Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UC Contenido y Formato Examen
UC Contenido y Formato Examen
1
Método de Evaluación
Certificación DPO
A través de diferentes pruebas de evaluación, el candidato deberá evidenciar que posee la competencia
adecuada, es decir, los conocimientos teóricos, la capacidad profesional y las habilidades personales
necesarias para realizar las tareas de Delegado de Protección de Datos, en los términos y condiciones
establecidas por el Esquema de Certificación de la AEPD.
Examen
Estruct ura
El examen versará sobre los temas relativos a los conocimientos específicos, con unos criterios de
ponderación establecidos para cada uno de los dominios en que se estructuran las tareas y
competencias a evaluar.
El examen engloba una prueba que consta de 150 preguntas tipo test de respuesta múltiple,
siendo necesario para su aprobación haber superado el 75% (al menos 113 puntos).
El 20% de las preguntas, es decir, 30 preguntas, describirán un escenario práctico (de carácter
normativo, organizativo y/o técnico) sobre el que versará la pregunta.
Las preguntas están distribuidas en cada uno de los correspondientes bloques o dominios del
programa conforme a la siguiente ponderación:
2
Puntuación
Para la aprobación del examen, es necesario responder correctamente al 50% de las preguntas en
cada uno de los bloques o dominios, y se deberá obtener un total de 75 puntos sumando la puntuación
mínima de los tres dominios, y el resto de la puntuación hasta obtener el 75% del total se podrá
obtener de cualquiera de los dominios.
Las preguntas tendrán cuatro opciones de respuesta, de las cuales solo una será válida. Cada
respuesta correcta contará como 1 punto. Y no se puntuarán las preguntas cuya respuesta sea
incorrecta o se deje en blanco. Se requiere, pues, para su aprobación, haber obtenido al
menos, 113 puntos.
Convocat orias
Cada entidad de certificación llevará a cabo las convocatorias que estime oportunas, y deberá
comunicar su fecha de celebración a la AEPD con una antelación de tres meses; sin perjuicio de que,
mediante acuerdo de todas las entidades de certificación, se puedan establecer convocatorias únicas
y coordinadas.
Banco de preguntas
Para facilitar la realización de las pruebas de examen, la AEPD podrá acordar la creación de un Banco
común de preguntas que custodiará con las debidas medidas de seguridad, solicitando a las Entidades
de Certificación acreditadas la aportación de las correspondientes preguntas.
La redacción de las preguntas corresponderá a cada una de las EC acreditadas, quienes deberán
aportar inicialmente 600 preguntas al banco común y anualmente aquellas que la AEPD les requiera
atendiendo al número de exámenes solicitados, con la finalidad de poder renovar anualmente un
tercio, al menos, de las preguntas incluidas en el banco.
Las EC acreditadas deberán remitir sus preguntas en cada una de sus entregas, en el número requerido
por la AEPD, conforme a los criterios de distribución fijados por el Esquema para cada uno de los
dominios.
La AEPD podrá fijar el formato en que deberán ser aportadas las preguntas, y los requisitos técnicos y
procedimentales para asegurar la calidad y confidencialidad en su entrega por las EC.
3
Es responsabilidad de la EC acreditada el envío de preguntas correctas siguiendo las directrices
marcadas por la AEPD para la redacción de las mismas.
La AEPD realizará una primera revisión de las preguntas remitidas, informando a la EC acreditada de sus
resultados, tras los cuales ésta procederá a su reelaboración y posterior remisión a la AEPD, quien
comunicará a la EC la posibilidad o no de realizar exámenes, según el resultado de la revisión.
Los contenidos a evaluar en el examen de la certificación están integrados en los siguientes dominios o
áreas temáticas según las ponderaciones indicadas:
El grupo de evaluadores está constituido por profesionales independientes del Esquema con
conocimientos y experiencia profesional equivalente o superior al candidato a certificar, y capacidad de
evaluar las pruebas del método de evaluación.
Las EC detallarán las actividades de supervisión que guiarán la actuación de los evaluadores, y pueden
ser personal propio de la entidad o personal subcontratado (autónomos o por cuenta ajena).
