8.2. Evaluaciones de impacto en protección de datos
8.3. Brechas de seguridad
9. Exigencia o no del nombramiento de un delegado de protección de datos (DPO) en un despacho de abogacía o procura
9.1. Regulación y aspectos esenciales del DPO
9.2. Cuando es necesario nombrar un DPO en un colegio de la abogacía o en un despacho de abogados/as
9.3. Blanqueo de capitales y DPO
9.4. Designación voluntaria de DPO e incumplimiento de su nombramiento
10. Ejercicio de derechos ante un abogado/a o procurador/a
11. Contratos de acceso a datos por cuenta de terceros
12. Tratamientos de datos con fines de publicidad y comunicaciones comerciales por medios electrónicos en el sector legal
13. Publicación de datos de colegiados/as, a efectos de notificación, en el tablón de anuncios en el Colegio de Abogacía
IV. Comunicaciones de datos desde los Colegios de abogacía y de procuradores a la Administración Pública
1. Comunicación de datos de los colegios de abogacía y procuradores al Consejo General del Poder Judicial
2. Cesión de datos de letrados/as, por parte de los Colegios de Abogacía, a la AEAT con ocasión de los dictámenes emitidos ante la impugnación de costas judiciales
2.1. Informe jurídico de la AEPD
2.2. Informe de la Comisión Jurídica del Consejo General de la Abogacía Española
2.3. El TS desestima la pretensión de la AEAT
3. Cesión de información tributaria desde la AEAT al Consejo General de la Abogacía Española en los procedimientos de asistencia jurídica gratuita
3.1. Finalidad y alcance
3.2. Tratamiento de datos personales
3.3. Control y seguridad
V. Responsabilidad penal del abogado por aportación de documentos, obtenidos irregularmente por su cliente, en procedimientos judiciales
VI. Normativa sobre blanqueo de capitales y su impacto en el tratamiento de datos en la abogacía
1. Prevención de blanqueo de capitales y la abogacía: obligación de diligencia debida
2. Exigencias deontológicas y excepción al deber de secreto profesional
3. Catálogo de operaciones de riesgo que deben ser objeto de especial análisis por parte de la abogacía
4. Consecuencias del incumplimiento
5. Obligación de registro
VII. La mediación y las obligaciones en materia de protección de datos
1. Introducción y aproximación normativa
2. La confidencialidad en la mediación
3. Cláusula informativa para incluir en los formularios de solicitud de inicio de mediación
Formulario
Tema 19. Tratamientos de datos personales con fines publicitarios o comerciales
I. Introducción y aproximación normativa
II. Tratamientos de datos con fines comerciales o publicitarios
1. Legitimación para el tratamiento de datos
2. Datos de menores
3. Principio de transparencia e información
4. Derecho de oposición
5. Designación de un delegado de protección de datos (DPO)
III. Sistemas de exclusión publicitaria (SEP)
IV. Comunicaciones comerciales por vía electrónica
1. Régimen jurídico de las comunicaciones comerciales electrónicas
2. Comunicación electrónica comercial de naturaleza viral
3. Régimen sancionador por infracciones en relación con las comunicaciones comerciales electrónicas
3.1. Infracciones graves
3.2. Infracciones leves
V. La regulación del uso de dispositivos de almacenamiento y recuperación de información en los equipos terminales de los usuarios («cookies»)
1. Concepto y tipos de «cookies»
1.1. Concepto
1.2. Tipos de cookies
A. Cookies técnicas
B. Cookies de preferencias o personalización:
C. Cookies de análisis o medición
D. Cookies de publicidad comportamental
E. Cookies de sesión
F. Cookies persistentes
G. Cookies propias
H. Cookies de tercero
1.3. Guía sobre el uso de las cookies de la AEPD
2. Normativa de aplicación en materia de «cookies»
3. Obligaciones legales en los tratamientos de datos a través de «cookies»: transparencia y consentimiento
3.1. Obligación de transparencia en el tratamiento con cookies
A. Información que debe proporcionarse al interesado
B. Como debe mostrarse la información. Requisitos de transparencia e información por capas
a. Requisitos de transparencia
b. Información por capas o niveles
c. Otras formas de mostrar la información
3.2. Consentimiento del interesado
A. Consentimiento como base para el cumplimiento normativo
B. Consentimiento prestado por el destinatario o usuario
