TEMA 3.

LA PROTECCIÓN
DE DATOS DE
CARÁCTER
PERSONAL II
Leonor Rams Ramos
URJC
 1. 1. OBLIGACIONES DE TRANSPARENCIA
¿QUÉ INFORMACIÓN DEBE DAR EL RESPONSABLE?

El responsable debe informar • RESPONSABLE

• FINALIDAD
de manera clara, concisa, • LEGITIMACIÓN
inteligible, con lenguaje claro • DESTINATARIOS
(de cesiones o transferencias
y de fácil acceso. internacionales)
• PLAZO DE CONSERVACIÓN
Medio que deje constancia. • DERECHOS DE LOS INTERESADOS
• PROCEDENCIA
 1. 1. OBLIGACIONES DE TRANSPARENCIA
¿QUÉ INFORMACIÓN DEBE DAR EL RESPONSABLE?

Fuente:
 1.2. ¿QUÉ DERECHOS TIENEN LOS INTERESADOS?

Derecho de ACCESO (distinto

Derecho de SUPRESIÓN (al
del derecho de acceso a la Derecho de RECTIFICACIÓN
olvido)
información) Artículo 16 RGPD
Artículo 17 RGPD
Artículo 15 RGPD

Derecho de LIMITACIÓN del Derecho a la PORTABILIDAD

Derecho de OPOSICIÓN
tratamiento de los datos
Artículo 21 RGPD
Artículo 18 RGPD Artículo 20 RGPD

Derecho a no ser objeto de Derecho a presentar una

decisiones basadas RECLAMACIÓN ante la
únicamente en tratamientos autoridad de protección de
automatizados datos
Artículo 22 RGPD Artículo 12 RGPD
1.2. EL EJERCICIO DE LOS DERECHOS
DE PROTECCIÓN DE DATOS

• Son derechos personalísimos, que se puede ejercer directamente o a través

de representante.
• Requieren identificación.
• Plazo de 1 mes (ampliable).
• Es gratuito.
• Debe darse información clara sobre los medios para su ejercicio.
• Debe informarse sobre la posibilidad de presentación de reclamación ante la
autoridad nacional de protección de datos
• Naturaleza de procedimiento administrativo para las Entidades del Sector
Público.
 2. LA PROTECCIÓN DE DATOS DESDE EL
DISEÑO
Protección de datos desde el diseño y
por defecto
• Teniendo en cuenta la naturaleza, el
ámbito, el contexto y los fines del
tratamiento así como los riesgos de
diversa probabilidad y gravedad para
los derechos y libertades de las
personas físicas, el responsable del
tratamiento aplicará medidas técnicas
y organizativas apropiadas a fin de
garantizar y poder demostrar que el
tratamiento es conforme con el
presente Reglamento. Dichas
medidas se revisarán y actualizarán
cuando sea necesario.
Medidas de responsabilidad proactiva:
accountability
• Registro de actividades de
tratamiento (RAT OBLIGATORIO)
• Responsabilidades delegadas
• Análisis de riesgos de cada
tratamiento
• Formación de las personas que traten
datos en la organización
• Políticas de protección de datos
• Procedimientos de ejercicio de los
derechos en materia de protección de
datos
• Procedimiento de brechas de
seguridad de los datos personales
 2.1.MEDIDAS JURÍDICAS DE PDDyD:
el Registro de Actividades de Tratamiento

Información mínima necesaria:

Datos de Medias
Categorías de TranSferencias
contacto del Fines del Categorías de Plazos de técnicas y
interesados y internacionales
responsable y tratamiento destinatarios supresión organizativas
de datos en su caso
DPD de seguridad

Actualización constante por parte de la Entidad

Realizada por las personas con responsabilidad delegada en
Con supervisión de la Delegada de Protección de Datos
la Entidad
 2.2. MEDIDAS JURÍDICAS DE PDDyD:
políticas de protección de datos

Procedimientos
Procedimientos
específicos desde el
específicos de ejercicio
diseño para proteger
de los derechos
datos personales

Procedimientos Medidas específicas de

específicos de conciliación entre la
notificación y gestión de transparencia y la
violaciones de protección protección de datos de
de datos (brechas). carácter personal.
 2.3 HOJA DE RUTA PARA LA
PROTECCIÓN DE DATOS DESDE EL
DISEÑO)
No: anónimo o anonimizado
¿Es necesario tratar datos personales?
Sí: seudonimizar si es possible

Cláusulas de información PD
¿Cómo se van a obtener los datos? Consentimiento informado en su caso o base legítima
adecuada

¿Para qué se van a tratar? Finalidad clara y específica

¿Qué cantidad y tipo de datos personales se van Identificativos y/o especialmente protegidos
a tratar? Limitar y minimizar los datos a tratar

¿Cuánto tiempo será necesario que se

Anonimizaciones
conserven?
Bloqueo y supresión de los datos
Garantía de confidencialidad
¿Qué medidas de seguridad son necesarias? Medidas de seguridad
Controles
 2.4. FASES DEL TRATAMIENTO DE DATOS DESDE LA
PERSPECTIVA DE LA GESTIÓN DEL RIESGO

