Contenido y formato del examen - Dominio I:

Normativa general de protección de datos

Avanzamos a través del conocimiento

Índice de contenidos
Método de Evaluación ................................................................................................................................... 2
Certificación DPO ...................................................................................................................................... 2
Examen ..................................................................................................................................................... 2
Banco de preguntas .................................................................................................................................. 3
Programa o Lista de Contenidos ............................................................................................................... 4
Procedimiento de Selección y Designación de Evaluadores .................................................................... 4
Dominio I: Normativa de Protección de Datos .............................................................................................. 7
Regulación................................................................................................................................................. 7
Reglamento Europeo de Protección de Datos .......................................................................................... 8
Reglamento Europeo de Protección de Datos .............................................................................................. 9
Ámbito de aplicación ................................................................................................................................. 9
Términos y definiciones ........................................................................................................................... 10
Legitimación del tratamiento de datos ........................................................................................................ 14
Consentimiento........................................................................................................................................ 14
Consentimiento inequívoco ..................................................................................................................... 16
Bases de legitimación ................................................................................................................................. 19
Consideraciones generales ..................................................................................................................... 19
Derechos de los individuos ......................................................................................................................... 24
Transparencia e información ................................................................................................................... 24
Derecho de acceso, rectificación y supresión (olvido) ............................................................................ 26
Derecho de oposición .............................................................................................................................. 30
Decisiones individuales automatizadas .................................................................................................. 31
Portabilidad.............................................................................................................................................. 33
Bibliografía................................................................................................................................................... 35
Referencias bibliográficas ....................................................................................................................... 35
Bibliografía recomendada ....................................................................................................................... 35
Enlaces ........................................................................................................................................................ 36
Enlaces de la unidad ............................................................................................................................... 36
Enlaces de interés ................................................................................................................................... 37

Contenido y formato del examen - Dominio I

1
Método de Evaluación
Certificación DPO

El proceso de evaluación está basado en la valoración del conocimiento y experiencia de la

persona que se certifica, así como en el desarrollo profesional continuo.

A través de diferentes pruebas de evaluación, el candidato deberá evidenciar que posee la competencia
adecuada, es decir, los conocimientos teóricos, la capacidad profesional y las habilidades personales
necesarias para realizar las tareas de Delegado de Protección de Datos, en los términos y condiciones
establecidas por el Esquema de Certificación de la AEPD.

Examen

La evaluación de los conocimientos y capacidades técnicas o profesionales se desarrollará mediante la

realización de un examen, con las siguientes características:

Estructura Puntuación Convocatorias

Estruct ura

El examen versará sobre los temas relativos a los conocimientos específicos, con unos criterios de
ponderación establecidos para cada uno de los dominios en que se estructuran las tareas y
competencias a evaluar.

Es requisito imprescindible para la obtención del certificado la superación del examen.

El examen engloba una prueba que consta de 150 preguntas tipo test de respuesta múltiple,
siendo necesario para su aprobación haber superado el 75% (al menos 113 puntos).

El 20% de las preguntas, es decir, 30 preguntas, describirán un escenario práctico (de carácter
normativo, organizativo y/o técnico) sobre el que versará la pregunta.

Las preguntas están distribuidas en cada uno de los correspondientes bloques o dominios del
programa conforme a la siguiente ponderación:

 Dominio 1 – 50%, 75 preguntas, de ellas 15 con escenario práctico.

 Dominio 2 – 30%, 45 preguntas, de ellas 9 con escenario práctico.
 Dominio 3 – 20%, 30 preguntas, de ellas 6 con escenario práctico.

Contenido y formato del examen - Dominio I

2
 Puntuación

Para la aprobación del examen, es necesario responder correctamente al 50% de las preguntas en
cada uno de los bloques o dominios, y se deberá obtener un total de 75 puntos sumando la puntuación
mínima de los tres dominios, y el resto de la puntuación hasta obtener el 75% del total se podrá
obtener de cualquiera de los dominios.

Las preguntas tendrán cuatro opciones de respuesta, de las cuales solo una será válida. Cada
respuesta correcta contará como 1 punto. Y no se puntuarán las preguntas cuya respuesta sea
incorrecta o se deje en blanco. Se requiere, pues, para su aprobación, haber obtenido al
menos, 113 puntos.

Convocat orias

La duración del examen es de cuatro horas.

El resultado de la prueba de evaluación comportará la valoración de “apto” o “no apto” en cada

convocatoria.

Cada entidad de certificación llevará a cabo las convocatorias que estime oportunas, y deberá
comunicar su fecha de celebración a la AEPD con una antelación de tres meses; sin perjuicio de que,
mediante acuerdo de todas las entidades de certificación, se puedan establecer convocatorias únicas
y coordinadas.

Banco de preguntas

Para facilitar la realización de las pruebas de examen, la AEPD podrá acordar la creación de un Banco
común de preguntas que custodiará con las debidas medidas de seguridad, solicitando a las Entidades
de Certificación acreditadas la aportación de las correspondientes preguntas.

La redacción de las preguntas corresponderá a cada una de las EC acreditadas, quienes deberán
aportar inicialmente 600 preguntas al banco común y anualmente aquellas que la AEPD les requiera
atendiendo al número de exámenes solicitados, con la finalidad de poder renovar anualmente un
tercio, al menos, de las preguntas incluidas en el banco.

Las EC acreditadas deberán remitir sus preguntas en cada una de sus entregas, en el número requerido
por la AEPD, conforme a los criterios de distribución fijados por el Esquema para cada uno de los
dominios.

La AEPD podrá fijar el formato en que deberán ser aportadas las preguntas, y los requisitos técnicos y
procedimentales para asegurar la calidad y confidencialidad en su entrega por las EC.

Contenido y formato del examen - Dominio I

3
Es responsabilidad de la EC acreditada el envío de preguntas correctas siguiendo las directrices
marcadas por la AEPD para la redacción de las mismas.

La AEPD realizará una primera revisión de las preguntas remitidas, informando a la EC acreditada de sus
resultados, tras los cuales ésta procederá a su reelaboración y posterior remisión a la AEPD, quien
comunicará a la EC la posibilidad o no de realizar exámenes, según el resultado de la revisión.

Programa o Lista de Contenidos

Los contenidos a evaluar en el examen de la certificación están integrados en los siguientes dominios o
áreas temáticas según las ponderaciones indicadas:

Dominio 1: Normativa General de Protección de Datos

Temas de cumplimiento normativo del reglamento europeo, normativa nacional, directiva

europea sobre ePrivacy. Directrices y guías del GT art.29, etc. La ponderación es del 50%.

Dominio 2: Responsabili dad Acti va

Temas de evaluación y gestión de riesgos de tratamientos de datos personales, evaluación

de impacto de protección de datos, protección de datos desde el diseño, protección de datos
por defecto, etc. La ponderación es del 30%.

