Modulo II, Parte 3 del curso de protección de datos

MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.3.
“METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE RIESGOS”

UNIDAD DIDÁCTICA 2.3. . METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE RIESGOS
OBJETIVOS ESPECIFICOS
 Comparar el antiguo Reglamento con la nueva aplicación del RGPD.
 Objetivos del nuevo programa del RGPD

UNIDAD DIDÁCTICA 2.3. PROGRAMA DE CUMPLIMIENTO DE PROTECCIÓN DE DATOS Y SEGURIDAD
EN UNA ORGANIZACIÓN.
ESTRUCTURA DIDÁCTICA.
2.3.1. El Diseño y la implantación del programa de protección de datos en el contexto de la organización.
2.3.2. Objetivos del programa de cumplimiento.
2.3.3. Accountability: La trazabilidad del modelo de cumplimiento

INTRODUCCIÓN:
El segundo paso que se realiza después del análisis y la evaluación es determinar el tratamiento que se quiere llevar
a cabo para mitigar o transferir el riesgo encontrado, y si este es aceptado por la organización.
La organización de aplicar un programa de cumplimiento de protección de datos para garantizar integridad,
confidencialización y disponibilidad de la información.
Hay varios espacios que dan apoyo en esta materia a parte de la AEPD, estos son:
○ Web del «CCN-CERT»*2 dirigida a la Administración Pública, hay recursos relacionados con la seguridad de la
información.
○ Web del Instituto de Ciberseguridad «INCIBE», hay material dirigido a la protección de datos de las micropymes
y autónomos.

Diseño
El primer paso es que las organizaciones se adapten a la implantación de un programa de protección de
datos.
El RGPD es una norma, que muchas veces no es regulada concretamente a las medidas, las medidas
dependen del resultado de las acciones previas que dan la <<responsabilidad activa>> - <<Accountability>>
Para elaborar el diseño, se tiene que tener en cuenta los principios que requiere el RGPD.
• Privacidad Incustrada en el diseño. La privacidad es parte integral del sistema, sin disminuir su
funcionalidad e implantada desde el inicio del diseño y la arquitectura de los sistemas de Tecnologías de
Información.
• Enfoque del riesgo. Las medidas que se quieren adoptar tienen que ser adecuadas a la naturaleza de los
datos, tipo de tratamiento… según la ampliación de la organización.
2.3.1. EL DISEÑO Y LA IMPLANTACIÓN DEL PROGRAMA DE PROTECCIÓN DE DATOS.

Diseño
El primer paso es que las organizaciones se adapten a la implantación de un programa de protección de
datos.
El RGPD es una norma, que muchas veces no es regulada concretamente a las medidas, las medidas
dependen del resultado de las acciones previas que dan la <<responsabilidad activa>> - <<Accountability>>
Para elaborar el diseño, se tiene que tener en cuenta los principios que requiere el RGPD.
• Privacidad Incustrada en el diseño. La privacidad es parte integral del sistema, sin disminuir su
funcionalidad e implantada desde el inicio del diseño y la arquitectura de los sistemas de Tecnologías de
Información.
• Enfoque del riesgo. Las medidas que se quieren adoptar tienen que ser adecuadas a la naturaleza de los
datos, tipo de tratamiento… según la ampliación de la organización.

• Seguridad Extremo-a-Extremo – Protección de Ciclo de Vida Completo. La privacidad como se ha dicho
anteriormente esta desde el inicio del diseño, aten inclusive de meter algún tipo de información. Por ello las
medidas de seguridad son muy importantes.
• Visibilidad y Transparencia – Mantenerlo Abierto. Todos los involucrados están realizando el tratamiento de los
datos acuerdo a las promesas y objetivos declarados.
• Respeto por la Privacidad del interesado. Los DPD y auditores ofrecen medidas de seguridad fuertes, información
y consentimientos apropiados… para que los intereses de las personas y negocios se mantengan en una posición
superior.
Los responsables y encargados crearan un programa de protección de datos para garantizar un nivel de
seguridad adecuado en función del contexto de la organización y el requerimiento del RGPD.

El obligatorio que las organizaciones realicen actuaciones para poder determinar qué medidas se deben implantar
con el Reglamento. El primer paso es el “Enfoque del Riesgo”
○ ¿Tiene más de 250 empleados?
○ ¿Se tratan datos sensibles?
○ ¿Se realiza un tratamiento en terceros países?
○ ¿Incluye el tratamiento la elaboración de perfiles?
○ ¿Cómo actividad principal, realicen un seguimiento de personas de forma sistemática y a gran escala?
○ ¿…?
Actividades principales: Conjunto de actividades que sale de la entidad y se
pueden considerar clave para lograr los objetivos de la entidad.
A gran escala: procesar una gran cantidad de datos personales, los cuales
pueden afectar a un gran número de personas.

