LEGISLACIÓN Y REGULACIÓN

Curso Febrero 2021 - Junio 2021

Prueba de Evaluación Continua 1 Henry Haro

PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL

• Objetivos
• Competencias
• Descripción de la PEC
• Recursos
• Ejercicios
• Evaluación
• Entrega
• Fechas
 LEGISLACIÓN Y REGULACIÓN
Prueba de Evaluación Continua

Objetivos
Esta prueba de evaluación continua pretende comprobar los progresos del estudiante
en relación a la adquisición de los conocimientos comprendidos en el módulo protección
de datos de carácter personal de la asignatura.

La PEC tiene como objetivos reforzar el estudio de la normativa vigente, así como
analizar supuestos jurídicos muy vinculados a casos que pueden darse en la realidad.

Concretamente, se pretende que el estudiante se familiarice con los conceptos más

importantes de la regulación en materia de protección de datos de carácter personal.
Además, el estudiante debe ser capaz de evaluar una situación concreta a partir de los
conceptos estudiados y/o tratados en este módulo.

Competencias

Después de haber realizado la PEC el estudiante tendrá las competencias para:

o Conocer y saber aplicar el Reglamento (EU) 2016/679 del Parlamento Europeo y del
Consejo, de 27 de abril de 2016 protección de los datos personales (en adelante,
“RGPD”) que actualmente está regulado en el ordenamiento español con la ley 3/2018
Ley de protección de datos (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los Derechos digitales).

o Conocer algunas de las guías y directrices elaboradas por las autoridades de control,
tanto europeas, como españolas (Agencia Española de Protección de Datos, Autoritat
catalana, Agencia vasca o Consejo de Transparencia y Protección de Datos de Andalucía).

o Saber resolver una situación práctica determinada aplicando la normativa sobre

protección de datos de carácter personal, en especial, el RGPD.

Descripción de la PEC

Esta PEC consta de dos supuestos prácticos, a partir de los cuáles se formulan una serie de
preguntas que deberán resolverse atendiendo a criterios jurídicos. Por criterios jurídicos
debemos entender las leyes aplicables, la jurisprudencia o las resoluciones, guías, opiniones
elaboradas por los organismos competentes en la materia, como podría ser el caso, en el
contexto comunitario, del Comité Europeo de Protección de Datos (anteriormente denominado,
Grupo de Trabajo del Artículo 29), así como en el contexto español, las mencionadas
autoridades de protección de datos españolas.

En cada caso práctico se plantean varias preguntas que deberán ser analizadas y valoradas
desde una perspectiva jurídica, es decir, aplicando la normativa referida con anterioridad.

Curso Febrero 2021 - Junio 2021. 2

 LEGISLACIÓN Y REGULACIÓN
Prueba de Evaluación Continua

Recursos

Para la realización de la PEC es necesario haber estudiado el módulo Protección de datos de

carácter personal del material de la asignatura. Además, es imprescindible la consulta de las
siguientes normas y documentos:

 Recomendaciones de la autoridad de protección de datos del Reino Unido sobre la

notificación de violaciones de seguridad (en inglés)

 Recomendaciones de la autoridad de protección de datos de Francia sobre la gestión de

violaciones de seguridad (en francés)

 AEPD_Guía_Brechas_Seguridad

 AEPD Guía práctica de análisis de riesgos en los tratamientos de los datos personales
sujetos el RGPD

 Guidelines on Personal data breach notification under Regulation 2016/679

(wp250rev.01)

 Ley de protección de datos (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de

Datos Personales y garantía de los derechos digitales).

 RGPD. Es el Reglamento europeo de protección de datos.

Curso Febrero 2021 - Junio 2021. 3

 LEGISLACIÓN Y REGULACIÓN
Prueba de Evaluación Continua

Ejercicios

CUESTIONES (2 puntos)

Contesta las preguntas y ARGUMENTA brevemente la respuesta escogida:

1) Las auditorias de protección de datos:

a) Deben de realizarse de manera obligatoria cada dos años.

b) Permiten eludir los incumplimientos del RGPD y sus respectivas sanciones.
c) Deben de realizarse cuando se traten categorías especiales de datos personales.
d) Ninguna de las anteriores.