Dominio 3: Técni cas para Garantizar el Cumplim ient o de la

Normati va de Prot ección de Datos y Otros Conocimient os

Temas de auditorías de seguridad, auditorías de protección de datos, etc. La ponderación es

del 20%.

Procedimiento de Selección y Designación de Evaluadores

El grupo de evaluadores está constituido por profesionales independientes del Esquema con
conocimientos y experiencia profesional equivalente o superior al candidato a certificar, y capacidad de
evaluar las pruebas del método de evaluación.

Han de garantizar la independencia de criterio, emitiendo un informe con el resultado de la evaluación en

el cual se basa la decisión de concesión del certificado al candidato evaluado.

Las EC detallarán las actividades de supervisión que guiarán la actuación de los evaluadores, y pueden
ser personal propio de la entidad o personal subcontratado (autónomos o por cuenta ajena).

Este procedimiento define los criterios relativos a los procesos de selección y mantenimiento de las
empresas o personas subcontratadas.

Contenido y formato del examen - Dominio I

4
 Registros y procedimientos de trabajo

Se mantendrán archivados los currículums de todos los evaluadores en los que se conserven los
registros sobre titulación, formación y experiencia que demuestren su adecuada competencia técnica.

Se distribuirán de forma controlada a los evaluadores copias de aquellos documentos del sistema de
la calidad que sean de aplicación a su trabajo, y en especial todos los procedimientos y formatos
aplicables a la actividad de evaluación.

Requisitos de los evaluadores

Los evaluadores candidatos deberán cumplir los siguientes requisitos.

 Titulación universitaria de grado.

 Experiencia de al menos cinco años en el ámbito de protección de datos o de la seguridad de
la información.

Méritos

Se valorarán los siguientes méritos:

 Titulación universitaria superior a la de grado: doctorado, posgrado o

máster en el ámbito de la protección de datos o la seguridad de la
información.

Méritos  Experiencia docente en títulos relacionados con la protección de datos

preferentes o la seguridad de la información.
 Estar en posesión durante los últimos cinco años de certificaciones
relacionadas con la protección de datos o la seguridad de la
información.

 Experiencia superior a cinco años en el ámbito de protección de datos

o seguridad de la información.

Méritos  Participación en comités nacionales o internacionales de

adicionales normalización relacionados con protección de datos o seguridad de la
información.
 Publicación de artículos relacionados con ambas materias.

Contenido y formato del examen - Dominio I

5
 Incompatibilidades y exclusiones

Podrán ser excluidas parcial o totalmente del proceso de evaluación aquellas personas que pudieran
ver comprometida su independencia por cualquier circunstancia profesional, familiar o personal.

Funciones del evaluador

El evaluador es responsable de:

 Evaluar de manera imparcial y confidencial la documentación presentada por los candidatos y

las pruebas a que se sometan. La valoración del examen se hará sin conocer la identidad del
candidato.
 Emitir un informe con el resultado de la evaluación. Además, le corresponde:
□ Informar a la Entidad de Certificación de cualquier relación profesional, familiar o de
otro tipo que pueda afectar a la objetividad e imparcialidad de su labor de evaluación.
□ Valorar la recusación motivada de cualquier candidato para su traslado a la Entidad de
Certificación.

Procedimiento de selección

La Entidad de Certificación evaluará las candidaturas de los evaluadores y resolverá comunicando su

decisión al candidato.

Comité de selección

La Entidad de Certificación creará un órgano interno sujeto a la normativa interna y del Esquema para
realizar la selección de los evaluadores.

Contenido y formato del examen - Dominio I

6
Dominio I: Normativa de Protección de Datos
Regulación

En el ámbito europeo, la protección de datos se configura como un derecho fundamental.

Carta de Derechos Fundamentales de la Unión Europea, artículo 8

“Toda persona tiene derecho a la protección de datos de carácter personal que le conciernan.

Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la
persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho
a acceder a los datos recogidos que la conciernan y a su rectificación.

El respeto de estas normas quedará sujeto al control de una autoridad independiente”.

La principal norma de aplicación es el Reglamento Europeo de Protección de Datos. Anteriormente,

habían sido normas de referencia la Directiva 95/46 de la Unión Europea y el Convenio nº 108 del
Consejo de Europa sobre la protección de las personas.

El Reglamento Europeo de Protección de Datos regula la protección de las personas físicas en el

tratamiento de datos personales y la libre circulación de estos datos.

Los desarrollos tecnológicos y la globalización de los intercambios de datos afectan al mercado

empresarial y amplios sectores de actividad, y por tanto se hace necesaria una regulación eficaz y segura
de la protección de datos.

La Directiva 95/46 ya prohibía la transferencia de datos a países que no contaran con un nivel adecuado
de protección de datos y actualmente se establece un procedimiento para determinar formalmente si un
país ofrece un nivel de protección adecuado.

En estas situaciones, la decisión corresponde a la Comisión, previa consulta al Grupo de Autoridades

del Artículo 29 y a un Comité de representantes de los Estados miembros, que valora requisitos como
son la existencia de leyes de protección de datos, el contenido de esas leyes y el funcionamiento
en la práctica del sistema de protección de datos.

La principal consecuencia de que un país sea declarado adecuado es que se podrán transferir datos
desde los Estados miembros de la Unión Europea sin necesidad de ningún tipo de trámite o autorización
especial.

Reglamento Europeo
Documento

Contenido y formato del examen - Dominio I

7
Reglamento Europeo de Protección de Datos

¿Qué es? ¿Qué pretende?

¿Qué es?

El Reglamento Europeo de Protección de Datos ha unificado la normativa europea sobre protección de

datos, con la finalidad de conseguir una mejor gestión y control de los datos personales y que las
empresas puedan aprovechar las oportunidades de un mercado único digital, generando una mayor
confianza en los consumidores.

Esta nueva normativa entró en vigor a los dos años de su aprobación, concretamente el 25 de Mayo
de 2018, y permite que los ciudadanos puedan tener un mayor control sobre sus datos personales
con:

 Acceso más sencillo a los datos y mejor información de cómo son tratados sus datos
personales.
 El Derecho a la portabilidad de datos, haciendo más sencilla la transferencia de datos
personales entre los proveedores de servicios.

¿Qué pretende?

En este sentido, tanto las empresas como las organizaciones deben informar a las autoridades
nacionales de cualquier ataque a sus bancos de datos, para poder adoptar las medidas precisas.

Cuando un ciudadano desee que sus datos no sean tratados y no exista una razón legítima para su
conservación, los datos podrán ser eliminados, y la nueva normativa establecerá un único conjunto de
normas aplicables.

Asimismo, las empresas radicadas fuera de la Unión Europea deberán aplicar las mismas reglas que
las europeas cuando ofrezcan sus servicios en la Unión Europea.

La nueva regulación garantizará también que la salvaguarda de la protección de datos se incorpora a

los productos y servicios desde sus inicios (Data protection by design), fomentando
técnicas “Privacy-friendly” como la seudonimización para salvaguardar los beneficios de la
innovación en Big Data, a la vez que se protege la privacidad.