Aunque realmente el elemento decisivo es el tipo de tratamiento que se lleve a cabo, por lo tanto algunas
cuestiones depende de la organización como por ejemplo:
● Si la organización tiene que designar un Delegado de Protección de Datos.
● Si la organización tiene que elaborar una Evaluación de impacto relativa a la protección de datos

Bases de legitimación para el tratamiento de datos.
● El RGPD mantiene el principio recogido en la Directiva 95/46; “Todo tratamiento de datos necesita apoyarse
en una base que lo legitime”. También recoge las bases jurídicas que contenía la Directiva y que reproduce
la LOPD:
● Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
● Relación contractual
● Consentimiento.
● Obligación legal para el responsable.
● Interés público o ejercicio de poderes públicos.
● Intereses vitales del interesado o de otras personas
2.3.1. EL DISEÑO Y LA IMPLANTACIÓN DEL PROGRAMA DE PROTECCIÓN DE DATOS

MÓDULO II. RESPONSABILIDAD ACTIVA
Se debe tener en cuenta la documentación e identificación clara de las bases legales sobre la que se desarrollan los
tratamientos. En conclusión, el consentimiento debe de ser “inequívoco” .
En muchos casos además de ser el consentimiento inequívoco debe de ser explícito:
• Transferencias internacionales.
• Tratamiento de datos sensibles
• El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del
interesado
• Adopción de decisiones automatizadas
Los tratamientos puesto en marcha antes de la aplicación de la RGPD, seguirán siendo legítimo siempre que el
consentimiento sea prestado del modo que prevé el propio RGPD, es decir, por una manifestación o acción
formativa.

● El RGPD mantiene el principio recogido en la Directiva 95/46; “Todo tratamiento de datos necesita apoyarse
en una base que lo legitime”. También recoge las bases jurídicas que contenía la Directiva y que reproduce
la LOPD:
● Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
● Relación contractual
● Consentimiento.
● Obligación legal para el responsable.
● Interés público o ejercicio de poderes públicos.
● Intereses vitales del interesado o de otras personas
2.3.1. EL DISEÑO Y LA IMPLANTACIÓN DEL PROGRAMA DE PROTECCIÓN DE
DATOS

Algunas recomendaciones son:
• No conseguir los consentimientos por omisión, sino revisar los tratamientos para que en mayo del 2018, se
hayan adecuado a las previsiones del RGPD.
• Las adaptaciones pueden llevarse a cabo:
o Obteniendo un consentimiento de los interesados acorde a las disposiciones del RGPD.
o Valorar si los tratamientos afectados se pueden apoyar en otra base legal.
Conclusión bajo riesgo.
Después de analizar los datos, si el tratamiento es básico y no tienen ningún rasgo particular que eleve el nivel de
riesgo, se debe tener en cuenta:
• Normalmente estos tratamientos se basan en la existencia de una relación contractual entre el interesado o el
responsable o en el consentimiento del interesado.
• Es habitual que existan obligaciones legales para el responsable.

Transparencia e información a los interesados.
La información a los interesados deben de ser inteligible, concisa, transparente y fácil de acceso con un lenguaje
claro y sencillo, ya sea para informar de los tratamientos como a las respuestas a los ejercicios de derechos.
Obligaciones:
• Evitar formulas farragosas y que incorporar referencia a los textos legales.
• Las cláusulas informativas deben explicar el contenido de forma clara y accesible para los interesados,
independientemente de los conocimientos de materia.
• Se añade una lista exhaustiva de la información que se le debe de proporcionar a los interesados, esto debe de
ser de forma escrita, incluyendo los medios electrónicos cuando se apropiado.
○ Base jurídica del tratamiento
○ Intención de realizar transferencias internacionales
○ Datos del Delegado de Protección de Datos (si lo hubiere)
○ Elaboración de perfiles