Según el art. 28 del RGPD (Encargado del tratamiento) el encargado del tratamiento
pondrá a disposición del responsable toda la información necesaria para demostrar el
cumplimiento de las obligaciones establecidas, así como para permitir y contribuir a la
realización de auditorías por parte del responsable o de otro auditor autorizado por dicho
responsable.
Según el art. 47 del RGPD (Normas corporativas vinculantes) las auditorías de protección
de datos se basan en mecanismos establecidos dentro del grupo empresarial o de la unión de
empresas dedicadas a una actividad económica conjunta para garantizar la verificación del
cumplimiento de las normas corporativas vinculantes. Estos mecanismos garantizan acciones
correctivas para proteger los derechos del interesado. (SCHULZ & HENNIS-PLASSCHAERT,
2016)

2) En relación con los Sistemas de exclusión publicitaria, el texto de la nueva LOPD

dispone:

a) “Será lícito el tratamiento de datos de carácter personal que tenga por objeto evitar el
envío de comunicaciones comerciales a quienes no hubiesen manifestado su negativa u
oposición a recibirlas. Esta previsión sólo será aplicable en el sector de las
telecomunicaciones”.
b) No se regulan en la nueva LOPD, puesto que será objeto de regulación en su legislación
de desarrollo.
c) “Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán
previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su
actuación, excluyendo del tratamiento los datos de los afectados que hubieran
manifestado su oposición o negativa al mismo”.
d) No se regulan en la nueva LOPD pues se regularán en el reglamento E-Privacy.

Según el art. 23 (LOPD) (Sistemas de exclusión publicitaria) nos indica que se debe
consultar cualquier acción relacionada con la comercialización directa en el sistema de exclusión
publicitaria para así poder separar del tratamiento los datos de las personas que no estén de
acuerdo. (Estado-BOE, 2018)

Curso Febrero 2021 - Junio 2021. 4

 LEGISLACIÓN Y REGULACIÓN
Prueba de Evaluación Continua

3) Conforme a lo establecido en la legislación aplicable en materia de protección de

datos. ¿Cuál de los siguientes tratamientos no está excluido de su ámbito de
aplicación?

a) Los tratamientos efectuados por una persona física en el ejercicio de actividades

exclusivamente personales o domésticas.
b) Cualquier tratamiento total o parcialmente automatizado de datos personales, así como
el tratamiento no automatizado de datos personales contenidos o destinados a ser
incluidos en un fichero.
c) Los tratamientos de datos de personas fallecidas.
d) Los tratamientos sometidos a la normativa sobre protección de materias clasificadas.

Según el art. 2 (RGPD) (Ámbito de aplicación material) el RGPD se aplicará a todo

tratamiento de datos personales argumentando que pueden ser automatizados o no
automatizados, contenidos o destinados a ser incluidos en un fichero. (M. SCHULZ;J.A.
HENNIS-PLASSCHAERT, 2016)

4) Conforme a lo establecido en el RGPD en relación con el principio de limitación de la

finalidad, éste deberá cumplir los siguientes requisitos:

a) Los datos deberán ser recogidos para fines genéricos, inequívocos y lícitos.
b) Los datos deberán ser recogidos para fines determinados, limitados y explícitos.
c) Los datos deberán ser recogidos para fines determinados, explícitos, legítimos, y que no
sean tratados de manera incompatible para dichos fines.
d) Los datos deberán ser recogidos para fines determinados, explícitos, y que no sean
tratados de manera incompatible para dichos fines.

Según el art. 5 (RGPD) (Principios relativos al tratamiento) el tratamiento de los datos

personales con fines determinados después de un momento dado no será tratados
incompatiblemente, el tratamiento de los datos personales con fines de archivo en interés
público, fines de investigación científica e histórica o fines estadísticos no se considerará
incompatible con los fines iniciales. Nos habla de finalidades incompatibles pues nunca se indicó
en la recolección sobre los tratamientos a que dichos datos iban a destinarse. (M. SCHULZ;J.A.
HENNIS-PLASSCHAERT, 2016)

5) Cuáles de las siguientes condiciones debe cumplir el consentimiento del interesado:

a) Debe utilizar un lenguaje técnico y jurídico con el fin de explicar exactamente los
términos de este.
b) Puede ser retirado por el interesado en los periodos establecidos por el responsable del
tratamiento, siendo al menos posible dos veces al año.
c) Debe utilizar un lenguaje claro y sencillo, de forma que el mensaje resulte inteligible y de
fácil acceso.
d) La retirada del consentimiento debe hacerse de forma presencial para asegurar la
identificación del solicitante.