Mediante la seudonimización de los datos, se tratan los datos personales sin los datos identificativos
del interesado y se precisa de información adicional para identificar a una persona.

El nuevo Reglamento también tiene en cuenta las necesidades específicas de las autoridades
judiciales de los diferentes Estados miembros, y cumple con la Carta de Derechos Fundamentales.

Por tanto, a nivel internacional, es en Europa donde la protección de datos ha alcanzado una gran
relevancia y se adoptan las medidas precisas para garantizar la seguridad de las personas.

Contenido y formato del examen - Dominio I

8
Reglamento Europeo de Protección de Datos
Ámbito de aplicación

El Reglamento Europeo de Protección de Datos (RGPD) regula la aplicación de las normas relativas a la
protección de las personas físicas en el tratamiento de los datos personales y a la libre circulación de
estos datos.

Finalidad del Reglamento

Proteger los derechos y libertades fundamentales de las personas físicas y, concretamente, su derecho
a la protección de los datos personales.

Actualmente, las nuevas tecnologías tienen una influencia cada vez mayor en la sociedad de la
información, proporcionando ventajas tanto para las personas como para las empresas, en:

 Mejoras en la comunicación.
 Reducción de costes.
 Incremento de la productividad.

Pero también, esta masiva utilización de las nuevas tecnologías puede suponer un peligro para la
salvaguarda de derechos de los ciudadanos, en su derecho a la protección de la intimidad y la
propiedad intelectual, dada la enorme facilidad para recoger, almacenar, copiar, procesar y distribuir
datos.

Ámbito material Ámbito territorial

Ámbito material

Este RGPD se aplica al tratamiento automatizado total o parcial de datos personales, así como al
tratamiento no automatizado de datos personales destinados a ser incluidos en un fichero.

No se aplicará al tratamiento de datos personales el que se realice:

 En el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la

Unión Europea.
 Por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.
 En las actividades desarrolladas por las autoridades competentes con fines de prevención,
investigación, detección o enjuiciamiento de infracciones penales, incluida la protección frente
a amenazas a la seguridad pública y su prevención.

Contenido y formato del examen - Dominio I

9
Ámbito territorial

El RGPD se aplica al tratamiento de datos personales en el contexto de las actividades de un

establecimiento del responsable o del encargado en la Unión Europea, independientemente de que el
tratamiento tenga lugar en la Unión Europea o no.

Asimismo, también se aplica al tratamiento de datos personales de interesados que residan en la

Unión por parte de un responsable o encargado no establecido en la Unión Europea, cuando las
actividades de tratamiento estén relacionadas con:

 La oferta de bienes o servicios a los citados interesados en la Unión Europea,

independientemente de si a estos se les requiere su pago o el control de su comportamiento
en la medida que tenga lugar en la Unión Europea.
 El control de su comportamiento, en la medida en que este tenga lugar en la Unión.

El presente Reglamento también se aplica al tratamiento de datos personales por parte de un

responsable que no esté establecido en la Unión, sino en un lugar donde el Derecho de los Estados
miembros se aplique en virtud del Derecho internacional público.

Términos y definiciones

 Datos personales. Toda información sobre una persona física identificada o

identificable («el interesado»).
Se considerará persona física identificable a toda persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante un identificador, como
por ejemplo un nombre, un número de identificación, datos de localización, un
identificador en línea o uno o varios elementos propios de la identidad física,
fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
 Tratamiento. Cualquier operación o conjunto de operaciones realizadas sobre datos
personales, ya sea por procedimientos automatizados o no, como la recogida, registro,
organización, estructuración, conservación, adaptación o modificación, extracción,
consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de
habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
 Limitación del tratamiento. El marcado de los datos de carácter personal
conservados con el fin de limitar su tratamiento en el futuro.
 Elaboración de perfiles. Toda forma de tratamiento automatizado de datos
personales consistente en utilizar datos personales para evaluar determinados
aspectos personales de una persona física, en particular para analizar o predecir

Contenido y formato del examen - Dominio I

10
 aspectos relativos al rendimiento profesional, situación económica, salud, preferencias
personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha
persona física.
 Seudonimización. El tratamiento de datos personales de manera tal que ya no
puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha
información adicional figure por separado y esté sujeta a medidas técnicas y
organizativas destinadas a garantizar que los datos personales no se atribuyan a una
persona física identificada o identificable.

 Fichero. Todo conjunto estructurado de datos personales, accesibles con arreglo a

criterios determinados, ya sea centralizado, descentralizado o repartido de forma
funcional o geográfica.
 Responsable del tratamiento o responsable. La persona física o jurídica, autoridad
pública, servicio u otro organismo que, solo o junto con otros, determine los fines y
medios del tratamiento.
 Encargado del tratamiento o encargado. La persona física o jurídica, autoridad
pública, servicio u otro organismo que trate datos personales por cuenta del
responsable del tratamiento.
 Destinatario. La persona física o jurídica, autoridad pública, servicio u otro organismo
al que se comuniquen datos personales, se trate o no de un tercero.
No se considerarán destinatarios las autoridades públicas que puedan recibir datos
personales en el marco de una investigación concreta de conformidad con el Derecho
de la Unión o de los Estados miembros.
El tratamiento de tales datos por dichas autoridades públicas será conforme con las
normas en materia de protección de datos aplicables a los fines del tratamiento.
 Tercero. Persona física o jurídica, autoridad pública, servicio u organismo distinto del
interesado, del responsable o encargado del tratamiento y de las personas
autorizadas para tratar los datos personales bajo la autoridad directa del responsable
o del encargado.

 Consentimiento del interesado. Toda manifestación de voluntad libre, específica,

informada e inequívoca por la que el interesado acepta, ya sea mediante una
declaración o una clara acción afirmativa, el tratamiento de datos personales que le
conciernen.
 Violación de la seguridad de los datos personales. Toda violación de la seguridad
que ocasione la destrucción, pérdida y alteración accidental o ilícita de datos
personales transmitidos, conservados o tratados de otra forma, o la comunicación o
acceso no autorizados a dichos datos.

Contenido y formato del examen - Dominio I

11
 Datos genéticos. Datos personales relativos a las características genéticas
heredadas o adquiridas de una persona física que proporcionen una información única
sobre la fisiología o la salud de esa persona, obtenidos del análisis de una muestra
biológica de la persona.
 Datos biométricos. Datos personales obtenidos a partir de un tratamiento técnico
específico, relativos a las características físicas, fisiológicas o conductuales de una
persona física que permitan la identificación única de dicha persona, como imágenes
faciales o datos dactiloscópicos.
 Datos relativos a la salud. Datos personales relativos a la salud física o mental de
una persona física, incluida la prestación de servicios de atención sanitaria, que
revelen información sobre su estado de salud.