Transparencia e información a los interesados.
El diseño de los iconos estandarizados lo hace la Comisión Europea. Estos ofrecen una información conjunta de
tratamiento previsto.
La AEPD, Autoridad Catalana de Protección de Datos y Agencia Vasca de Protección de Datos han preparado una
Guía sobre el derecho a la información
Después de analizar los datos recogidos, si se considera que el tratamiento es básico y no tiene algún rasgo
particular que eleve el nivel de riesgo:
○ En principio no tendrían que informar sobre los datos de contacto del Delegado de Protección de Datos, o la
adopción de decisiones automatizadas…etc.
○ La información se podrá facilitar por diversos medios (avisos en páginas web, carteles informativos…) y en
diversos momentos (cuando se recojan los datos para contratación con clientes)

Derechos.
El RGPD tiene los tradicionales derechos ARCO y algunos nuevos derechos. También añade el procedimiento a seguir
para atender a los interesados en el ejercicio de sus derechos.
Los derechos ARCO, que son las siglas de acceso, rectificación, cancelación y oposición son el conjunto de derechos a
través de los cuales la ley orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) garantiza a las
personas el poder de control sobre sus datos personales.
Los procedimientos para el ejercicio son:
• Los responsables debe facilitar a los interesados el ejercicio de sus derechos, procedimiento y forma de manera
visible, accesible y sencillo. Este es un procedimiento de carácter general.
• Los ejercicios de los derechos son gratuitos para el interesado, excepto cuando se formulen solicitudes
manifiestamente infundadas o excesivas .

Derechos.
Obligaciones:
• Procedimientos fáciles para que los interesados puedan acreditar que han ejercido sus derechos por medios
electrónicos.
• El responsable debe demostrar el carácter infundado o excesivo de las solicitudes que tengan un coste para el
interesado.
• El responsable debe informar al interesad0o sobre las actuaciones derivadas de su petición en el plazo de un
mes
• Si el responsable no atiende una solicitud a propósito deberá informa de ello, en el plazo de un mes.
• Los responsables deberán tomar medidas para verificar la identidad de quienes soliciten acceso y de quienes
ejerzan los restantes derechos ARCO.
• El responsable que trate una gran cantidad de información sobre un interesado puede pedir a este que
especifique la información a que se refiere su solicitud de acceso.
• El responsable puede obtener la colaboración de los encargados para atender al ejercicio de derechos de los
interesados

Derechos.
Derechos de acceso
Los responsables podrán atender a este derecho
facilitando el acceso remoto a un sistema seguro
que ofrezca al interesado un acceso directo a sus
datos personales.
ANTES:
Deberían facilitarse todos los datos
de base afectados, pero no copias o
documentos (excepto en el caso de la
hostia clínica)
RGPD:
Se reconoce el derecho a obtener una
copia de los datos personales objeto del
tratamiento.

Derechos.
Derechos al olvido
• No esta apreciado un derecho autónomo o diferenciado a los clásicos derechos ARCO, sino el uso
del derecho al borrado de los datos personales.
• Declaración de los derechos de cancelación u oposición en el entorno online (según el Tribunal de
Justicia de la UE estableció en el caso Google Spain)
Se debe de tener en cuenta que los responsables actuales aplican la jurisprudencia , no tienen que
introducir ninguna modificación en sus prácticas. Además los que hayan hecho públicos los datos
personales tendrán que adoptar medidas técnicas para informar a otros responsables de la solicitud
del interesado de borrar su información personal.

Derechos.
Limitación de tratamiento – cambios
Esta limitación de tratamiento que sean a petición de interesado no se aplicará a los datos personales las
operaciones de tratamiento que en cada caso corresponderían
Se puede solicitar la limitación cuando:
• El tratamiento es legal, lo que implicaría el borrado de los datos, pero el interesado se pone a ello.
• El interesado ha ejercido los derechos de rectificación u oposición y el responsable está en proceso de
determinar si procede atender a la solicitud.
• Para la formulación, el ejercicio o la defensa de reclamaciones
• Con el consentimiento del interesado
• Para proteger los derechos de otra persona física o jurídica

Derechos.
Limitación de tratamiento – cambios
• Los datos ya no son necesarios para el tratamiento, que también determinaría su borrado, pero el interesado
solicita la limitación porque los necesita para la formulación, el ejercicio o la defensa de reclamaciones.
• Por razones de interés público importante de la Unión o del Estado miembro correspondiente.
Se tiene que tener en cuenta que la limitación de tratamiento es un derecho de los interesados que no se tiene que
confundir con el bloqueo de datos que existen en la legislación española, a este derecho se le aplica los mismos
procedimientos y plazos que están previstos en el RGPD.
A consecuencia de esta regulación, no esta permitida la práctica habitual de borrar los datos cuando se estén
ejercitando otros derechos, como por ejemplo el de acceso, ya que impediría el ejercicio del derecho a la limitación
de tratamiento.