El art. 7 (RGPD) (Condiciones para el Consentimiento) considera que el usuario o

interesado deberá disponer de una información inteligible y articulable en un lenguaje claro para
presentar la solicitud de consentimiento hablando en un contexto de una declaración escrita.
(M. SCHULZ;J.A. HENNIS-PLASSCHAERT , 2016)

Curso Febrero 2021 - Junio 2021. 5

 LEGISLACIÓN Y REGULACIÓN
Prueba de Evaluación Continua

6) El artículo 18.4 de la Constitución dice que:

a) La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y

familiar de los ciudadanos y el pleno ejercicio de sus derechos.
b) La ley regulará... b) El acceso de los ciudadanos a los archivos y registros
administrativos, salvo en lo que afecta a la seguridad y defensa del Estado, la
averiguación de los delitos y la intimidad de las personas.
c) La ley regulará... b) El acceso de los ciudadanos a los archivos y registros informáticos,
salvo en lo que afecta a la seguridad y defensa del Estado, la averiguación de los delitos
y la intimidad de las personas.
d) Los tratados internacionales válidamente celebrados, una vez publicados oficialmente en
España, formarán parte del ordenamiento interno.

La protección de los datos basados en personas físicas es un derecho que está protegido por la
Constitución española según el art. 18.4 para garantizar honor, intimidad a los ciudadanos
y el pleno ejercicio de sus derechos. (Estado-BOE, PREÁMBULO I, 2018)

7) La Agencia Española de Protección de Datos:

a) Es un ente de derecho público que actúa con dependencia del Ministerio de Justicia en el
ejercicio de sus funciones.
b) Es un ente de derecho privado que actúa en el ejercicio de sus funciones según lo
dispuesto por el Ministerio de Justicia.
c) Es un ente de derecho público que actúa con plena independencia de las
Administraciones Públicas en el ejercicio de sus funciones.
d) Ninguna de las anteriores es correcta.

Según la AEPD en el apartado de transparencia nos indica que es un ente de derecho público
con personalidad jurídica propia y plena capacidad pública y privada, se relaciona con el
gobierno mediante el ministerio de justicia y actúa con plena independencia de las
administraciones públicas en el ejercicio de sus funciones. (Agencia Española de Protección
de Datos, 1994)

8) En caso de conflicto entre el RGPD y la LOPDGDD, ¿cuál se debe aplicar?

a) Dependerá del artículo en cuestión que se esté aplicando.

b) Siempre el Reglamento por ser Derecho de la Unión.
c) Siempre la LOPDGDD por ser Derecho Nacional.
d) Lo determinará un Tribunal.

Se ocupará siempre el RGPD como reglamento europeo de protección de datos para definir
derechos y obligaciones comunes a todos los Estados miembros y a todos los ciudadanos
europeos, por lo que pretende armonizar la disparidad de normativas existentes en el contexto
de la Unión Europea, para garantizar el control de los datos personales, su tratamiento, medidas
para su protección, y también sus derechos. (Cañabate-Pérez, Rodríguez, & Huguet, 2020)

Curso Febrero 2021 - Junio 2021. 6

 LEGISLACIÓN Y REGULACIÓN
Prueba de Evaluación Continua

9) En relación a la notificación de brechas de seguridad:

a) De forma general deberá notificarse a la autoridad de control en el plazo de 72 horas.

b) En menos de 72 se debe ofrecer toda la información al respecto de la brecha de
seguridad, así como la solución aportada.
c) Se da detalle sobre cómo actuar ante una brecha de seguridad en la Instrucción Técnica
de Seguridad sobre la Auditoría de Sistemas.
d) El interesado debe ser notificado de toda incidencia que sufran sus datos personales.

Según el art. 33 (RGPD) (Notificación de una violación de la seguridad de los datos

personales a la autoridad de control) en caso de una violación de seguridad de datos
personales, el responsable del tratamiento se encargará de notificar a la autoridad de control
competente de conformidad junto con el artículo 55 sin dilación indebida, con un plazo máximo
de 72 horas. (M. SCHULZ;J.A. HENNIS-PLASSCHAERT, 2016)

10) En relación a la elaboración de perfiles:

a) El afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones

individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten
significativamente.
b) En la información que se le ofrezca al afectado deberá incluirse detalle del algoritmo
utilizado.
c) Por razones comerciales no se dará detalle de las fuentes de las que proceden los datos.
d) El interesado tendrá derecho de oposición durante el primer año después del comienzo
de la actividad de elaboración de perfiles.