Diseño de la Fases de la Determinación de

Datos a tratar Implementación
actividad: actividad: riesgos
• Finalidad • Tipo de datos • Datos y • Derechos y • Clausulado
• Base de • Origen de los tratamiento por libertades de las • Inscripción en el
legitimación: datos fase personas RAT
• Interés público • Soporte del • Cesiones y • Tratamientos
• Obligación legal tratamiento: transferencias masivos/ IA
• Registro previstas • Seguridad de los
• Contrato
• Forms • Lugar, modo de datos
• Consentimiento
conservación • Accesibilidad
• Interés legítimo • Aplicación
• Tiempo de • Posible EIPD/PIA
• Interés vital • Papel
conservación

Mejora Seguimiento
REVISIÓN CONTROL
 3. PRIVACIDAD POR DEFECTO Y SEGURIDAD EN EL TRATAMIENTO DE DATOS
ANÁLISIS DE RIESGOS: optimizar
¿Los datos que se van a tratar son de
categorías especiales o pueden afectar
a los derechos y libertades de las
personales?
¿Hay tratamiento masivo de datos?
¿Hay elaboración de perfiles?
¿Se han previsto sistemas de
anonimización o seudonimización?
¿Es nececesaria una EIPD?
Idoneidad, necesidad y
proporcionalidad
MEDIDAS DE PROTECCIÓN POR
DEFECTO: configurar
¿Existe una la política de seguridad y
normativa TIC?
¿Hay una “configuración por defecto”?
¿Dónde van a estar los datos?
¿Cómo se van a conservar?
¿Cuánto tiempo se van a conservar?
¿Se van a cifrar?
¿se usa software autorizado?
¿se ha dado información clara sobre el
tratamiento?
CONFIDENDIALIDAD Y
ACCESIBILIDAD: restringir
¿Quién va tener acceso?
¿Hay encargados de tratamiento?
Las personas que van a tratar datos
personales: ¿han firmado cláusulas de
confidencialidad
?¿Hsy sistemas de doble
autenticación?
¿Está previsto ceder los datos
personales? ¿Y TIDs?
4.1.MEDIDAS JURÍDICAS DE PDDyD:
el/la Delegado/a de protección de datos
• El/la Delegado/a de protección de datos tiene las siguientes funciones:
• Informar y asesorar al responsable o al encargado del tratamiento y a los
empleados que se ocupen del tratamiento, de las obligaciones del RPGD y demás
normativa aplicable en protección de datos.
• Supervisar el cumplimiento del RGPD y demás normativa aplicable en protección de
datos, y de las políticas del responsable o encargado del tratamiento en dicha
materia, incluida la asignación de responsabilidades, la concienciación y formación
del personal que participa en operaciones de tratamiento, y las auditorías
correspondientes.
• Ofrecer el asesoramiento que se solicite acerca de la evaluación de impacto relativa
a la protección de datos y supervisar su aplicación conforme al artículo 35 del RGPD.
• Cooperar con la autoridad de control. Actuar como punto de contacto de la
autoridad de control para cuestiones relativas al tratamiento, incluida la consulta
previa del artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro
asunto.
4.2. MEDIDAS JURÍDICAS DE PDDyD:
el/la Jefe de Seguridad de la Información
• Figura obligatoria para, empresas que prestan servicios esenciales, son servicios
estratégicos o críticos, presten servicios digitales como mercados en línea, motores de
búsqueda y servicios en nube:
• Define el plan de seguridad de la entidad (políticas de seguridad de la información,
y de seguridad informática).
• Analiza las vulnerabilidades del sistema para detectar riesgos de seguridad.
• Garantiza la seguridad y privacidad de los datos
• Realiza campañas de formación y concienciación.
• Ejecuta la respuesta ante incidentes de seguridad.
• Cooperar con la autoridad de control.
• Las AAPP también tienen que tener un Responsable de Seguridad de la Información que
vele por el sistema de seguridad de la información como proceso de carácter integral.
• Debe hacer gestión de la seguridad basada en riesgos, vigilancia y reevaulación
continuas.
• Debe comunicar al Centro criptológico nacional las brechas de seguridad que se
produzcan.
 4.3. GESTIÓN DE BRECHAS DE
PROTECCIÓN DE DATOS
Las brechas de datos personales son incidentes de seguridad que ocasionan:

Destrucción Pérdida Alteración accidental o Comunicación o acceso no

ilícita de los datos autorizado a los mismos.

Las brechas deben ser gestionadas de manera rápida, en especial cuando ponen en riesgo
los derechos y libertades de las personas físicas.

Aplicación de la normativa y procedimientos TIC Comunicación al Responsables de Seguridad de la

establecidos Información y a la Delegada de protección de datos

- Notificación del ciberincidente a INCIBE-CERT

- Notificación de las brechas de datos más graves a la AEDP (plazo de 72 horas)
5. TRANSFERENCIAS INTERNACIONALES
DE DATOS
• Estamos ante una TID cuando un responsable envía datos
personales fuera de la UE
• Da igual que se transfieran a otro responsable o que se trate de un encargado
de tratamiento.
• El RGPD exige garantías adicionales para evitar que los datos
puedan ser tratados de manera menos garantista que en la UE:
• La Comisión Europea puede dictar Decisiones de Adecuación: son Estados con
sistemas jurídicos equivalentes a la UE que no requieren de más garantías.
• Si las TID son a otros países, los contratos para las TI deben incluir unas
“cláusulas contractuales tipo” que aprueba la UE y que cubren los aspectos
necesarios de seguridad jurídica de los datos.
• En otros casos, es necesario solicitar autorización a la Autoridad de Control
• Hay casos en los que se sanciona la falta de garantías en las TID.