Derechos.
Portabilidad – cambios
Este derecho dirigido a la portabilidad de los datos es una forma avanzada del derecho de acceso, por lo tanto la
copia que se le da al interesado debe ofrecer un formato estructurado, de lectura mecánica y uso común.
Solo se puede ejercer este derecho cuando:
• El tratamiento se base en el consentimiento u contrato.
• El interesado solicita los datos que haya proporcionado al responsable y que le conciernan, incluido los datos
derivados de la propia actividad del interesado.
• El tratamiento se efectúe por medios automatizados.
Se debe tener en cuenta que este derecho implica que sean transmitidos directamente de un responsable a otro los
datos personales del interesado. Siempre que sea posible.

Derechos.
Portabilidad – cambios
La portabilidad de un responsable a otro no es aplicable cuando:
• Sean datos de terceras personas que el interesado facilitado al responsable.
• Cuando el interesado ha solicitado la portabilidad de los datos que le incumban, pero que estos han sido
proporcionados al responsable por un tercero.
particular que eleve el nivel de riesgo:
○ El procedimiento que se lleva a cabo es establecer una dirección de correo electrónico del cual se identifique
fácilmente al interesado y delegar a una persona de la organización para que se responsabilice de tramitar todas
las solicitudes que eventualmente se reciban. La forma de ejercer los derechos parte de la información crítica
que debe proporcionarse a los interesados.

Relaciones responsable-encargado.
Tres novedades que tanto responsable como encargado deben de tener en cuenta.
1º. Obligaciones específicas para los encargados.
El RGPD contiene obligaciones expresamente dirigidos a los encargados, antiguamente la Directiva 95/46 se
centraba en la actividad de los responsables.
Aunque la responsabilidad última sigue atribuida al responsable del tratamiento.
Se han producido dos cambios, en primer lugar los encargados tienen obligaciones propias y pueden ser
supervisadas por las autoridades de protección de datos. En segundo lugar tienen que tener un registro de
actividades de tratamiento, los encargados pueden adherirse a códigos de conducta o certificarse en el marco de los
esquemas de certificación previstos por el RGPD con esto deben:
○ Determinar las medidas de seguridad aplicables a los tratamientos que realizan.
○ Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD y la ley que determine
el país miembro.

2º. Elección del encargado del tratamiento
El RGPD dictamina que el responsable debe de seleccionar un encargado que tome las medidas apropiadas para
garantizar y demostrar el tratamiento según el RGPD (principio de responsabilidad activa)
Recomendación: Para saber si los encargados o sub-encargados ofrecen
las garantías exigidas por el RGPD, estos pueden incorporarse a códigos
de conductas o certificarse dentro de los esquemas previstos por el
RGPD

3º. Contenido del contrato de encargo
Se debe de formalizar a través de un contrato o acto jurídico que vincule al encargado respecto al responsable
para establecer la relación entre estos (responsable y encargado)
Los contenidos de estos contratos son:
● Dirigido al tratamiento: su objeto, duración, naturaleza y finalizada.
● Tipo de datos personales y categorías del interesado.
● El encargado tiene la obligación de tratar los datos personales solo siguiendo las instrucciones dadas por el
encargado.
● Condiciones para que el responsable pueda dar su autorización previa, específica o general a las
subcontrataciones.
● Asistencia al responsable en la atención al ejercicio de derechos de los interesados…

3º. Contenido del contrato de encargo
Obligaciones:
Los contratos de encargados realizados antes de la aplicación del RGPD en mayo del 2018 se deberán de modificar
y adaptarse al nuevo contenido.
Para ello se deberán de seguir las directrices que proporciona la AEPD y las autoridades de protección de datos
autonómicas, están realizadas estas directrices para facilitar al responsable y al encargado.