Según el art. 22 (RGPD) (Decisiones individuales automatizadas, incluida la

elaboración de perfiles) Cualquier interesado tiene el derecho de no ser objeto de una
decisión establecida en un tratamiento automatizado, que afecte de manera jurídica o de
manera significativa en él. (M. SCHULZ;J.A. HENNIS-PLASSCHAERT, 2016)

SUPUESTO PRÁCTICO I (4 puntos)

El presente supuesto práctico consiste en realizar un análisis de riesgos legales con relación al
cumplimiento de la normativa de protección de datos, en concreto a las medidas de seguridad
de la información exigidas.

El mismo se basa en una farmacia, en concreto os solicitan que como expertos en seguridad de
la información evaluéis los riesgos legales relacionados con TIC y la protección de datos de los
sistemas de información que utilizan.

Los mismos son:

 Servidores centralizados en el colegio de farmacéuticos para verificar las

recetas electrónicas de los pacientes y la correspondiente bonificación parcial o
total en el pago del medicamento, según el régimen de exención aplicable.

Estos servidores contienen las siguientes tipologías de datos personales:

o Datos personales de los pacientes.

Curso Febrero 2021 - Junio 2021. 7

 LEGISLACIÓN Y REGULACIÓN
Prueba de Evaluación Continua

o Datos personales de los médicos o profesionales sanitarios que han prescrito el

medicamento.
o Datos personales del farmacéutico (si es persona física).
o Datos personales derivados de la tipología del medicamento que recibe el
paciente.

 En los ordenadores locales

o Datos personales del farmacéutico, si es persona física, que administra el

medicamento.
o Datos personales de los médicos o profesionales sanitarios que han prescrito el
medicamento.
o Datos personales de los pacientes que estén inscritos en la base de datos interna
de la farmacia para descuentos y/o promociones.

Además, dispone de:

o Correo electrónico a través de correo web.

o Intranet del colegio de farmacéuticos.
o Plataforma web que permite conectarse de manera on-line a los servidores y
acceder a los datos personales señalados.

Para realizar este análisis de los riesgos jurídicos se propone la siguiente escala:

RIESGO LEGAL = IMPACTO X PROBABILIDAD

Tabla para el impacto:

Impacto: Mínimo (1) Bajo (2) Moderado (3) Alto (4) Máximo (5)

Los interesados
encontrarán
consecuencias
Nivel de Los interesados
significativas,
afectación no se verán
Los interesados que deberían Los interesados Consecuencias
a los prácticamente
podrán encontrar poder superar encontrarán irreversibles que
derechos y afectados o
inconveniencias no sin dificultades consecuencias podrán no llegar
libertades encontrarán
significativas. serias. significativas. a superarse.
de los alguna pequeña
afectados. inconveniencia

Daño Sin exposición o Impacto Afectación a la Graves Daños a la

empresarial daños. manejable. reputación y consecuencias a organización que
relacionado posibilidad de nivel pueden ser
con la sanciones. reputacional fatales.
afectación para la
a los organización.
derechos

Curso Febrero 2021 - Junio 2021. 8

 LEGISLACIÓN Y REGULACIÓN
Prueba de Evaluación Continua

(reputación
+
sanciones)

Tabla para la probabilidad:

Nivel probabilidad Ejemplo Escala (frecuencia)

Ocurre habitualmente o con una frecuencia muy

Muy alta (5) Probabilidad máxima
elevada

Alta (4) Probabilidad significativa La frecuencia o probabilidad es alta

Frecuencia media o con probabilidad a tener en

Media (3) Probabilidad media
cuenta.

Baja (2) Probabilidad limitada De forma ocasional.

Muy baja (1) Probabilidad despreciable Situación fortuita o excepcional

CUESTIONES

1. Detecta diez posibles amenazas para la seguridad de los datos personales que trata la
farmacia (pensad en amenazas relacionadas con la disponibilidad, integridad y
confidencialidad de los datos). Se puede utilizar el RD 1720/2007 para establecer
posibles amenazas a partir de sus medidas de seguridad.
2. Analizar las vulnerabilidades y hacer consideraciones sobre las mismas.
3. Evaluar el impacto de las amenazas detectadas. Ver tabla de impacto (escala de 1 a 5).
4. Evaluar su probabilidad. Ver tabla de probabilidad (escala de 1 a 5).
5. Calcular el riesgo inherente (impacto x probabilidad).