C. Modalidades de obtención del consentimiento
D. Consentimiento de menores de 14 años
E. Cuando pueden utilizarse y, en su caso, instalarse las «cookies»
F. Obtención del consentimiento para el uso de «cookies» cuando un editor presta servicios a través de diferentes páginas
G. Cambios en el uso de las «cookies»
H. Actualización del consentimiento: máximo 24 meses
I. Retirada del consentimiento para el uso de cookies
J. Posibilidad de denegación de acceso al servicio en caso de rechazo a las cookies
3.3. Partes intervinientes y responsabilidad en la utilización de cookies
A. El editor o los terceros utilizan las cookies para finalidades exceptuadas de las obligaciones de informar y de obtener el consentimiento
B. El editor o los terceros utilizan las cookies para finalidades no exceptuadas de las obligaciones de informar y obtener el consentimiento
4. Régimen sancionador previsto en la LSSICE (RCL 2002, 1744) en materia de «cookies»
5. Ejemplo 1.-“Política de Cookies”
6. Ejemplo 2.-“Política de Cookies”
7. Las «cookies» y la autorregulación de la «publicidad online» en Europa
VI. Tratamientos de datos mediante técnicas de seguimiento basadas en la huella digital del dispositivo («fingerprinting») con fines de segmentación de usuarios
VII. Llamadas telefónicas no solicitadas con fines de venta directa
VIII. Prácticas comerciales desleales en las comunicaciones comerciales
IX. Acciones para evitar la recepción de publicidad no deseada
1. Inscribirse en la Lista Robinson
2. Retirar el consentimiento prestado previamente
3. Utilizar los sistemas ofrecidos por la propia empresa que remite la publicidad para ejercer el derecho de oposición o de supresión
4. Eliminar los datos personales de las guías telefónicas
5. Sistema de mediación voluntaria de AUTOCONTROL
6. Reclamación ante la AEPD y documentación a presentar ante el acoso telefónico y telemático
Tema 20. Tratamiento de datos con fines de videovigilancia
I. Aproximación normativa a los tratamientos de videovigilancia. La imagen como dato de carácter personal
II. Ámbito de aplicación de la normativa de protección de datos a los tratamientos de videovigilancia. La excepción doméstica
1. Tratamientos de imágenes que identifiquen o puedan hacer identificables a las personas
2. Tratamiento de imágenes en un ámbito doméstico
3. Tratamiento de imágenes por los medios de comunicación
4. Empleo de cámaras simuladas
5. Promoción turística y finalidades promocionales
III. Tratamiento de imágenes con fines de seguridad
1. Legitimación para el tratamiento
2. Principio de proporcionalidad
3. Principio de limitación de la finalidad
4. Principio de minimización de datos
5. Medidas de responsabilidad activa
6. Principio de información
7. Encargado del tratamiento en sistemas de videovigilancia
8. Conservación de las imágenes
9. Los derechos de los interesados y las peculiaridades de su ejercicio en el ámbito de la videovigilancia
10. Comunicación de imágenes a particulares
11. Comunicación de datos a una compañía aseguradora
12. Otros tratamientos de imágenes con fines de seguridad
12.1. Fuerzas y Cuerpos de Seguridad
12.2. Infraestructuras críticas
12.3. Circuitos cerrados de televisión en competiciones o espectáculos deportivos
12.4. Videovigilancia en actividades y servicios de seguridad privada
A. Regulación de los servicios de videovigilancia en el ámbito de la seguridad privada
B. El uso de videovigilancia con reconocimiento facial en seguridad privada: tratamiento desproporcionado de categorías especiales de datos personales
12.5. Grabaciones por parte de detectives privados
12.6. Monitores que retransmiten en tiempo real con acceso por terceros
12.7. Videovigilancia en entornos escolares
IV. Tratamiento de imágenes con finalidades diferentes a la seguridad
1. Tratamiento de imágenes mediante “cámaras IP”
2. Grabaciones de asambleas
3. Cámaras “on board” instaladas en el interior o en el exterior de vehículos
4. Grabaciones y fotografías de menores en eventos
5. Técnicas de reconocimiento facial en la realización de pruebas de evaluación online
V. Aeronaves no tripuladas (DRONES) y sus implicaciones en protección de datos
1. Concepto y regulación
1.1. Aproximación conceptual y origen
