Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
• Objetivos
• Competencias
• Descripción de la PEC
• Recursos
• Ejercicios
• Evaluación
• Entrega
• Fechas
LEGISLACIÓN Y REGULACIÓN
Prueba de Evaluación Continua
Objetivos
Esta prueba de evaluación continua pretende comprobar los progresos del estudiante
en relación a la adquisición de los conocimientos comprendidos en el módulo protección
de datos de carácter personal de la asignatura.
La PEC tiene como objetivos reforzar el estudio de la normativa vigente, así como
analizar supuestos jurídicos muy vinculados a casos que pueden darse en la realidad.
Competencias
o Conocer y saber aplicar el Reglamento (EU) 2016/679 del Parlamento Europeo y del
Consejo, de 27 de abril de 2016 protección de los datos personales (en adelante,
“RGPD”) que actualmente está regulado en el ordenamiento español con la ley 3/2018
Ley de protección de datos (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los Derechos digitales).
o Conocer algunas de las guías y directrices elaboradas por las autoridades de control,
tanto europeas, como españolas (Agencia Española de Protección de Datos, Autoritat
catalana, Agencia vasca o Consejo de Transparencia y Protección de Datos de Andalucía).
Descripción de la PEC
Esta PEC consta de dos supuestos prácticos, a partir de los cuáles se formulan una serie de
preguntas que deberán resolverse atendiendo a criterios jurídicos. Por criterios jurídicos
debemos entender las leyes aplicables, la jurisprudencia o las resoluciones, guías, opiniones
elaboradas por los organismos competentes en la materia, como podría ser el caso, en el
contexto comunitario, del Comité Europeo de Protección de Datos (anteriormente denominado,
Grupo de Trabajo del Artículo 29), así como en el contexto español, las mencionadas
autoridades de protección de datos españolas.
En cada caso práctico se plantean varias preguntas que deberán ser analizadas y valoradas
desde una perspectiva jurídica, es decir, aplicando la normativa referida con anterioridad.
Recursos
AEPD_Guía_Brechas_Seguridad
AEPD Guía práctica de análisis de riesgos en los tratamientos de los datos personales
sujetos el RGPD
Ejercicios
CUESTIONES (2 puntos)
Según el art. 28 del RGPD (Encargado del tratamiento) el encargado del tratamiento
pondrá a disposición del responsable toda la información necesaria para demostrar el
cumplimiento de las obligaciones establecidas, así como para permitir y contribuir a la
realización de auditorías por parte del responsable o de otro auditor autorizado por dicho
responsable.
Según el art. 47 del RGPD (Normas corporativas vinculantes) las auditorías de protección
de datos se basan en mecanismos establecidos dentro del grupo empresarial o de la unión de
empresas dedicadas a una actividad económica conjunta para garantizar la verificación del
cumplimiento de las normas corporativas vinculantes. Estos mecanismos garantizan acciones
correctivas para proteger los derechos del interesado. (SCHULZ & HENNIS-PLASSCHAERT,
2016)
a) “Será lícito el tratamiento de datos de carácter personal que tenga por objeto evitar el
envío de comunicaciones comerciales a quienes no hubiesen manifestado su negativa u
oposición a recibirlas. Esta previsión sólo será aplicable en el sector de las
telecomunicaciones”.
b) No se regulan en la nueva LOPD, puesto que será objeto de regulación en su legislación
de desarrollo.
c) “Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán
previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su
actuación, excluyendo del tratamiento los datos de los afectados que hubieran
manifestado su oposición o negativa al mismo”.
d) No se regulan en la nueva LOPD pues se regularán en el reglamento E-Privacy.