Medidas de responsabilidad activa.
El RGPD, proporciona un catálogo de medidas que los responsables y en ocasiones los encargados deben garantizar
que los tratamientos son conformes con el Reglamento y pueden demostrarlo.
1º. Análisis del riesgo.
El RGPD dice que medidas de responsabilidad activa al riesgo que los tratamientos puedan suponer para los
derechos y libertades de los interesados. El riesgo se puede tratar de dos maneras:
○ Determinadas medidas solo se podrán aplicar cuando el tratamiento tenga un alto riesgo para los derechos y
libertades.
○ Las medidas deberán modularse en función del nivel y tipo de riesgo que el tratamiento conlleve.
Obligaciones:
Los responsables tiene que r5ealizar una valoración del riesgo de los tratamientos que realice, con el objetivo de
saber que medidas deben aplicar y cómo. En función de:

UNIDAD DIDÁCTICA 2.3. PROGRAMA DE CUMPLIMIENTO DE PROTECCIÓN DE DATOS Y
SEGURIDAD EN UNA ORGANIZACIÓN.
• Los tipos de tratamiento.
• Los tipos de tratamientos.
• La naturaleza de los datos,
• El número de interesados afectados,
• La cantidad y variedad de tratamientos que una misma organización lleve a cabo.
Según el tamaño de la organización.
○ Grandes organizaciones: el análisis se debe llevar a cabo utilizando alguna de las metodologías de análisis de
riesgo existentes.
○ Organizaciones de menor tamaño y con tratamientos de poca complejidad: El análisis surgirá de una reflexión
documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.

2º. Registro de actividades de tratamiento.
Tanto responsable y encargado deberán mantener registro de operaciones de tratamiento que contenga
información que establece el RGPD y que contenga cuestiones como:
○ Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos si
existiese
○ Finalidades del tratamiento
○ Descripción de categorías de interesados y categorías de datos personales tratados
○ Transferencias internacionales de datos
De esta obligación esta exentas las organizaciones con menos de 250 empleados , excepto aquellas que traten con
tratamientos que puedan ocasionar un riesgo para los derechos y libertades de los interesados.

○ Finalidades del tratamiento
○ Descripción de categorías de los interesados
○ Descripción de categorías de los datos personales
○ Procedencia de los datos
○ Sistema de información que los almacena (identifica equipamiento)
○ Aplicaciones empleadas en la gestión del tratamiento
○ Transferencia internacional de datos
○ Base legal

Conclusión bajo riesgo
particular que eleve el nivel de riesgo: se debe prever la existencia de este registro e incluir los contenidos
expuestos por el RGPD, para ello si se tienen ficheros notificados al Registro General de Datos, se pueden organizar
relacionando simplemente los tratamientos con las finalidades con que notificó los ficheros.

3º. Protección de Datos desde el Diseño y por Defecto.
Esta medida se debe aplicar el responsable antes del inicio del tratamiento y a la vez que se desarrolla.
Esta medida refleja la responsabilidad proactiva. Es decir, desde que se diseña un tratamiento, un servicio o un
producto se deben de pensar términos de protección de datos.
Obligaciones:
Desde el principio los responsables deben de tener medidas organizativas y técnicas para poder integrar a los
tratamientos garantías que permitan aplicar los principios de RGPD.
Por otro lado los responsables al adoptar las medidas deben garantizar que solo se tratarán los datos necesarios en
lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos e conservación y la
accesibilidad a los datos.

SEGURIDAD EN UNA ORGANIZACIÓN.
4º. Medidas de seguridad
Los responsables y encargados establecerán las medidas técnicas y organizativas para garantizar un nivel de
seguridad adecuado en función de los riesgos detectas en el análisis previo con el nuevo Reglamento RGPD, además
se deben de tomar varias variables.
Las medidas se deben establecer teniendo en cuenta:
● El coste de la técnica
● Los costes de aplicación
● La naturaleza, el alcance, el contexto y los fines del tratamiento
● Los riesgos para los derechos y libertades

5º. Notificación de “violaciones de seguridad de los datos”
El RGPD denomina a las “violaciones de seguridad de los datos” como “quiebras de seguridad”, para incluir a todos
los incidentes ya sean de destrucción, perdida o alteración accidental o ilccita de datos personales transmitidos,
conservados o tratados de tora forma, o la comunicación o acceso no autorizado a dichos datos.
La notificación obligatoria como explica Neelie Kroes pretende que <<los consumidores sepan cuándo sus datos
personales han sido comprometidos de forma que, si es necesario, puedan poner remedio»

Obligaciones:
El responsable debe notificar a la autoridad de protección de datos competentes cuando se produzca una violación
de la seguridad de los datos. La notificación debe ser dentro de las 72 horas siguientes a que el responsable tenga
constancia de ella. La información debe de ser conjunta y sino proporcionarla gradualmente siempre usando un
lenguaje claro y sencillo, con un contenido mínimo.
A. Describir la naturaleza de la violación de la seguridad de los datos personales, incluyendo si es posible la
categoría y numero de interesados afectados (de manera aproximada).
B. Comunicar el nombre y los datos de contacto del delegado de protección de datos.
C. Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
D. Describir las medidas adoptadas o propuestas por el Responsable del tratamiento para poner remedio a la
violación de la seguridad de los datos personales, incluyendo las medidas adoptadas para minimizar los posibles
efectos negativos si esto procede.