Para responder a las cuestiones se puede elaborar un cuadro como el siguiente:

PROBABI RIESGO
AMENAZA VULNERABILIDAD/ CONSIDERACIONES IMPACTO
LIDAD INHERENTE

Se debe mantener un acceso restringido al personal

Acceso a datos que es ajeno a la información relativa a médicos,
por personal no pacientes, medicamentos. Esta información sin un
1 autorizado a proceso de autenticación correcto está sujeta a Alto (4) Baja (2) 8
datos de ciberataques por lo que se debe establecer procesos
pacientes o de autenticación a nivel de servidores e intranet del
enfermos colegio de farmacéuticos.

Curso Febrero 2021 - Junio 2021. 9

 LEGISLACIÓN Y REGULACIÓN
Prueba de Evaluación Continua

PROBABI RIESGO
AMENAZA VULNERABILIDAD/ CONSIDERACIONES IMPACTO
LIDAD INHERENTE

Perfiles de
usuarios no
Tanto en los servidores centralizados como en los
autorizados del
ordenadores locales, se debe manejar perfiles de
personal con
2 acceso a los
usuario para consultar solo la informaciónModerado (3) Baja (2) 6
debidamente necesaria ya sea de un paciente, médico
datos de
o un medicamento en específico.
pacientes,
médicos o
enfermos

Claves cifradas a
nivel de base de
Se debe manejar claves cifradas a nivel de base de
datos de todos
datos ocupando algoritmos de hash para mantener la
los usuarios que
3 acceden a los
confidencialidad de las claves de acceso de los Alto (4) Baja (2) 8
usuarios y así poder proteger la información de
servidores
posibles ciberdelincuentes.
centralizados y a
la intranet

Copias de
respaldo de la Se debe establecer procedimientos para ejecutar
4 información copias de respaldo semanales ante un posible ataque Máximo (5) Baja (2) 10
centralizada en o afectación a los servidores.
los servidores

Se debe establecer procedimientos para la

Recuperación de
recuperación de la información guardada en los
información
servidores centralizados que garanticen en todo Muy baja
5 eliminada de los
momento su reconstrucción al estado en que se
Máximo (5)
(1)
5
servidores
encontraban al tiempo de producirse la pérdida o
centralizados
destrucción.

Toda información acerca de los médicos, pacientes o

Protocolo seguro
medicamentos que se requiera enviar o recibir vía
de envío de
6 datos a través de
web se debe proteger mediante el protocolo HTTPS, Alto (4) Baja (2) 8
así podemos impedir que otras personas puedan
la web (HTTPS)
interceptar la información.

PROBABI RIESGO
AMENAZA VULNERABILIDAD/ CONSIDERACIONES IMPACTO
LIDAD INHERENTE

Curso Febrero 2021 - Junio 2021. 10

 LEGISLACIÓN Y REGULACIÓN
Prueba de Evaluación Continua

El lugar físico en donde se encuentran los servidores

que almacenan toda la información de los médicos,
pacientes y medicamentos deberán encontrarse en
Acceso físico a áreas en las que el acceso esté protegido con
7 los servidores puertas de acceso que solamente con un sistema Máximo (5) Baja (2) 10
centralizados biométrico o sistemas de apertura mediante llave
puedan acceder. Dichas áreas deberán permanecer
cerradas a no ser que exista mantenimiento de
servidores o alguna actividad programada.

Se debe implementar un software antispam para

Correos no evitar correos no deseados de posibles
8 deseados ciberdelincuentes que intentan acceder a nuestra Moderado (3) Media (3) 9
(SPAM) red por medio de correos electrónicos que maneja el
personal de las farmacias.

Se establecerán mecanismos que permitan

Control de
identificar los accesos realizados en el caso de que
9 acceso a los
sea información que puedan ser utilizados por
Alto (4) Baja (2) 8
servidores
múltiples usuarios.

Se debe establecer un mecanismo que limite la

Control de posibilidad de intentar reiteradamente el acceso a
Accesos fallidos los servidores centralizados o intranet, cuando
10 a servidores o ocurra esto se debe bloquear el usuario de forma
Alto (4) Baja (2) 8
intranet directa para proteger la información ante un posible
ataque.