1.2. Tratamiento de información y aplicaciones de los drones
1.3. Regulación en materia de drones
1.4. Dictamen del GT29 sobre drones de 2015
2. Categorías de operaciones de tratamiento de datos realizadas por drones
3. Recomendaciones de la AEPD: pasos antes de manejar un dron
Tema 21. Tratamiento de datos relacionados con la salud y con la investigación médica y/o científica
I. Tratamiento de datos de salud y su regulación
II. Datos de salud, datos genéticos y datos biométricos
1. Datos relativos a la salud
2. «Datos genéticos»
3. «Datos biométricos»
III. Legitimación para el tratamiento de datos de salud
1. El consentimiento y la relación contractual
2. Ámbito del derecho laboral y de la seguridad y protección social
3. Interés vital del afectado
4. Datos hechos públicos por el afectado y ejercicio de reclamaciones
5. Interés público (esencial y en el ámbito de la salud pública)
6. Asistencia sanitaria general
7. Legitimación de tratamientos de videovigilancia en centros de salud y hospitales
IV. Principios en el tratamiento de datos de salud
1. Licitud, lealtad y transparencia
2. Limitación de la finalidad
3. Minimización de datos
4. Exactitud
5. Limitación del plazo de conservación
6. Integridad y confidencialidad
7. Principio de responsabilidad activa
8. Derecho de información para el tratamiento de datos de salud
9. Recomendaciones de cumplimiento de la normativa de protección de datos en el ámbito sociosanitario
V. La historia clínica
1. Regulación y concepto de la historia clínica
2. Historiales médicos electrónicos
3. Derecho de acceso a la historia clínica
4. Acceso a la historia clínica de los pacientes fallecidos
5. Acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia
6. Acceso a la historia clínica de un menor por uno de los padres
7. Acceso a la historia clínica de pacientes por parte del personal sanitario
8. Derecho de acceso a los informes periciales de salud o valoración corporal, por parte del interesado
9. Acceso al contrato de seguro incorporado supuestamente a una historia clínica
10. Comunicación de la historia clínica a un tribunal eclesiástico
11. Derecho de rectificación y supresión de la historia clínica
12. Rectificación de datos identificativos en la historia clínica por cambio de sexo
13. Conservación y cancelación del historial clínico
VI. Tratamiento de datos con fines de investigación científica
1. La investigación como interés público. Concepto y marco normativo
2. Responsables y encargados del tratamiento en un estudio clínico
2.1. El centro investigador y el promotor como responsables del tratamiento de datos
2.2. CRO, monitores, auditores BPC y terceros, como encargados del tratamiento
2.3. Autoridades, Comités Éticos e investigadores colaboradores
3. Legitimación para el tratamiento de datos
3.1. El consentimiento para el tratamiento de datos y el consentimiento para participar en el ensayo clínico. El consentimiento para un uso secundario
3.2. Interés público e investigación clínica. Test de compatibilidad ex lege para tratamientos ulteriores
3.3. Otras causas legitimadoras
3.4. Licitud en la reutilización con fines de investigación de datos recogidos antes de la entrada en vigor de la LOPDGDD (RCL 2018, 1629)
4. Garantías y salvaguardas específicas en investigaciones científicas
4.1. Salvaguardas éticas y estatutarias
4.2. Garantías de carácter técnico
4.3. Salvaguardas legales y contractuales
5. Derechos de los afectados en tratamientos de investigación científica
5.1. Derecho de información
5.2. Derechos de los afectados y excepciones
VII. Otros tratamientos de datos relacionados con la salud
1. Tratamiento de datos en el marco de la prevención, contención y coordinación frente al COVID-19
1.1. Normativa de aplicación. El Real Decreto-ley 21/2020, de 9 de junio (RCL 2020, 954), de medidas urgentes de prevención, contención y coordinación frente al COVID-19
1.2. Informe jurídico de la AEPD en relación con el COVID-19
2. Tratamientos de datos relacionados con la toma de temperatura en distintos establecimientos consecuencia de la pandemia del COVID-19.
2.1. Necesaria determinación previa por parte de las autoridades sanitarias y el tratamiento de datos con la toma de temperatura.