 Establecimiento principal. En lo que se refiere a un responsable del tratamiento con

establecimientos en más de un Estado miembro, el lugar de su administración central
en la Unión, salvo que las decisiones sobre los fines y medios del tratamiento se
adopten en otro establecimiento del responsable en la Unión y este último
establecimiento tenga el poder de aplicar estas decisiones, en cuyo caso el
establecimiento que haya adoptado tales decisiones se considerará establecimiento
principal.
En lo que se refiere a un encargado del tratamiento con establecimientos en más de
un Estado miembro, el lugar de su administración central en la Unión o, si careciera de
esta, el establecimiento del encargado en la Unión en el que se realicen las principales
actividades de tratamiento en el contexto de las actividades de un establecimiento del
encargado en la medida en que el encargado esté sujeto a obligaciones específicas
con arreglo al RGPD.
 Representante. Persona física o jurídica establecida en la Unión que, habiendo sido
designada por escrito por el responsable o el encargado del tratamiento, represente al
responsable o al encargado en las obligaciones que señala el RGPD.
 Empresa. Persona física o jurídica dedicada a una actividad económica,
independientemente de su forma jurídica, incluidas las sociedades o asociaciones que
desempeñen regularmente una actividad económica.
 Grupo empresarial. Grupo constituido por una empresa que ejerce el control y sus
empresas controladas.
 Normas corporativas vinculantes. Las políticas de protección de datos personales
asumidas por un responsable o encargado del tratamiento establecido en el territorio
de un Estado miembro para el conjunto de transferencias de datos personales a un
responsable o encargado en uno o más países terceros, dentro de un grupo

Contenido y formato del examen - Dominio I

12
 empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

 Autoridad de control. La autoridad pública independiente establecida por un Estado

miembro que debe proteger los derechos y libertades físicas de las personas físicas
en la libre circulación de datos personales.
 Autoridad de control interesada. La autoridad de control a la que afecta el
tratamiento de datos personales debido a que:
□ El responsable o el encargado del tratamiento está establecido en el territorio
del Estado miembro de esa autoridad de control.
□ Los interesados que residen en el Estado miembro de esa autoridad de
control se pueden ver sustancialmente afectados por el tratamiento.
□ Se ha presentado una reclamación ante esa autoridad de control.
 Tratamiento transfronterizo
□ El tratamiento de datos personales en el contexto de las actividades de
establecimientos en más de un Estado miembro de un responsable o un
encargado del tratamiento en la Unión, si el responsable o el encargado
estuviera establecido en más de un Estado miembro.
□ El tratamiento de datos personales realizado en el contexto de las actividades
de un único establecimiento de un responsable o un encargado del
tratamiento en la Unión, pero que afecta sustancialmente o es probable que
afecte sustancialmente a interesados en más de un Estado miembro.
 Objeción pertinente y motivada. La objeción a una propuesta de decisión sobre la
existencia o no de infracción al RGPD, o sobre la conformidad de acuerdo con el
RGPD de acciones relacionadas con el responsable o encargado del tratamiento, que
demuestre claramente la importancia de los riesgos que entraña el proyecto de
decisión para los derechos y libertades fundamentales de los interesados y, en su
caso, para la libre circulación de datos personales dentro de la Unión.
 Servicio de la sociedad de la información. Todo servicio prestado normalmente a
cambio de una remuneración, a distancia, por vía electrónica y a petición individual de
un destinatario de servicios.
 Organización internacional. Una organización internacional y sus entes
subordinados de Derecho internacional público o cualquier otro organismo creado
mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.

Contenido y formato del examen - Dominio I

13
Legitimación del tratamiento de datos
Consentimiento

Es el principio fundamental para cualquier tratamiento de datos. Está íntimamente unido al principio
de información y puede considerarse como el principio legitimador de todo tratamiento.

El consentimiento debe ser libre, específico y manifestarse sin ningún género de dudas, por lo que
deberá ser precedido por una declaración del responsable del fichero en el que se le indiquen el objeto
de tratamiento y las finalidades del mismo.

Clases de consentimiento

Expreso o
Se manifiesta a través de un acto declarativo de voluntad.
inequívoco

Tácito Se produce cuando el silencio puede considerarse como un acto de aceptación.

De una determinada conducta se deduce la aceptación de una determinada

Presunto
obligación.

La nueva normativa NO admite el consentimiento tácito, aquel que daba por válido el
consentimiento si el interesado no se opone en el plazo de 30 días desde la comunicación.
Actualmente está derogado, ya que el Reglamento Europeo de Protección de Datos exige que el
consentimiento sea inequívoco.

Obligaciones del responsable

El responsable del tratamiento deberá conocer si la comunicación en la que se recaba el

consentimiento del afectado ha sido objeto de devolución por cualquier causa, en cuyo caso no
podrá proceder al tratamiento de los datos referidos a ese interesado.

Asimismo, es obligación del responsable del tratamiento establecer un medio sencillo, gratuito y
que no le implique ingreso alguno para que el afectado revoque el consentimiento, por lo que no
podrá obligar al afectado a que utilice cartas certificadas o servicios de telecomunicaciones que le
supongan un coste adicional.

Contenido y formato del examen - Dominio I

14
 Exigencias del Reglamento Europeo de Protección de Datos

En el Reglamento Europeo de Protección de Datos se establece el consentimiento como una

de las bases para el tratamiento de datos personales, y debe ser una declaración o acción
afirmativa que implique que el titular está de acuerdo con el tratamiento.

Todos los tratamientos de datos personales deben adecuarse al Reglamento Europeo de Protección
de Datos, y solo será lícito si se cumple al menos una de las siguientes condiciones:

 El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o
varios fines específicos.
 El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o
para la aplicación a petición de este de medidas precontractuales.
 El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del fichero.
 El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona
física.
 El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o
en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
 El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el
responsable del tratamiento o por un tercero siempre que sobre dichos intereses no
prevalezcan los intereses o los derechos y libertades fundamentales del interesado que
requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Por tanto, para que se pueda considerar el consentimiento como válido, es preciso que:

 El responsable demuestre el consentimiento del interesado.

 Sea fácilmente revocable.
 El consentimiento recaiga sobre todos los fines para los que vayan a tratarse los datos.
 Antes del consentimiento, se debe informar en un lenguaje claro y sencillo, de la identidad del
responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos
personales.

Contenido y formato del examen - Dominio I

15
 Solicitud del consentimiento

Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de

formación de un contrato, deberá permitir al afectado que manifieste expresamente su negativa al
tratamiento o comunicación de datos.

Se cumplirá tal deber cuando se permita al afectado la marcación de una casilla claramente visible
y que no se encuentre ya marcada en el documento que se le entregue para la celebración del
contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al
tratamiento.

Consentimiento inequívoco

El Reglamento establece que para que se pueda producir el consentimiento inequívoco, debe existir
una declaración de los interesados o una acción positiva que indique la conformidad del interesado.