SUPUESTO PRÁCTICO II (4 puntos)

Una empleada de una conocida cadena de venta de ropa a cliente final fue grabada mientras
efectuaba sustracciones de dinero de la caja registradora, sin que mediase autorización alguna.
Ello motivó que dicha trabajadora fuera despedida de manera procedente cuando se conocieron

Curso Febrero 2021 - Junio 2021. 11

 LEGISLACIÓN Y REGULACIÓN
Prueba de Evaluación Continua

los hechos que había llevado a cabo. La prueba básica de éstos se fundamentaba en una
grabación realizada por las cámaras de videovigilancia de las que disponía el local.

El citado establecimiento disponía de un cartel informativo que contenía el siguiente aviso “Zona
videovigilada” con los datos del empleador. El mismo se había colocado unas semanas previas,
ante las sospechas fundadas de que se habían efectuado sustracciones de dinero sin una
explicación aparente. En base a esas sospechas, se optó por la instalación de cámaras de
videovigilancia por parte de la dirección empresarial. Dicha instalación se efectuó sin que
mediase comunicación informativa alguna a los trabajadores, así como sin recabar autorización
o consentimiento alguno de los mismos.

Puedes consultar las Directrices del Comité Europeo de Protección de Datos 3/2019, de 29 de
enero de 2020, sobre el tratamiento de datos personales mediante dispositivos de vídeo
(consultable aquí), así como el Dictamen 2/2017 del Grupo de Trabajo del artículo 29, de 8 de
junio de 2017, sobre tratamiento de datos en el trabajo (consultable aquí).

Contesta razonadamente las siguientes cuestiones:

1.- ¿Consideras que la actuación llevada a cabo por parte del empresario vulneraría la
legislación actual en materia de protección de datos (RGPD y LOPD 3/2018)? ¿Sería preciso
recoger el consentimiento expreso de los empleados, o simplemente con informar sobre la
instalación sería suficiente?

El empresario está en su derecho de supervisar de forma automatizada y sistemática el espacio

del local de ropa con instalación de cámaras de vigilancia y no se vulneraría a nivel de
protección de datos pues en el ámbito de aplicación de las directrices 3/2019 nos explica que se
permite el tratamiento de datos personales en cuanto a la presencia y al comportamiento de las
personas en un espacio en concreto.

Según el art. 89 (LOPD) (Derecho a la intimidad frente al uso de dispositivos de

videovigilancia y de grabación de sonidos en el lugar de trabajo) los empleadores deben
informar previamente, y de forma expresa, clara y concisa, a los trabajadores o los empleados
públicos el uso de dispositivos de videovigilancia.

2.- ¿Qué medidas de seguridad establecerías para proteger los datos personales?

Como medida de seguridad, los datos del empleador no se deberían mostrar en el cartel de
“Zona Videovigilada” son datos que se deben manejar discretamente por la administración del
local.

Se debe proteger adecuadamente el sistema de videovigilancia y los datos en todas las fases, es
decir, durante la conservación (datos en reposo), la transmisión (datos en tránsito) y el
tratamiento (datos en uso).

3.- ¿Qué plazo consideras que resulta aplicable para conservar las imágenes que han sido
grabadas?

Según el art. 22 (LOPD) los datos grabados serán suprimidos en el plazo máximo de un mes
desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de
actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las
imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de
setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación.

4.- ¿Qué base jurídica consideras que resulta aplicable para habilitar la recogida de los datos
personales a través de los sistemas de videovigilancia por parte del responsable del
tratamiento?

Curso Febrero 2021 - Junio 2021. 12

 LEGISLACIÓN Y REGULACIÓN
Prueba de Evaluación Continua

Según el art. 22 (LOPD) (Tratamientos con fines de videovigilancia) las personas físicas o
jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de
sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas
y bienes, así como de sus instalaciones.

Según el art. 89 (LOPD) (Derecho a la intimidad frente al uso de dispositivos de

videovigilancia y de grabación de sonidos en el lugar de trabajo) los empleadores podrán
tratar las imágenes obtenidas a través de sistemas de cámaras o videocámaras para el ejercicio
de las funciones de control de los trabajadores o los empleados públicos previstas,
respectivamente, siempre que estas funciones se ejerzan dentro de su marco legal y con los
límites inherentes al mismo.