2.2. Legitimación para el tratamiento de datos relacionados con la toma de temperatura
2.3. Principios de protección de datos especialmente relevantes.
2.4. Derechos y garantías en la toma de temperatura
3. El testamento vital y el Registro Nacional de Instrucciones Previas (RNIP)
3.1. El testamento vital o instrucciones previas
3.2. El Registro Nacional de Instrucciones Previas (RNIP)
4. Herramientas informáticas de prescripción de medicamentos genéricos
5. Implicaciones en materia de protección de datos de las actividades relacionadas con la utilización de células y tejidos humanos
6. Recetas médicas, órdenes de dispensación y sus implicaciones en materia de protección de datos
7. Tratamiento de datos de salud en los contratos de seguro
7.1. El caso de que, con motivo de la contratación de un nuevo seguro, o por cualquier circunstancia equivalente, se conocieran datos «preexistentes» al primer contrato celebrado
7.2. Con motivo de la celebración de un segundo contrato o por otros motivos, se conocieran datos relevantes para un contrato ya celebrado, pero posteriores a su celebración
7.3. Situaciones relativas a un segundo contrato de seguro aún no concertado, respecto de las cuales el asegurador tenga conocimiento de datos de salud trascendentes en la valoración del riesgo, con motivo de un contrato anterior
8. Comunicación de datos de salud por los centros sanitarios a la compañía aseguradora
Tema 22. Tecnologías disruptivas en los tiempos de la economía del dato
I. Introducción
II. Tecnología RFID y privacidad
1. Concepto y usos de la tecnología RFID
2. Funcionamiento y estandarización de la tecnología RFID
3. Riesgos para la privacidad y seguridad
4. Recomendaciones y buenas prácticas
III. El «cloud computing» y sus implicaciones en materia de protección de datos
1. Antecedentes históricos de la computación en nube y perspectivas
2. Concepto y características definidoras del «cloud computing»
3. Tipos y modalidades de servicios de computación en nube
4. Problemas y riesgos del “cloud computing”
5. “Cloud computing” y tratamientos de datos personales. El responsable y el encargado del tratamiento
6. Estrategias para el cliente de servicios de computación en la nube
7. El sector educativo (no universitario), las plataformas de teleformación y el «cloud computing»
IV. Internet de las cosas (IoT)
1. Concepto
2. Riesgos potenciales para la privacidad y la seguridad en el IoT
2.1. Riesgos para la privacidad
2.2. Riesgos para la seguridad
3. Aspectos regulatorios de la tecnología IoT
4. Vehículos conectados y aplicaciones de movilidad
V. Big Data
1. Significado y usos del Big Data
1.1. Concepto y objetivos del Big Data
1.2. Tipos de datos y características del Big Data
2. Riesgos de los tratamientos de Big Data
3. Cumplimiento normativo de protección de datos en tratamientos de Big Data
3.1. Datos personales. Identificabilidad de las personas
3.2. Causas de legitimación en Big Data
3.3. Principio de limitación de la finalidad: análisis de compatibilidad
3.4. Principio de minimización de datos y conservación
3.5. Principio de seguridad
3.6. Derechos de los interesados
3.7. Decisiones individuales automatizadas
3.8. Privacidad desde el diseño: el origen de los datos
3.9. Principio de responsabilidad activa
3.10. Evaluaciones de impacto en protección de datos (EIPD) para proyectos Big Data
3.11. Reutilización de datos disociados
3.12. Estrategias de privacidad en la cadena de valor de un proyecto de Big Data
VI. Tratamientos con datos personales que incorporan Inteligencia Artificial (IA)
1. Concepto
2. Categorías de IA atendiendo a su alcance y ámbito de aplicación
3. Técnicas de IA
4. Protección de datos y ética. Directrices éticas de la IA según la Comisión Europa
5. Ciclo de vida de una solución IA
6. Tratamientos de datos personales en los componentes de IA
7. Cumplimiento normativo de los sistemas de IA
7.1. Legitimación y limitación del tratamiento
7.2. Principio de transparencia e información
7.3. Ejercicio de derechos
A. Modelo de gobernanza de la información
B. Derecho de acceso
C. Derecho de supresión
D. Derecho de rectificación
E. Derecho de portabilidad
F. Toma de decisiones basadas únicamente en un tratamiento automatizado
7.4. Gestión de riesgos y evaluaciones de impacto en protección de datos
7.5. Delegado de Protección de Datos (DPO)
7.6. Principio de exactitud en soluciones de IA
A. Exactitud y factores influyentes
B. Información biométrica
C. Combinación de perfilados o segmentaciones
D. Verificación y validación de componentes de IA
7.7. Principio de minimización de datos
7.8. Nivel de seguridad adecuado al riesgo. Auditoría
7.9. Transferencias Internacionales de Datos (TID)
VII. Cadena de bloques o sistemas «blockchain»
1. Introducción
2. Elementos básicos de la tecnología «blockchain»
3. Composición de la tecnología «blockchain»
4. Actores, propiedades y clases de «blockchain»
5. Tensión entre la tecnología «blockchain» y el RGPD (LCEur 2016, 605)
VIII. Tecnologías frente al COVID-19. Riesgos de privacidad y beneficios
1. Introducción
2. Tecnología de geolocalización de dispositivos móviles de los ciudadanos por parte de los operadores de telecomunicaciones. Patrones de movilidad.