Es una acción positiva, cuando se marca la casilla de un sitio web de Internet, al ser un ejemplo de
la realización de una conducta que indica claramente que el interesado acepta la propuesta de
tratamiento de sus datos personales.

Formulario de alta
Ejemplo

Formulario de alta

En este enlace, pueden analizar el proceso de registro y alta en una página muy utilizada por
numerosos clientes a nivel mundial para sus compras, como Amazon.

Contenido y formato del examen - Dominio I

16
Consideraciones

El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del

interesado o mediante una clara acción afirmativa.

No se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción.

El consentimiento puede ser inequívoco y otorgarse de manera implícita cuando se

deduzca de una acción del interesado, por ejemplo, cuando el interesado continúa
navegando por una web y acepta así el que se utilicen cookies para monitorizar su
navegación.

Contenido y formato del examen - Dominio I

17
Se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser
explícito:

 En el tratamiento de datos sensibles.

 En la adopción de decisiones automatizadas.
 En las transferencias internacionales.

En este caso, se debería informar al interesado de que la finalidad principal no está supeditada
al consentimiento de los datos que no sean necesarios para dicha finalidad principal, puesto
que de lo contrario el consentimiento no tendría la consideración de “otorgado libremente”.

Los tratamientos iniciados con anterioridad al inicio de la aplicación del Reglamento

Europeo de Protección de Datos sobre la base del consentimiento seguirán siendo
legítimos siempre que ese consentimiento se hubiera prestado del modo que prevé el
propio Reglamento, una manifestación o acción afirmativa.

El responsable del tratamiento debe poder demostrar que el interesado ha dado su

consentimiento inequívoco.

Contenido y formato del examen - Dominio I

18
Bases de legitimación
Consideraciones generales

Todo tratamiento de datos de carácter personal debe tener una base legal que lo justifique o
legitime.

Esto significa que las organizaciones deben documentar la base legal que legitima cada uno de sus
tratamientos de datos y proporcionar información a los interesados en el momento de recoger los datos
de los mismos

El Reglamento Europeo de Protección de Datos recoge las mismas bases jurídicas que contiene la
LOPD:

 Relación contractual.
 Obligación legal para el responsable.
 Intereses vitales del interesado o de otras personas.
 Interés público o ejercicio de poderes públicos.
 Intereses legítimos del responsable o de terceros a los que se comunican los datos.
 Consentimiento Inequívoco del Interesado.

Legitimación por ejecución de un contrato

Cuando el tratamiento sea necesario para la ejecución de algún contrato de carácter mercantil,
laboral, administrativo, etc. o para la aplicación de medidas precontractuales, se debe hacer
constar una referencia al contrato o tipo de contrato de que se trate, con el detalle suficiente para
que no exista ninguna ambigüedad sobre el mismo.

Deberá informarse de la obligación de facilitar los datos personales, así como de las
consecuencias de no hacerlo.

Contenido y formato del examen - Dominio I

19
 Legitimación por cumplimiento de una obligación legal

Cuando el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento que ha recabado los datos, deberá hacerse constar cuál es la norma
con rango de Ley que impone la obligación. Deberá informarse de la obligación a facilitar los datos
personales, así como de las consecuencias de no hacerlo.

Ley general de Telecomunicaciones

Enlace
externo

Ley general de Telecomunicaciones

La Ley General de Telecomunicaciones permite garantizar el cumplimiento de los objetivos de

la Agenda Digital para Europa, que establece una regulación clara que proporciona seguridad
jurídica.

Legitimación por interés vital del interesado u otra persona

Se aplica a situaciones especiales, urgentes o sobrevenidas, y en la información básica tiene que

indicarse que la legitimación deriva de la protección de intereses vitales de una persona física.

Se deberá informar de la identidad de dicha persona, o del tipo de vínculo con el interesado, por

Contenido y formato del examen - Dominio I

20
ejemplo en el caso de una persona en el servicio de urgencias, o situaciones de emergencia
humanitaria en el caso de catástrofes naturales.

Legitimación por interés público o ejercicio de poderes públicos

Cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés
público o el ejercicio de poderes públicos relativos al responsable del tratamiento.

Igualmente se hará constar cuál es la norma con rango de ley, que confiere los poderes públicos o
califica la misión como de interés público.

El Reglamento Europeo de Protección de Datos señala que cada Estado Miembro podrá mantener o
incluir disposiciones más específicas en la adaptación de las Normas del Reglamento.

Legitimación por interés legítimo del responsable o de un tercero

Cuando el tratamiento sea necesario para la satisfacción de “intereses legítimos” perseguidos por
el responsable del tratamiento o por un tercero, se explicitarán cuáles son tales intereses.

Se considera una buena práctica incluir un resumen de la ponderación de su legitimidad frente a los
intereses y los derechos y libertades del interesado, cuando ello contribuya al principio de
transparencia.

Por ejemplo:

 Publicación de datos con fines de transparencia y responsabilidad.

Contenido y formato del examen - Dominio I

21
  Investigación histórica u otro tipo de investigación científica.
 Interés público general.
 Facultad de control empresarial legitimado conforme al Estatuto de los Trabajadores.
 Interés legítimo de la empresa en la protección de sus activos (videovigilancia).

 Interés de la parte perjudicada para ceder los datos del incumplidor a terceros.
 Tratamiento de datos con fines de Marketing Directo.

El marketing directo utiliza el uso de bases de datos que incluyen información detallada de cada
cliente, con la finalidad de usarlo para cada promoción o comunicación de marketing directo según las
necesidades de cada cliente.

Se crea una relación entre anunciantes y consumidores, con la intención de mantener una relación
durante el mayor tiempo posible.

 Prevención del Fraude.

 Transmisiones de datos dentro del Grupo Empresarial.
 Transmisiones de datos para garantizar la seguridad de las redes y sistemas de información.

Contenido y formato del examen - Dominio I

22
 Legitimación por consentimiento inequívoco del interesado

En este caso, se debería informar al interesado de que la finalidad principal, no está supeditada al
consentimiento de los datos que no sean necesarios para dicha finalidad principal, ya que en ese
caso el consentimiento no tendría la consideración de estar otorgado libremente.

El consentimiento debe consistir en una manifestación de voluntad libre, específica, informada e

inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción
afirmativa, el tratamiento de datos personales que le afectan.

Actualmente, ni el silencio, ni las casillas premarcadas o la inacción se consideran consentimiento.

Cuando se quieran tratar datos relativos a la salud o a menores de edad, es imprescindible

recabar expresamente el consentimiento explícito.

Contenido y formato del examen - Dominio I

23
Derechos de los individuos
Transparencia e información

Se regula la transparencia e información de los derechos del interesado en el artículo 12 del RGPD.

Cuando las organizaciones tratan datos personales, deben facilitar la transparencia de la

información y proporcionarla de forma amplia, inteligible y sencilla, lo que favorecerá la toma de
decisiones por el ciudadano.