Según el art. 23 (LOPD) (Sistemas de exclusión publicitaria) nos indica que se debe
consultar cualquier acción relacionada con la comercialización directa en el sistema de exclusión
publicitaria para así poder separar del tratamiento los datos de las personas que no estén de
acuerdo. (Estado-BOE, 2018)
a) Los datos deberán ser recogidos para fines genéricos, inequívocos y lícitos.
b) Los datos deberán ser recogidos para fines determinados, limitados y explícitos.
c) Los datos deberán ser recogidos para fines determinados, explícitos, legítimos, y que no
sean tratados de manera incompatible para dichos fines.
d) Los datos deberán ser recogidos para fines determinados, explícitos, y que no sean
tratados de manera incompatible para dichos fines.
a) Debe utilizar un lenguaje técnico y jurídico con el fin de explicar exactamente los
términos de este.
b) Puede ser retirado por el interesado en los periodos establecidos por el responsable del
tratamiento, siendo al menos posible dos veces al año.
c) Debe utilizar un lenguaje claro y sencillo, de forma que el mensaje resulte inteligible y de
fácil acceso.
d) La retirada del consentimiento debe hacerse de forma presencial para asegurar la
identificación del solicitante.
La protección de los datos basados en personas físicas es un derecho que está protegido por la
Constitución española según el art. 18.4 para garantizar honor, intimidad a los ciudadanos
y el pleno ejercicio de sus derechos. (Estado-BOE, PREÁMBULO I, 2018)
a) Es un ente de derecho público que actúa con dependencia del Ministerio de Justicia en el
ejercicio de sus funciones.
b) Es un ente de derecho privado que actúa en el ejercicio de sus funciones según lo
dispuesto por el Ministerio de Justicia.
c) Es un ente de derecho público que actúa con plena independencia de las
Administraciones Públicas en el ejercicio de sus funciones.
d) Ninguna de las anteriores es correcta.
Según la AEPD en el apartado de transparencia nos indica que es un ente de derecho público
con personalidad jurídica propia y plena capacidad pública y privada, se relaciona con el
gobierno mediante el ministerio de justicia y actúa con plena independencia de las
administraciones públicas en el ejercicio de sus funciones. (Agencia Española de Protección
de Datos, 1994)
Se ocupará siempre el RGPD como reglamento europeo de protección de datos para definir
derechos y obligaciones comunes a todos los Estados miembros y a todos los ciudadanos
europeos, por lo que pretende armonizar la disparidad de normativas existentes en el contexto
de la Unión Europea, para garantizar el control de los datos personales, su tratamiento, medidas
para su protección, y también sus derechos. (Cañabate-Pérez, Rodríguez, & Huguet, 2020)
El presente supuesto práctico consiste en realizar un análisis de riesgos legales con relación al
cumplimiento de la normativa de protección de datos, en concreto a las medidas de seguridad
de la información exigidas.
El mismo se basa en una farmacia, en concreto os solicitan que como expertos en seguridad de
la información evaluéis los riesgos legales relacionados con TIC y la protección de datos de los
sistemas de información que utilizan.
Para realizar este análisis de los riesgos jurídicos se propone la siguiente escala:
Impacto: Mínimo (1) Bajo (2) Moderado (3) Alto (4) Máximo (5)
Los interesados
encontrarán
consecuencias
Nivel de Los interesados
significativas,
afectación no se verán
Los interesados que deberían Los interesados Consecuencias
a los prácticamente
podrán encontrar poder superar encontrarán irreversibles que
derechos y afectados o
inconveniencias no sin dificultades consecuencias podrán no llegar
libertades encontrarán
significativas. serias. significativas. a superarse.
de los alguna pequeña
afectados. inconveniencia
(reputación
+
sanciones)
CUESTIONES
1. Detecta diez posibles amenazas para la seguridad de los datos personales que trata la
farmacia (pensad en amenazas relacionadas con la disponibilidad, integridad y
confidencialidad de los datos). Se puede utilizar el RD 1720/2007 para establecer
posibles amenazas a partir de sus medidas de seguridad.