Evaluación

En todas las respuestas se valorará el grado de concreción, la argumentación y la

fundamentación jurídica de las respuestas. Las respuestas que no desarrollen una mínima
argumentación jurídica no serán evaluadas. Es obligatorio reseñar los artículos de las normas en
que basáis vuestra argumentación. La simple copia de artículos de las leyes sin explicación no
se considerará una respuesta válida.

Para una correcta resolución de la PEC es necesario que el alumno analice los supuestos de
manera ordenada, razonando la solución y aportando argumentos basados en la normativa

Curso Febrero 2021 - Junio 2021. 13

 LEGISLACIÓN Y REGULACIÓN
Prueba de Evaluación Continua

estudiada y, en su caso, en las sentencias consultadas. No se trata de dar opiniones, propias ni

ajenas (como si hiciera cortar/pegar), sino de demostrar que se entienden los conceptos
estudiados y se es capaz de aplicarlos a una situación dada.

La PEC se evalúa teniendo en cuenta los resultados y su análisis posterior, y se evalúa cada
parte independientemente.

 >= 9 A
 < 9 B
 < 7 C+
 < 5 C-
 < 3 D

Nota: Propiedad intelectual

Al contestar una PEC, a menudo es inevitable hacer uso de recursos creados por terceras
personas. Para que ello no suponga un plagio, siempre que una PEC o cualquier práctica haga
uso de recursos ajenos, se citará la fuente ajena de manera correcta.

Entrega

El documento que contenga la respuesta a las preguntas formuladas en la PEC debe ser un
archivo Word o pdf. El nombre y apellidos del estudiante deben figurar al menos en la portada
del documento.

Fechas

1 de Marzo de 2021: Publicación del enunciado.

28 de Marzo de 2021: Fecha límite de entrega de la PEC resuelta.

No se corregirán las actividades presentadas más allá de la fecha límite.

Si algún alumno tuviera problemas para cumplir los plazos de entrega deberá ponerse en
contacto con la antelación suficiente debido a que sólo se ampliarán los plazos en el caso de
causa justa y debidamente motivada.

Trabajos citados
Agencia Española de Protección de Datos. (1994). Agencia Española de Protección de Datos (AEPD). Obtenido de
https://www.aepd.es/es
Cañabate-Pérez, J., Rodríguez, A. C., & Huguet, M. C. (2020). Legislación sobre . Barcelona: Fundació Universitat
Oberta de Catalunya (FUOC).

Curso Febrero 2021 - Junio 2021. 14

 LEGISLACIÓN Y REGULACIÓN
Prueba de Evaluación Continua

Estado-BOE, A. E. (6 de DICIEMBRE de 2018). Articulo 23. Sistemas de exclusión publicitaria. BOLETIN OFICIAL
DEL ESTADO, pág. 119808.
Estado-BOE, A. E. (6 de Diciembre de 2018). PREÁMBULO I. BOLETÍN OFICIAL DEL ESTADO, pág. 119792.
M. SCHULZ;J.A. HENNIS-PLASSCHAERT . (27 de Abril de 2016). Artículo 7 Condiciones para el consentimiento.
Diario Oficial de la Unión Europea, pág. 37.
M. SCHULZ;J.A. HENNIS-PLASSCHAERT. (27 de 27 de 2016). Articulo 2 Ámbito de aplicación material. Diario
Oficial de la Unión Europea, pág. 32.
M. SCHULZ;J.A. HENNIS-PLASSCHAERT. (27 de Abril de 2016). Artículo 22 Decisiones individuales automatizadas,
incluida la elaboración de perfiles. Diario Oficial de la Unión Europea, pág. 46.
M. SCHULZ;J.A. HENNIS-PLASSCHAERT. (Abril de 27 de 2016). Artículo 33 Notificación de una violación de la
seguridad de los datos personales a la autoridad de control. Diario Oficial de la Unión Europea, pág. 52.
M. SCHULZ;J.A. HENNIS-PLASSCHAERT. (Abril de 27 de 2016). Artículo 5 Principios relativos al tratamiento.
Diario Oficial de la Unión Europea, pág. 35.
SCHULZ, M., & HENNIS-PLASSCHAERT, J. (27 de Abril de 2016). Artículo 2 Ámbito de aplicación material. Diario
Oficial de la Unión Europea, pág. 32.
SCHULZ, M., & HENNIS-PLASSCHAERT, J. (2016). Artículo 28 Encargado del tratamiento. Diario Oficial de la
Unión Europea, 49.

Curso Febrero 2021 - Junio 2021. 15