Este procedimiento define los criterios relativos a los procesos de selección y mantenimiento de las
empresas o personas subcontratadas.
4
Registros y procedimientos de trabajo
Se mantendrán archivados los currículums de todos los evaluadores en los que se conserven los
registros sobre titulación, formación y experiencia que demuestren su adecuada competencia técnica.
Se distribuirán de forma controlada a los evaluadores copias de aquellos documentos del sistema de
la calidad que sean de aplicación a su trabajo, y en especial todos los procedimientos y formatos
aplicables a la actividad de evaluación.
Méritos
5
Incompatibilidades y exclusiones
Podrán ser excluidas parcial o totalmente del proceso de evaluación aquellas personas que pudieran
ver comprometida su independencia por cualquier circunstancia profesional, familiar o personal.
Procedimiento de selección
Comité de selección
La Entidad de Certificación creará un órgano interno sujeto a la normativa interna y del Esquema para
realizar la selección de los evaluadores.
6
Dominio I: Normativa de Protección de Datos
Regulación
“Toda persona tiene derecho a la protección de datos de carácter personal que le conciernan.
Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la
persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho
a acceder a los datos recogidos que la conciernan y a su rectificación.
La Directiva 95/46 ya prohibía la transferencia de datos a países que no contaran con un nivel adecuado
de protección de datos y actualmente se establece un procedimiento para determinar formalmente si un
país ofrece un nivel de protección adecuado.
La principal consecuencia de que un país sea declarado adecuado es que se podrán transferir datos
desde los Estados miembros de la Unión Europea sin necesidad de ningún tipo de trámite o autorización
especial.
Reglamento Europeo
Documento
7
Reglamento Europeo de Protección de Datos
¿Qué es?
Esta nueva normativa entró en vigor a los dos años de su aprobación, concretamente el 25 de Mayo
de 2018, y permite que los ciudadanos puedan tener un mayor control sobre sus datos personales
con:
Acceso más sencillo a los datos y mejor información de cómo son tratados sus datos
personales.
El Derecho a la portabilidad de datos, haciendo más sencilla la transferencia de datos
personales entre los proveedores de servicios.
¿Qué pretende?
En este sentido, tanto las empresas como las organizaciones deben informar a las autoridades
nacionales de cualquier ataque a sus bancos de datos, para poder adoptar las medidas precisas.
Cuando un ciudadano desee que sus datos no sean tratados y no exista una razón legítima para su
conservación, los datos podrán ser eliminados, y la nueva normativa establecerá un único conjunto de
normas aplicables.
Asimismo, las empresas radicadas fuera de la Unión Europea deberán aplicar las mismas reglas que
las europeas cuando ofrezcan sus servicios en la Unión Europea.
Mediante la seudonimización de los datos, se tratan los datos personales sin los datos identificativos
del interesado y se precisa de información adicional para identificar a una persona.
El nuevo Reglamento también tiene en cuenta las necesidades específicas de las autoridades
judiciales de los diferentes Estados miembros, y cumple con la Carta de Derechos Fundamentales.
Por tanto, a nivel internacional, es en Europa donde la protección de datos ha alcanzado una gran
relevancia y se adoptan las medidas precisas para garantizar la seguridad de las personas.
8
Reglamento Europeo de Protección de Datos
Ámbito de aplicación
El Reglamento Europeo de Protección de Datos (RGPD) regula la aplicación de las normas relativas a la
protección de las personas físicas en el tratamiento de los datos personales y a la libre circulación de
estos datos.
Proteger los derechos y libertades fundamentales de las personas físicas y, concretamente, su derecho
a la protección de los datos personales.
Actualmente, las nuevas tecnologías tienen una influencia cada vez mayor en la sociedad de la
información, proporcionando ventajas tanto para las personas como para las empresas, en:
Mejoras en la comunicación.
Reducción de costes.
Incremento de la productividad.
Pero también, esta masiva utilización de las nuevas tecnologías puede suponer un peligro para la
salvaguarda de derechos de los ciudadanos, en su derecho a la protección de la intimidad y la
propiedad intelectual, dada la enorme facilidad para recoger, almacenar, copiar, procesar y distribuir
datos.