2.1. Funcionamiento
2.2. Referencia normativa y antecedentes
2.3. Amenazas contra la privacidad y beneficios de esta tecnología
3. Tecnología de geolocalización de dispositivos móviles de los ciudadanos por parte de las redes sociales
3.1. Amenazas contra la privacidad y beneficios de esta tecnología
4. Aplicaciones, Webs y chatbots para la realización de autotest sobre el COVID-19 o para registrar citas previas para servicios sanitarios
4.1. Alcance de este tipo de soluciones
4.2. Amenazas contra la privacidad y beneficios de esta tecnología
5. Aplicaciones de información voluntaria de contagios (COVAPPs)
5.1. Alcance
5.2. Amenazas contra la privacidad y beneficios de esta tecnología
6. Aplicaciones de seguimiento de contactos a través de Bluetooth (Contact Trace Apps)
6.1. Funcionamiento
6.2. Amenazas contra la privacidad y beneficios de esta tecnología
7. Pasaportes inmunológicos
7.1. Funcionamiento
7.2. Amenazas contra la privacidad y beneficios de esta tecnología
8. Cámaras de infrarrojos para lecturas masivas de temperatura
8.1. Funcionamiento
8.2. Amenazas contra la privacidad y beneficios de esta tecnología
IX. Tecnología 5G y riesgos para la privacidad
1. Introducción a la tecnología 5G
2. Características técnicas del 5G
3. Riesgos para la privacidad con la tecnología 5G
4. Recomendaciones de la AEPD
Tema 23. Tratamiento de datos personales a través de redes sociales
I. Las redes sociales y los riesgos a los derechos de los usuarios
II. Proveedores de las redes sociales como responsables del tratamiento
III. Usuarios de las redes sociales como interesados y la excepción doméstica. Breve referencia a su responsabilidad
IV. Legitimación para el tratamiento y cumplimiento del principio de información por parte de las redes sociales
V. Menores de edad y el tratamiento de sus datos en Internet y, especialmente, en las redes sociales
VI. Derechos de los afectados ante las redes sociales y conservación de los datos
1. Derechos de los interesados
2. Principio de limitación del plazo de conservación de datos
VII. La instalación de cookies en una red social y el consentimiento del usuario
VIII. Redes sociales como plataformas para el envío de correos electrónicos no deseados
IX. Datos personales de fallecidos en las redes sociales
X. Seguridad en las redes sociales
XI. Canal prioritario para comunicar la difusión de contenido sensible y solicitar su retirada
XII. Protección civil del derecho al honor, a la intimidad y a la propia imagen, frente a intromisiones ilegítimas
1. Alcance de los derechos y su protección
2. Existe intromisión ilegítima en el derecho a la propia imagen por la publicación de una foto obtenida del perfil de Facebook del acusado de un delito, sin su consentimiento: STC de 24/2/2020 y STS de 15/2/2017
3. Intromisión ilegítima en el derecho a la propia imagen de una persona detenida por abusos a menores, por la publicación de una foto obtenida de una red social (STS de 19/12/20)
4. Vulneración en el derecho al honor de una dependienta por comentarios vejatorios realizados en Facebook
5. Intromisión ilegítima en el derecho al honor, la intimidad y la propia imagen, por la creación de un grupo en Facebook, realizando comentarios vejatorios con relación a la custodia de los hijos menores de la afectada
XIII. Ilícitos penales más frecuentes a través de redes sociales
1. Suplantación de identidad en las redes sociales
2. Descubrimiento y revelación de secretos
2.1. Tipo general
2.2. Supuestos de revenge porn: artículo 197.7CP (RCL 1995, 3170y RCL 1996, 777)
2.3. Retuiteo, rewasapeo o seguir la cadena
2.4. Vulneración de medidas de seguridad de un sistema de información y adquisición de material para la comisión delictiva
3. Delitos contra el honor
4. Extorsión y amenazas
5. Delito de humillación a víctimas de delitos de terrorismo
6. Delitos de acoso a través de internet («stalking»)
7. Delitos de injurias a la Corona
XIV. Otras resoluciones relacionadas con redes sociales
1. Pulsar «me gusta» en Facebook no es causa de abstención o recusación de un juez
2. Prohibición de la publicación de imágenes del hijo menor en redes sociales sin el consentimiento de los dos progenitores
Bibliografía