Esta comunicación será relativa al tratamiento, y debe ser realizada de forma concisa, transparente,
inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida
específicamente a un niño: siempre se debe tener una especial consideración con los menores de
edad.

La información será facilitada por escrito o por otros medios, incluso, si procede, por medios
electrónicos.

Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se

demuestre la identidad del interesado por otros medios.

Ejercicio de derechos Comunicación de información

Ejercicio de derechos

El responsable del tratamiento adoptará las medidas oportunas para facilitar al interesado toda la
información y acceso a los datos personales cuando estos se obtengan o no del interesado.

El responsable del tratamiento también debe facilitar al interesado el ejercicio de los derechos de
acceso, rectificación, supresión, y la comunicación de una violación de la seguridad de los
datos personales al interesado, que entrañe un alto riesgo para los derechos y libertades de las
personas físicas.

En el supuesto de que el responsable no esté en condiciones de identificar al interesado, le informará

de esta situación, y solo le impedirá ejercer sus derechos si el responsable puede demostrar que no
está en condiciones de identificar al interesado.

Plazos de comunicación de la información

El responsable del tratamiento facilitará al interesado la información relativa a sus actuaciones sobre la
base de una solicitud de acuerdo con los derechos que tiene el interesado, y en el plazo de un mes a
partir de la recepción de la solicitud.

Contenido y formato del examen - Dominio I

24
 Prórroga del plazo de solicitud

El plazo de solicitud se podrá prorrogar otros dos meses en caso necesario, teniendo en
cuenta la complejidad y el número de solicitudes.

El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un

mes a partir de la recepción de la solicitud indicando los motivos de la dilación.

Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por
medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro
modo.

Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación,
y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no
actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y ejercitar
acciones judiciales.

La información facilitada para el acceso a los datos personales cuando se obtengan o no los datos
personales del interesado así como toda comunicación y cualquier actuación realizada conforme a los
derechos que tiene el interesado y por la comunicación de una violación de la seguridad de los datos
personales serán a título gratuito.

La información que deberá facilitarse a los interesados podrá transmitirse en combinación con iconos
normalizados que permitan proporcionar de forma fácilmente visible y legible una adecuada visión del
tratamiento. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.

Solicitudes infundadas o excesivas

Más
Información

Solicitudes infundadas o excesi vas

Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente

debido a su carácter repetitivo, el responsable del tratamiento podrá:

 Cobrar un canon razonable en función de los costes administrativos precisos para

facilitar la información o la comunicación o realizar la actuación solicitada.
 Negarse a actuar respecto de la solicitud.

Cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad
de la persona física que cursa la solicitud, podrá solicitar que se facilite la información
adicional necesaria para confirmar la identidad del interesado.

Contenido y formato del examen - Dominio I

25
Derecho de acceso, rectificación y supresión (olvido)

Derecho de acceso

Regulación Acceso

Regulación

Se regula el derecho de acceso en el artículo 12 RGPD y en los considerandos 63 y 64 del RGPD.

El interesado tendrá derecho a obtener del responsable del tratamiento la confirmación de

si se están tratando o no datos personales que le afecten.

En el caso de que así sea, puede ejercer el derecho de acceso a los datos personales y a la
siguiente información:

 Finalidad del tratamiento.

 Categorías de datos personales tratados.
 Los destinatarios a los que se comunicaron o serán comunicados los datos personales,
concretamente destinatarios en terceros u organizaciones internacionales.
 Si fuera posible, el plazo de conservación de los datos personales, o de no ser posible,
los criterios utilizados para determinar ese plazo.
 La existencia del derecho a solicitar del responsable la rectificación o supresión de
datos personales o la limitación del tratamiento de datos personales relativos al interesado
o a oponerse a dicho tratamiento.
 El derecho a presentar una reclamación ante una autoridad de control.
 Cuando los datos personales no se hayan obtenido del interesado, solicitar cualquier
información disponible sobre el origen de la fuente de obtención del dato.
 La existencia de decisiones automatizadas y elaboración de perfiles, y las
consecuencias de dicho tratamiento para el interesado.
 Transferencias internacionales de datos y garantías implantadas para la realización
de las mismas.

Cuando se transfieran datos personales a un tercer país o a una organización internacional, el

interesado tendrá derecho a ser informado de las garantías adecuadas para la transferencia como
es el caso de:

 Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos

públicos.

Contenido y formato del examen - Dominio I

26
  Normas corporativas vinculantes.
 Cláusulas tipo de protección de datos adoptadas por la Comisión o cláusulas tipo de
protección de datos adoptadas por una Autoridad de Control y aprobadas por la Comisión.
 Códigos de Conducta elaborados por los Estados miembros, las Autoridades de Control, el
Comité y la Comisión y mecanismos de certificación que demuestren el cumplimiento del
RGPD en las operaciones de tratamiento de los responsables y los encargados.

El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento, y
podrá percibir un canon razonable basado en los costes administrativos por cualquier otra copia
solicitada por el interesado.

Cuando el interesado presente la solicitud por medios electrónicos, y a menos que solicite que se
facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

El derecho a obtener copia no afectará negativamente a los derechos y libertades de otras

personas.

Modo de facilitar el acceso

El art. 15.3 y el considerando 63 señalan que se deberá facilitar una copia de los datos objeto de
tratamiento de forma sencilla o en intervalos de plazo razonables, para que el interesado pueda
verificar y conocer la licitud del tratamiento.

Se hace una mención específica a los datos relativos a la salud incluidos en Historiales Clínicos
que contengan información sobre diagnósticos, resultados de exámenes, evaluaciones de
facultativos y cualesquiera tratamientos o intervenciones practicadas.

Así mismo, en caso de que el interesado solicite otra copia, esta podrá ser remunerada con una
tasa o canon razonable, basado en los costes administrativos que suponga dicha copia.

Además, debe facilitarse por medios electrónicos de uso común, si el interesado utilizó estos para
realizar su solicitud. A este respecto, el considerando 63 establece que los responsables deben
estar facultados para permitir un acceso remoto seguro, que ofrezca al interesado un acceso
directo a sus datos personales.

Se habilita igualmente la posibilidad de solicitar al interesado mayor concreción en la solicitud de

acceso, cuando la misma conlleve gran cantidad de información relativa al interesado.

Se restringe el ejercicio del derecho de acceso a que el mismo no afecte negativamente a los
derechos y libertades de otros, incluidos secretos comerciales o derechos de propiedad intelectual
que protegen los programas informáticos.

Contenido y formato del examen - Dominio I

27
 Derecho de rectificación

Regulación Aplicación

Regulación

El derecho de rectificación se regula en el artículo 16 y en el considerando 65 del RGPD.

El interesado tendrá derecho a obtener sin dilación indebida del responsable del
tratamiento la rectificación de los datos personales inexactos que le afectan.

Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los
datos personales que sean incompletos, inclusive mediante una declaración adicional.