Ámbito material
Este RGPD se aplica al tratamiento automatizado total o parcial de datos personales, así como al
tratamiento no automatizado de datos personales destinados a ser incluidos en un fichero.
9
Ámbito territorial
Términos y definiciones
10
aspectos relativos al rendimiento profesional, situación económica, salud, preferencias
personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha
persona física.
Seudonimización. El tratamiento de datos personales de manera tal que ya no
puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha
información adicional figure por separado y esté sujeta a medidas técnicas y
organizativas destinadas a garantizar que los datos personales no se atribuyan a una
persona física identificada o identificable.
11
Datos genéticos. Datos personales relativos a las características genéticas
heredadas o adquiridas de una persona física que proporcionen una información única
sobre la fisiología o la salud de esa persona, obtenidos del análisis de una muestra
biológica de la persona.
Datos biométricos. Datos personales obtenidos a partir de un tratamiento técnico
específico, relativos a las características físicas, fisiológicas o conductuales de una
persona física que permitan la identificación única de dicha persona, como imágenes
faciales o datos dactiloscópicos.
Datos relativos a la salud. Datos personales relativos a la salud física o mental de
una persona física, incluida la prestación de servicios de atención sanitaria, que
revelen información sobre su estado de salud.
12
empresarial o una unión de empresas dedicadas a una actividad económica conjunta.
13
Legitimación del tratamiento de datos
Consentimiento
Es el principio fundamental para cualquier tratamiento de datos. Está íntimamente unido al principio
de información y puede considerarse como el principio legitimador de todo tratamiento.
El consentimiento debe ser libre, específico y manifestarse sin ningún género de dudas, por lo que
deberá ser precedido por una declaración del responsable del fichero en el que se le indiquen el objeto
de tratamiento y las finalidades del mismo.
Clases de consentimiento
Expreso o
Se manifiesta a través de un acto declarativo de voluntad.
inequívoco
La nueva normativa NO admite el consentimiento tácito, aquel que daba por válido el
consentimiento si el interesado no se opone en el plazo de 30 días desde la comunicación.
Actualmente está derogado, ya que el Reglamento Europeo de Protección de Datos exige que el
consentimiento sea inequívoco.
Asimismo, es obligación del responsable del tratamiento establecer un medio sencillo, gratuito y
que no le implique ingreso alguno para que el afectado revoque el consentimiento, por lo que no
podrá obligar al afectado a que utilice cartas certificadas o servicios de telecomunicaciones que le
supongan un coste adicional.
14
Exigencias del Reglamento Europeo de Protección de Datos
Todos los tratamientos de datos personales deben adecuarse al Reglamento Europeo de Protección
de Datos, y solo será lícito si se cumple al menos una de las siguientes condiciones:
El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o
varios fines específicos.
El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o
para la aplicación a petición de este de medidas precontractuales.
El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del fichero.
El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona
física.
El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o
en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el
responsable del tratamiento o por un tercero siempre que sobre dichos intereses no
prevalezcan los intereses o los derechos y libertades fundamentales del interesado que
requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Por tanto, para que se pueda considerar el consentimiento como válido, es preciso que:
15
Solicitud del consentimiento
Se cumplirá tal deber cuando se permita al afectado la marcación de una casilla claramente visible
y que no se encuentre ya marcada en el documento que se le entregue para la celebración del
contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al
tratamiento.
Consentimiento inequívoco
El Reglamento establece que para que se pueda producir el consentimiento inequívoco, debe existir
una declaración de los interesados o una acción positiva que indique la conformidad del interesado.
Es una acción positiva, cuando se marca la casilla de un sitio web de Internet, al ser un ejemplo de
la realización de una conducta que indica claramente que el interesado acepta la propuesta de
tratamiento de sus datos personales.
Formulario de alta
Ejemplo
Formulario de alta
En este enlace, pueden analizar el proceso de registro y alta en una página muy utilizada por
numerosos clientes a nivel mundial para sus compras, como Amazon.
16
Consideraciones
17
Se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser
explícito:
En este caso, se debería informar al interesado de que la finalidad principal no está supeditada
al consentimiento de los datos que no sean necesarios para dicha finalidad principal, puesto
que de lo contrario el consentimiento no tendría la consideración de “otorgado libremente”.