2. Analizar las vulnerabilidades y hacer consideraciones sobre las mismas.
3. Evaluar el impacto de las amenazas detectadas. Ver tabla de impacto (escala de 1 a 5).
4. Evaluar su probabilidad. Ver tabla de probabilidad (escala de 1 a 5).
5. Calcular el riesgo inherente (impacto x probabilidad).
PROBABI RIESGO
AMENAZA VULNERABILIDAD/ CONSIDERACIONES IMPACTO
LIDAD INHERENTE
PROBABI RIESGO
AMENAZA VULNERABILIDAD/ CONSIDERACIONES IMPACTO
LIDAD INHERENTE
Perfiles de
usuarios no
Tanto en los servidores centralizados como en los
autorizados del
ordenadores locales, se debe manejar perfiles de
personal con
2 acceso a los
usuario para consultar solo la informaciónModerado (3) Baja (2) 6
debidamente necesaria ya sea de un paciente, médico
datos de
o un medicamento en específico.
pacientes,
médicos o
enfermos
Claves cifradas a
nivel de base de
Se debe manejar claves cifradas a nivel de base de
datos de todos
datos ocupando algoritmos de hash para mantener la
los usuarios que
3 acceden a los
confidencialidad de las claves de acceso de los Alto (4) Baja (2) 8
usuarios y así poder proteger la información de
servidores
posibles ciberdelincuentes.
centralizados y a
la intranet
Copias de
respaldo de la Se debe establecer procedimientos para ejecutar
4 información copias de respaldo semanales ante un posible ataque Máximo (5) Baja (2) 10
centralizada en o afectación a los servidores.
los servidores
PROBABI RIESGO
AMENAZA VULNERABILIDAD/ CONSIDERACIONES IMPACTO
LIDAD INHERENTE
Una empleada de una conocida cadena de venta de ropa a cliente final fue grabada mientras
efectuaba sustracciones de dinero de la caja registradora, sin que mediase autorización alguna.
Ello motivó que dicha trabajadora fuera despedida de manera procedente cuando se conocieron
los hechos que había llevado a cabo. La prueba básica de éstos se fundamentaba en una
grabación realizada por las cámaras de videovigilancia de las que disponía el local.
El citado establecimiento disponía de un cartel informativo que contenía el siguiente aviso “Zona
videovigilada” con los datos del empleador. El mismo se había colocado unas semanas previas,
ante las sospechas fundadas de que se habían efectuado sustracciones de dinero sin una
explicación aparente. En base a esas sospechas, se optó por la instalación de cámaras de
videovigilancia por parte de la dirección empresarial. Dicha instalación se efectuó sin que
mediase comunicación informativa alguna a los trabajadores, así como sin recabar autorización
o consentimiento alguno de los mismos.
Puedes consultar las Directrices del Comité Europeo de Protección de Datos 3/2019, de 29 de
enero de 2020, sobre el tratamiento de datos personales mediante dispositivos de vídeo
(consultable aquí), así como el Dictamen 2/2017 del Grupo de Trabajo del artículo 29, de 8 de
junio de 2017, sobre tratamiento de datos en el trabajo (consultable aquí).
1.- ¿Consideras que la actuación llevada a cabo por parte del empresario vulneraría la
legislación actual en materia de protección de datos (RGPD y LOPD 3/2018)? ¿Sería preciso
recoger el consentimiento expreso de los empleados, o simplemente con informar sobre la
instalación sería suficiente?
2.- ¿Qué medidas de seguridad establecerías para proteger los datos personales?
Como medida de seguridad, los datos del empleador no se deberían mostrar en el cartel de
“Zona Videovigilada” son datos que se deben manejar discretamente por la administración del
local.
Se debe proteger adecuadamente el sistema de videovigilancia y los datos en todas las fases, es
decir, durante la conservación (datos en reposo), la transmisión (datos en tránsito) y el
tratamiento (datos en uso).