Los interesados deben tener derecho a que se rectifiquen los datos personales que le afectan y un
«derecho al olvido» si la retención de tales datos infringe el RGPD o el Derecho de la Unión
Europea o de los Estados miembros aplicable al responsable del tratamiento.

Los interesados deben tener derecho a que sus datos personales se supriman y dejen de
tratarse, si ya no son necesarios para los fines para los que fueron recogidos o tratados.

Aplicaci ón

Este derecho procede si el interesado dio su consentimiento siendo niño y no siendo plenamente
consciente de los riesgos que implica el tratamiento, y más tarde quiere suprimir tales datos
personales, especialmente en internet. El interesado debe poder ejercer este derecho aunque ya
no sea un niño.

Licitud de la retención de datos personales

La retención de los datos personales debe ser lícita cuando sea necesaria para el ejercicio de
la libertad de expresión e información, para el cumplimiento de una obligación legal o de una
misión realizada en interés público o en el ejercicio de poderes públicos que tiene el
responsable del tratamiento por razones de interés público en el ámbito de la salud pública, o
para la formulación, ejercicio o defensa de reclamaciones.

Existe una vinculación directa del derecho a la rectificación con el carácter inexacto o incompleto
de los datos.

Será obligación de los responsables que los datos no sean incompletos o inexactos, debiendo
garantizar que los mismos serán actualizados sin dilación indebida y al mismo tiempo el interesado
tiene el derecho a que sus datos sean rectificados en los supuestos en que los mismos sean
inexactos.

Contenido y formato del examen - Dominio I

28
 Derecho de supresión (olvido)

Regulación Derecho al olvido

Regulación

Se regula el derecho de supresión en el artículo 17 y en el considerando 65 y 66 del RGPD.

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento
la supresión de los datos personales que le afectan.

El responsable estará obligado a suprimir los datos personales cuando concurra alguna de las
circunstancias siguientes:

 Los datos dejan de ser necesarios para los fines para los que fueron recabados.
 El interesado retira el consentimiento en que se basa el tratamiento.
 El interesado se opone al tratamiento.
 Los datos han sido tratados ilícitamente.
 Los datos deben suprimirse para el cumplimiento de una obligación legal establecida
en el Derecho de la Unión Europea o de los Estados miembros, aplicada al responsable del
tratamiento.
 Los datos personales se obtuvieron en relación con la oferta de servicios de la sociedad
de la información efectuada a menores.

Cuando se hayan hecho públicos los datos personales y el responsable del tratamiento estuviera
obligado a suprimir dichos datos, teniendo en cuenta la tecnología disponible y el coste de su
aplicación, adoptará las medidas razonables, incluso de carácter técnico, para informar a los
responsables que están tratando los datos personales de la solicitud del interesado de supresión
de cualquier enlace a esos datos personales, o a la copia o réplica de los mismos.

Derecho al ol vido

Se hace también referencia expresa al “Derecho al olvido”, a la manifestación del derecho de

supresión en Internet.

En qué consiste

Se tendrán que retirar los resultados de búsqueda a petición de un ciudadano, si los sitios web
a los que se enlaza contenían datos personales del solicitante.

Contenido y formato del examen - Dominio I

29
 De esta forma, posteriormente a una sentencia del de Tribunal de Justicia de la Unión Europea de
13 de Mayo de 2014, buscadores como Google tienen la obligación de eliminar de sus listas de
resultados aquellos enlaces que violen ciertos derechos de un ciudadano, a petición de este.

Cada una de las peticiones se valorará de forma individual por parte de los responsables de los
motores de búsqueda, que son los responsables de adoptar la decisión de aceptar o rechazar las
solicitudes.

Sentencia Tribunal de Justicia de la UE

Documento

Sentencia Tribunal de Justici a de la UE

Con el fin de ayudar a identificar el derecho al olvido en Internet, pueden revisar la

sentencia del Tribunal de Justicia de la Unión Europea, que sirve de base para la
eliminación por los buscadores de Internet, de aquellos enlaces que vulneren derechos
de una persona.

Derecho de oposición

Regulación Aplicación

Regulación
Se regula el derecho de oposición en el artículo 21 y en los considerandos 69 y 70 del RGPD.

El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados

con su situación particular, a que datos personales que le conciernan sean objeto de un
tratamiento, incluida la elaboración de perfiles.

El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos
legítimos para el tratamiento que prevalezcan sobre los intereses, derechos y libertades del
interesado, o para la formulación, ejercicio o defensa de reclamaciones.

A más tardar en el momento de la primera comunicación con el interesado, el derecho de oposición

será mencionado explícitamente al interesado y presentado claramente y al margen de cualquier otra
información.

Cuando los datos personales se traten con fines de investigación científica, histórica o fines

Contenido y formato del examen - Dominio I

30
 estadísticos, el interesado tendrá derecho, por motivos relacionados con su situación particular, a
oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el
cumplimiento de una misión realizada por razones de interés público.

Aplicaci ón
Se establecen los siguientes supuestos específicos en los que puede ejercitar el derecho de oposición:

 En los supuestos de tratamiento de datos en interés público.

 En los supuestos de interés legítimo.

En el caso de que los datos sean tratados con finalidad de Marketing Directo el responsable está
obligado en todo momento a dejar de tratar los datos en cuanto el interesado se oponga a dicho
tratamiento. Además, deberá comunicar su derecho al interesado en la primera comunicación que
realice de forma clara y al margen de cualquier otra información.

En la LOPD era el interesado quién debía demostrar la situación particular para la oposición. Por el
contrario, en el RGPD se invierte dicha carga siendo obligación del responsable demostrar que existen
motivos suficientes que prevalezcan sobre los derechos y libertades del interesado. En caso contrario,
dejará de tratar los datos personales del interesado.

Decisiones individuales automatizadas

Se regula el derecho a las decisiones automatizadas en el artículo 22 y el considerando 71 del RGPD.

Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el
tratamiento automatizado, incluida la elaboración de perfiles, que le produzca efectos jurídicos o le
afecte significativamente.

Se ejecutará esta acción si:

 Fuera necesario para la celebración o la ejecución de un contrato entre el interesado y un

responsable del tratamiento.
 Está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al
responsable del tratamiento, y se establezcan las medidas adecuadas para salvaguardar los
derechos y libertades, y los intereses legítimos del interesado.
 Se basa en el consentimiento explícito del interesado.

Contenido y formato del examen - Dominio I

31
Elaboración de perf iles

Concepto Garantías

Concepto

¿En qué consiste?

La elaboración de perfiles consiste en cualquier forma de tratamiento de los datos personales que
evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir
aspectos relacionados con:

 El rendimiento en el trabajo.
 La situación económica.
 La salud.
 Las preferencias o intereses personales.
 La fiabilidad o el comportamiento.
 La situación o los movimientos del interesado.