18
Bases de legitimación
Consideraciones generales
Todo tratamiento de datos de carácter personal debe tener una base legal que lo justifique o
legitime.
Esto significa que las organizaciones deben documentar la base legal que legitima cada uno de sus
tratamientos de datos y proporcionar información a los interesados en el momento de recoger los datos
de los mismos
El Reglamento Europeo de Protección de Datos recoge las mismas bases jurídicas que contiene la
LOPD:
Relación contractual.
Obligación legal para el responsable.
Intereses vitales del interesado o de otras personas.
Interés público o ejercicio de poderes públicos.
Intereses legítimos del responsable o de terceros a los que se comunican los datos.
Consentimiento Inequívoco del Interesado.
Cuando el tratamiento sea necesario para la ejecución de algún contrato de carácter mercantil,
laboral, administrativo, etc. o para la aplicación de medidas precontractuales, se debe hacer
constar una referencia al contrato o tipo de contrato de que se trate, con el detalle suficiente para
que no exista ninguna ambigüedad sobre el mismo.
Deberá informarse de la obligación de facilitar los datos personales, así como de las
consecuencias de no hacerlo.
19
Legitimación por cumplimiento de una obligación legal
Cuando el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento que ha recabado los datos, deberá hacerse constar cuál es la norma
con rango de Ley que impone la obligación. Deberá informarse de la obligación a facilitar los datos
personales, así como de las consecuencias de no hacerlo.
Se deberá informar de la identidad de dicha persona, o del tipo de vínculo con el interesado, por
20
ejemplo en el caso de una persona en el servicio de urgencias, o situaciones de emergencia
humanitaria en el caso de catástrofes naturales.
Cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés
público o el ejercicio de poderes públicos relativos al responsable del tratamiento.
Igualmente se hará constar cuál es la norma con rango de ley, que confiere los poderes públicos o
califica la misión como de interés público.
El Reglamento Europeo de Protección de Datos señala que cada Estado Miembro podrá mantener o
incluir disposiciones más específicas en la adaptación de las Normas del Reglamento.
Cuando el tratamiento sea necesario para la satisfacción de “intereses legítimos” perseguidos por
el responsable del tratamiento o por un tercero, se explicitarán cuáles son tales intereses.
Se considera una buena práctica incluir un resumen de la ponderación de su legitimidad frente a los
intereses y los derechos y libertades del interesado, cuando ello contribuya al principio de
transparencia.
Por ejemplo:
21
Investigación histórica u otro tipo de investigación científica.
Interés público general.
Facultad de control empresarial legitimado conforme al Estatuto de los Trabajadores.
Interés legítimo de la empresa en la protección de sus activos (videovigilancia).
Interés de la parte perjudicada para ceder los datos del incumplidor a terceros.
Tratamiento de datos con fines de Marketing Directo.
El marketing directo utiliza el uso de bases de datos que incluyen información detallada de cada
cliente, con la finalidad de usarlo para cada promoción o comunicación de marketing directo según las
necesidades de cada cliente.
Se crea una relación entre anunciantes y consumidores, con la intención de mantener una relación
durante el mayor tiempo posible.
22
Legitimación por consentimiento inequívoco del interesado
En este caso, se debería informar al interesado de que la finalidad principal, no está supeditada al
consentimiento de los datos que no sean necesarios para dicha finalidad principal, ya que en ese
caso el consentimiento no tendría la consideración de estar otorgado libremente.
23
Derechos de los individuos
Transparencia e información
Se regula la transparencia e información de los derechos del interesado en el artículo 12 del RGPD.
Esta comunicación será relativa al tratamiento, y debe ser realizada de forma concisa, transparente,
inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida
específicamente a un niño: siempre se debe tener una especial consideración con los menores de
edad.
La información será facilitada por escrito o por otros medios, incluso, si procede, por medios
electrónicos.
Ejercicio de derechos
El responsable del tratamiento adoptará las medidas oportunas para facilitar al interesado toda la
información y acceso a los datos personales cuando estos se obtengan o no del interesado.