3.- ¿Qué plazo consideras que resulta aplicable para conservar las imágenes que han sido
grabadas?
Según el art. 22 (LOPD) los datos grabados serán suprimidos en el plazo máximo de un mes
desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de
actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las
imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de
setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación.
4.- ¿Qué base jurídica consideras que resulta aplicable para habilitar la recogida de los datos
personales a través de los sistemas de videovigilancia por parte del responsable del
tratamiento?
Según el art. 22 (LOPD) (Tratamientos con fines de videovigilancia) las personas físicas o
jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de
sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas
y bienes, así como de sus instalaciones.
Evaluación
Para una correcta resolución de la PEC es necesario que el alumno analice los supuestos de
manera ordenada, razonando la solución y aportando argumentos basados en la normativa
La PEC se evalúa teniendo en cuenta los resultados y su análisis posterior, y se evalúa cada
parte independientemente.
>= 9 A
< 9 B
< 7 C+
< 5 C-
< 3 D
Al contestar una PEC, a menudo es inevitable hacer uso de recursos creados por terceras
personas. Para que ello no suponga un plagio, siempre que una PEC o cualquier práctica haga
uso de recursos ajenos, se citará la fuente ajena de manera correcta.
Entrega
El documento que contenga la respuesta a las preguntas formuladas en la PEC debe ser un
archivo Word o pdf. El nombre y apellidos del estudiante deben figurar al menos en la portada
del documento.
Fechas
Si algún alumno tuviera problemas para cumplir los plazos de entrega deberá ponerse en
contacto con la antelación suficiente debido a que sólo se ampliarán los plazos en el caso de
causa justa y debidamente motivada.
Trabajos citados
Agencia Española de Protección de Datos. (1994). Agencia Española de Protección de Datos (AEPD). Obtenido de
https://www.aepd.es/es
Cañabate-Pérez, J., Rodríguez, A. C., & Huguet, M. C. (2020). Legislación sobre . Barcelona: Fundació Universitat
Oberta de Catalunya (FUOC).
Estado-BOE, A. E. (6 de DICIEMBRE de 2018). Articulo 23. Sistemas de exclusión publicitaria. BOLETIN OFICIAL
DEL ESTADO, pág. 119808.
Estado-BOE, A. E. (6 de Diciembre de 2018). PREÁMBULO I. BOLETÍN OFICIAL DEL ESTADO, pág. 119792.
M. SCHULZ;J.A. HENNIS-PLASSCHAERT . (27 de Abril de 2016). Artículo 7 Condiciones para el consentimiento.
Diario Oficial de la Unión Europea, pág. 37.
M. SCHULZ;J.A. HENNIS-PLASSCHAERT. (27 de 27 de 2016). Articulo 2 Ámbito de aplicación material. Diario
Oficial de la Unión Europea, pág. 32.
M. SCHULZ;J.A. HENNIS-PLASSCHAERT. (27 de Abril de 2016). Artículo 22 Decisiones individuales automatizadas,
incluida la elaboración de perfiles. Diario Oficial de la Unión Europea, pág. 46.
M. SCHULZ;J.A. HENNIS-PLASSCHAERT. (Abril de 27 de 2016). Artículo 33 Notificación de una violación de la
seguridad de los datos personales a la autoridad de control. Diario Oficial de la Unión Europea, pág. 52.
M. SCHULZ;J.A. HENNIS-PLASSCHAERT. (Abril de 27 de 2016). Artículo 5 Principios relativos al tratamiento.
Diario Oficial de la Unión Europea, pág. 35.
SCHULZ, M., & HENNIS-PLASSCHAERT, J. (27 de Abril de 2016). Artículo 2 Ámbito de aplicación material. Diario
Oficial de la Unión Europea, pág. 32.
SCHULZ, M., & HENNIS-PLASSCHAERT, J. (2016). Artículo 28 Encargado del tratamiento. Diario Oficial de la
Unión Europea, 49.