Se deben permitir las decisiones basadas en tal tratamiento, incluida la elaboración de perfiles, si lo
autoriza expresamente el Derecho de la Unión o de los Estados miembros aplicable al responsable del
tratamiento, incluso con fines de control y prevención del fraude y la evasión fiscal.

Garantías

A fin de garantizar un tratamiento leal y transparente respecto del interesado, teniendo en cuenta las
circunstancias y contexto específicos en los que se tratan los datos personales, el responsable del
tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de
perfiles.

Se aplicarán medidas técnicas y organizativas apropiadas para garantizar que se corrigen los factores
que introducen inexactitudes en los datos personales, reduciendo al máximo el riesgo de error,
asegurando los datos personales de forma que se tengan en cuenta los posibles riesgos para los
intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las
personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias o
afiliación sindical.

Como excepciones se establecen las relaciones contractuales libremente aceptadas y el

consentimiento o la previsión del Derecho Nacional o de la Unión Europea.

Además, se establece que, en el caso de que se haya prestado el consentimiento o exista una relación
contractual libremente aceptada, el tratamiento debe estar sujeto a las siguientes garantías
adecuadas:

Contenido y formato del examen - Dominio I

32
  Incluir información específica al interesado.
 Derecho a obtener información humana.
 Derecho a expresar su punto de vista.
 Derecho a recibir una explicación de la decisión adoptada después de la evaluación.
 Derecho a impugnar la decisión.

Portabilidad

Regulación

Se regula el derecho a la portabilidad de los datos en el artículo 20 y el considerando 68 del RGPD.

Es el derecho a recibir del interesado u otro responsable los datos personales del interesado en
formato común y estructurado, siempre y cuando el tratamiento se base en el consentimiento o
en la ejecución de un contrato.

Se establece como un derecho del interesado a recibir todos aquellos datos personales que le
incumban y que haya facilitado a un responsable, siempre y cuando el tratamiento esté basado en el
consentimiento o sea necesario para la ejecución de un contrato y el mismo se efectúe por medios
automatizados.

Como excepción se establecen aquellos supuestos en los que el tratamiento se funde en el

cumplimiento de una misión de interés público o inherente al ejercicio del poder público.

Se establece que los interesados deben recibir los datos en un formato estructurado de uso común
y de lectura mecánica e interoperable, siempre que la tecnología lo permita. El interesado tendrá el
derecho a que los datos personales se transmitan directamente de un responsable de tratamiento a
otro.

Contenido y formato del examen - Dominio I

33
 Categorías de datos

El derecho a la portabilidad señala qué datos deben ser facilitados al interesado o en su caso el
responsable.

Categorías de datos

Se establecen tres categorías de datos:

 Facilitados por el usuario.

 Originados por el responsable en el tratamiento de datos.
 Incluso los que se deduzcan o deriven de estos últimos.

El GT29 ha manifestado que los datos que cubre el derecho a la portabilidad son fundamentalmente
los datos proporcionados de forma activa y consciente por el interesado, y aquellos datos que
son proporcionados también por el interesado en virtud del uso del servicio o dispositivo.

En este último caso, la guía del GT29 destaca como ejemplos de datos originados por el servicio: el
historial de búsqueda, los datos de tráfico y los datos de ubicación.

Ejercicio del derecho

Al ejercer su derecho a la portabilidad de los datos basado en el consentimiento dado, el interesado

tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable
cuando sea técnicamente posible.

El ejercicio de este derecho se aplicará sin perjuicio de la posibilidad de ejercer también el

derecho de supresión.

Debe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de
datos.

Efectivamente el derecho a la portabilidad se dará siempre y cuando el tratamiento esté basado en el

consentimiento o sea necesario para la ejecución de un contrato, por tanto, quedaría exceptuado
cuando sea necesario para cumplir una obligación legal aplicable al responsable o para el
cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos
conferidos al responsable.

Contenido y formato del examen - Dominio I

34
Bibliografía
Referencias bibliográficas

1. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de Abril de 2016.
2. Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo de 9 de Septiembre de 2015, por la
que se establece un procedimiento de información en materia de reglamentaciones técnicas y reglas
relativas a los servicios de la sociedad de la información.
3. Reglamento (CE) nº 1049 / 2001 del Parlamento Europeo y del Consejo, de 30 de Mayo de 2001,
relativo al acceso al público a los documentos del Parlamento Europeo, del Consejo y de la
Comisión.
4. Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de Julio de 2002, relativo al
tratamiento de datos personales y a la protección de intimidad en el sector de las comunicaciones
electrónicas.

Bibliografía recomendada

1. Cañibano Sánchez, C (2008). Economía del Conocimiento y la Innovación: Editorial Pirámide.

2. Arenas Ramiro, M (2006). El Derecho Fundamental a la Protección de Datos en Europa. Editorial
Tirant lo Blanch.
3. Rubio Llorente, F (2004). Los Derechos Fundamentales en la Unión Europea y el estatuto en la Carta.
Editorial Europa Futura.
4. Matia Portilla, F.J (2002) La Protección de los Derechos Fundamentales. Universidad Autónoma de
Barcelona.

Contenido y formato del examen - Dominio I

35
Enlaces
Enlaces de la unidad

Enlace url https://www.agpd.es/portalwebAGPD/index-ides-idphp.php

Nombre de la página Agencia Española de Protección de Datos

1 Descripción Página principal de la Agencia Española de Protección de Datos,

autoridad estatal de control que vela por el cumplimiento de la normativa
sobre protección de datos, garantizando el derecho fundamental a la
protección de datos de carácter personal de los ciudadanos.

Enlace url https://www.boe.es/diario_boe/

Nombre de la página Boletín Oficial del Estado

2
Descripción Página Principal del Boletín Oficial del Estado que realiza la difusión de
las normas y disposiciones del ordenamiento jurídico para su fácil
acceso por ciudadanos, profesional y empresas.

Enlace url https://curia.europa.eu/jcms/jcms/j_6/es/

Nombre de la página Tribunal de Justicia de la Unión Europea

3
Descripción Portal del Tribunal de Justicia de la Unión Europea (TJUE) que
garantiza que se aplique correctamente la normativa legal en todos los
países miembros

Contenido y formato del examen - Dominio I

36
Enlaces de interés

Enlace url https://europa.eu/european-union/index_es

Nombre de la página UNION EUROPEA

1
Descripción Página principal de LA Unión Europea que genera toda la normativa
legislativa que deben adaptar los países miembros en materia de
protección de datos.

Enlace url https://www.amazon.es/

Nombre de la página AMAZON

2
Descripción Portal de la empresa amazon que permite analizar los formularios que
las empresas deben poner a disposición de los clientes para el
tratamiento de sus datos personales

Contenido y formato del examen - Dominio I

37
 900 921 292

formacion@bvbs.es

www.bureauveritasformacion.com

 ECA, Entidad Colaboradora de la Administración, S.L. (Unipersonal)

Reservados todos los derechos. El contenido de esta obra está protegido por la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier
medio o procedimiento sin autorización previa.