El responsable del tratamiento también debe facilitar al interesado el ejercicio de los derechos de
acceso, rectificación, supresión, y la comunicación de una violación de la seguridad de los
datos personales al interesado, que entrañe un alto riesgo para los derechos y libertades de las
personas físicas.
El responsable del tratamiento facilitará al interesado la información relativa a sus actuaciones sobre la
base de una solicitud de acuerdo con los derechos que tiene el interesado, y en el plazo de un mes a
partir de la recepción de la solicitud.
24
Prórroga del plazo de solicitud
El plazo de solicitud se podrá prorrogar otros dos meses en caso necesario, teniendo en
cuenta la complejidad y el número de solicitudes.
Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por
medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro
modo.
Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación,
y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no
actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y ejercitar
acciones judiciales.
La información facilitada para el acceso a los datos personales cuando se obtengan o no los datos
personales del interesado así como toda comunicación y cualquier actuación realizada conforme a los
derechos que tiene el interesado y por la comunicación de una violación de la seguridad de los datos
personales serán a título gratuito.
La información que deberá facilitarse a los interesados podrá transmitirse en combinación con iconos
normalizados que permitan proporcionar de forma fácilmente visible y legible una adecuada visión del
tratamiento. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.
Cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad
de la persona física que cursa la solicitud, podrá solicitar que se facilite la información
adicional necesaria para confirmar la identidad del interesado.
25
Derecho de acceso, rectificación y supresión (olvido)
Derecho de acceso
Regulación Acceso
Regulación
En el caso de que así sea, puede ejercer el derecho de acceso a los datos personales y a la
siguiente información:
26
Normas corporativas vinculantes.
Cláusulas tipo de protección de datos adoptadas por la Comisión o cláusulas tipo de
protección de datos adoptadas por una Autoridad de Control y aprobadas por la Comisión.
Códigos de Conducta elaborados por los Estados miembros, las Autoridades de Control, el
Comité y la Comisión y mecanismos de certificación que demuestren el cumplimiento del
RGPD en las operaciones de tratamiento de los responsables y los encargados.
El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento, y
podrá percibir un canon razonable basado en los costes administrativos por cualquier otra copia
solicitada por el interesado.
Cuando el interesado presente la solicitud por medios electrónicos, y a menos que solicite que se
facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
El art. 15.3 y el considerando 63 señalan que se deberá facilitar una copia de los datos objeto de
tratamiento de forma sencilla o en intervalos de plazo razonables, para que el interesado pueda
verificar y conocer la licitud del tratamiento.
Se hace una mención específica a los datos relativos a la salud incluidos en Historiales Clínicos
que contengan información sobre diagnósticos, resultados de exámenes, evaluaciones de
facultativos y cualesquiera tratamientos o intervenciones practicadas.
Así mismo, en caso de que el interesado solicite otra copia, esta podrá ser remunerada con una
tasa o canon razonable, basado en los costes administrativos que suponga dicha copia.
Además, debe facilitarse por medios electrónicos de uso común, si el interesado utilizó estos para
realizar su solicitud. A este respecto, el considerando 63 establece que los responsables deben
estar facultados para permitir un acceso remoto seguro, que ofrezca al interesado un acceso
directo a sus datos personales.
Se restringe el ejercicio del derecho de acceso a que el mismo no afecte negativamente a los
derechos y libertades de otros, incluidos secretos comerciales o derechos de propiedad intelectual
que protegen los programas informáticos.
27
Derecho de rectificación
Regulación Aplicación
Regulación
El interesado tendrá derecho a obtener sin dilación indebida del responsable del
tratamiento la rectificación de los datos personales inexactos que le afectan.
Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los
datos personales que sean incompletos, inclusive mediante una declaración adicional.
Los interesados deben tener derecho a que se rectifiquen los datos personales que le afectan y un
«derecho al olvido» si la retención de tales datos infringe el RGPD o el Derecho de la Unión
Europea o de los Estados miembros aplicable al responsable del tratamiento.
Los interesados deben tener derecho a que sus datos personales se supriman y dejen de
tratarse, si ya no son necesarios para los fines para los que fueron recogidos o tratados.
Aplicaci ón
Este derecho procede si el interesado dio su consentimiento siendo niño y no siendo plenamente
consciente de los riesgos que implica el tratamiento, y más tarde quiere suprimir tales datos
personales, especialmente en internet. El interesado debe poder ejercer este derecho aunque ya
no sea un niño.
La retención de los datos personales debe ser lícita cuando sea necesaria para el ejercicio de
la libertad de expresión e información, para el cumplimiento de una obligación legal o de una
misión realizada en interés público o en el ejercicio de poderes públicos que tiene el
responsable del tratamiento por razones de interés público en el ámbito de la salud pública, o
para la formulación, ejercicio o defensa de reclamaciones.
Existe una vinculación directa del derecho a la rectificación con el carácter inexacto o incompleto
de los datos.
Será obligación de los responsables que los datos no sean incompletos o inexactos, debiendo
garantizar que los mismos serán actualizados sin dilación indebida y al mismo tiempo el interesado
tiene el derecho a que sus datos sean rectificados en los supuestos en que los mismos sean
inexactos.
28
Derecho de supresión (olvido)
Regulación
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento
la supresión de los datos personales que le afectan.
El responsable estará obligado a suprimir los datos personales cuando concurra alguna de las
circunstancias siguientes:
Los datos dejan de ser necesarios para los fines para los que fueron recabados.
El interesado retira el consentimiento en que se basa el tratamiento.
El interesado se opone al tratamiento.
Los datos han sido tratados ilícitamente.
Los datos deben suprimirse para el cumplimiento de una obligación legal establecida
en el Derecho de la Unión Europea o de los Estados miembros, aplicada al responsable del
tratamiento.
Los datos personales se obtuvieron en relación con la oferta de servicios de la sociedad
de la información efectuada a menores.
Cuando se hayan hecho públicos los datos personales y el responsable del tratamiento estuviera
obligado a suprimir dichos datos, teniendo en cuenta la tecnología disponible y el coste de su
aplicación, adoptará las medidas razonables, incluso de carácter técnico, para informar a los
responsables que están tratando los datos personales de la solicitud del interesado de supresión
de cualquier enlace a esos datos personales, o a la copia o réplica de los mismos.
Derecho al ol vido
En qué consiste
Se tendrán que retirar los resultados de búsqueda a petición de un ciudadano, si los sitios web
a los que se enlaza contenían datos personales del solicitante.
29
De esta forma, posteriormente a una sentencia del de Tribunal de Justicia de la Unión Europea de
13 de Mayo de 2014, buscadores como Google tienen la obligación de eliminar de sus listas de
resultados aquellos enlaces que violen ciertos derechos de un ciudadano, a petición de este.
Cada una de las peticiones se valorará de forma individual por parte de los responsables de los
motores de búsqueda, que son los responsables de adoptar la decisión de aceptar o rechazar las
solicitudes.
Derecho de oposición
Regulación Aplicación
Regulación
Se regula el derecho de oposición en el artículo 21 y en los considerandos 69 y 70 del RGPD.
El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos
legítimos para el tratamiento que prevalezcan sobre los intereses, derechos y libertades del
interesado, o para la formulación, ejercicio o defensa de reclamaciones.
Cuando los datos personales se traten con fines de investigación científica, histórica o fines
30
estadísticos, el interesado tendrá derecho, por motivos relacionados con su situación particular, a
oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el
cumplimiento de una misión realizada por razones de interés público.
Aplicaci ón
Se establecen los siguientes supuestos específicos en los que puede ejercitar el derecho de oposición:
En el caso de que los datos sean tratados con finalidad de Marketing Directo el responsable está
obligado en todo momento a dejar de tratar los datos en cuanto el interesado se oponga a dicho
tratamiento. Además, deberá comunicar su derecho al interesado en la primera comunicación que
realice de forma clara y al margen de cualquier otra información.
En la LOPD era el interesado quién debía demostrar la situación particular para la oposición. Por el
contrario, en el RGPD se invierte dicha carga siendo obligación del responsable demostrar que existen
motivos suficientes que prevalezcan sobre los derechos y libertades del interesado. En caso contrario,
dejará de tratar los datos personales del interesado.
Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el
tratamiento automatizado, incluida la elaboración de perfiles, que le produzca efectos jurídicos o le
afecte significativamente.
31
Elaboración de perf iles
Concepto Garantías
Concepto
La elaboración de perfiles consiste en cualquier forma de tratamiento de los datos personales que
evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir
aspectos relacionados con:
El rendimiento en el trabajo.
La situación económica.
La salud.
Las preferencias o intereses personales.
La fiabilidad o el comportamiento.
La situación o los movimientos del interesado.
Se deben permitir las decisiones basadas en tal tratamiento, incluida la elaboración de perfiles, si lo
autoriza expresamente el Derecho de la Unión o de los Estados miembros aplicable al responsable del
tratamiento, incluso con fines de control y prevención del fraude y la evasión fiscal.
Garantías
A fin de garantizar un tratamiento leal y transparente respecto del interesado, teniendo en cuenta las
circunstancias y contexto específicos en los que se tratan los datos personales, el responsable del
tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de
perfiles.
Se aplicarán medidas técnicas y organizativas apropiadas para garantizar que se corrigen los factores
que introducen inexactitudes en los datos personales, reduciendo al máximo el riesgo de error,
asegurando los datos personales de forma que se tengan en cuenta los posibles riesgos para los
intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las
personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias o
afiliación sindical.
Además, se establece que, en el caso de que se haya prestado el consentimiento o exista una relación
contractual libremente aceptada, el tratamiento debe estar sujeto a las siguientes garantías
adecuadas:
32
Incluir información específica al interesado.
Derecho a obtener información humana.
Derecho a expresar su punto de vista.
Derecho a recibir una explicación de la decisión adoptada después de la evaluación.
Derecho a impugnar la decisión.
Portabilidad
Regulación
Es el derecho a recibir del interesado u otro responsable los datos personales del interesado en
formato común y estructurado, siempre y cuando el tratamiento se base en el consentimiento o
en la ejecución de un contrato.
Se establece como un derecho del interesado a recibir todos aquellos datos personales que le
incumban y que haya facilitado a un responsable, siempre y cuando el tratamiento esté basado en el
consentimiento o sea necesario para la ejecución de un contrato y el mismo se efectúe por medios
automatizados.
Se establece que los interesados deben recibir los datos en un formato estructurado de uso común
y de lectura mecánica e interoperable, siempre que la tecnología lo permita. El interesado tendrá el
derecho a que los datos personales se transmitan directamente de un responsable de tratamiento a
otro.
33
Categorías de datos
El derecho a la portabilidad señala qué datos deben ser facilitados al interesado o en su caso el
responsable.
Categorías de datos
El GT29 ha manifestado que los datos que cubre el derecho a la portabilidad son fundamentalmente
los datos proporcionados de forma activa y consciente por el interesado, y aquellos datos que
son proporcionados también por el interesado en virtud del uso del servicio o dispositivo.
En este último caso, la guía del GT29 destaca como ejemplos de datos originados por el servicio: el
historial de búsqueda, los datos de tráfico y los datos de ubicación.
Debe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de
datos.
34
Bibliografía
Referencias bibliográficas
1. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de Abril de 2016.
2. Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo de 9 de Septiembre de 2015, por la
que se establece un procedimiento de información en materia de reglamentaciones técnicas y reglas
relativas a los servicios de la sociedad de la información.
3. Reglamento (CE) nº 1049 / 2001 del Parlamento Europeo y del Consejo, de 30 de Mayo de 2001,
relativo al acceso al público a los documentos del Parlamento Europeo, del Consejo y de la
Comisión.
4. Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de Julio de 2002, relativo al
tratamiento de datos personales y a la protección de intimidad en el sector de las comunicaciones
electrónicas.
Bibliografía recomendada
35
Enlaces
Enlaces de la unidad
36
Enlaces de interés
37
900 921 292
formacion@bvbs.es
www.bureauveritasformacion.com
Reservados todos los derechos. El contenido de esta obra está protegido por la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier
medio o procedimiento sin autorización previa.