Se debe tener en cuenta
La valoración del riesgo de la quiebra es distinta del análisis de riesgos previo a todo tratamiento.
Se considera que se tiene connotación de una violación de seguridad cuando hay una certeza de que se ha
producido y se tiene el conocimiento de su naturaleza y alcance, se intenta saber por sus características hasta que
punto ha podido llegar el incidente.
Hay dos tipos de daños tanto materiales como inmateriales
Se considera que se debe de notificar directamente a la autoridad de supervisión cuando en caso de quiebras
pudiera tener un gran impacto.

Se debe de entender alto riesgo cuando se ocasione datos de entidad a los interesados, por ejemplo desvelar
información confidencial como contraseñas o difundir datos sensibles de forma masiva.
No hará falta notificar al interesado cuando:
• El responsable ha tomado las medidas técnicas y organizativas apropiadas antes de que sucediera la violación de
seguridad.
• El responsable a tomado después de la quiebra medidas técnicas para garantizar que el alto riesgo se
materialice.
• Cuando la notificación tenga que convertirse en una medida alternativa como la comunicación pública.
La AEPD estableció un canal específico para la notificación de las quiebras de seguridad en el ámbito de las
comunicaciones electrónicas, esta ha sido adaptada al nuevo marco del RGPD.

6º. Evaluación de Impacto sobre la Protección de Datos
Obligaciones
Antes de la puesta en marcha de los tratamiento se debe de
realizar una Evaluación de Impacto sobre la Protección de Datos
(EIPD).
Para la realización de la EIPD no hay ninguna metodología
concreta, si se deberá realizar cuando los análisis de riesgos de
las organizaciones lo hayan iniciado antes de la fecha de
aplicación del RGPD. Cuando los EIPD identifiquen un alto riesgo
es responsable deberá consultar a la autoridad de protección de
datos competente, para esta consulta se debe ir con los
documentos que cita el RGPD, la evaluación de impacto.

SEGURIDAD EN UNA ORGANIZACIÓN
6º. Evaluación de Impacto sobre la Protección de Datos Obligaciones
Se debe tener en cuenta
Esta lista es creada por la AEPD, pero tiene que ser probada por el Comité Europeo de Protección de Datos.
Aunque existan estas listas el responsable debe realizar el análisis de riesgos y su este es un riesgo alto para los
derechos y libertades de los interesados se debe llevar a cabo un EIPD.

7º. Transferencias internacionales.
Este diseño del RGPD sobre las transferencias internacionales sigue el mismo criterio que el de la Directiva 95/46
y por las legislaciones nacionales de trasposición.

Obligaciones:
Los datos solo podrán ser comunicados fuera del Espacio Económico Europeo:
● A países, territorios o sectores específicos, sobre los que la Comisión haya adoptado una decisión
reconociendo que ofrecen un nivel de protección adecuado.
● Cuando se ofrezcan garantías adecuadas sobre la protección de datos
● Cuando se aplique alguna de las excepciones que permiten transferir los datos sin garantías de protección
adecuada por razones de necesidad vinculadas al propio interés del titular de los datos o a intereses
generales.

A tener en cuenta:
Se debe de tener en cuenta tanto por parte del responsable como del encargado las
decisiones de adecuación que la Comisión ha adoptado con anterioridad a la aplicación
del RGPD como las cláusulas tipo, las autorizaciones de transferencia, las garantías sobre
la protección que recibirán los datos en destino ofrecidas por el exportador.
Algunos instrumentos para ofrecer garantías sin las Normas Corporativas Vinculantes
para responsables y encargados, los códigos de conducta y esquemas de certificación y
cláusulas contractuales.

8º. Tratamientos de datos menores
Considerando 38.
“Los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes
de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha
protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de
mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales
relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño.”
“Dado que los niños merecen una protección específica, cualquier información y comunicación cuyo
tratamiento les afecte debe facilitarse en un lenguaje claro y sencillo que sea fácil de entender.”

El RGPD se refiere varias veces al tratamiento de datos de los menores
● En la regulación de los intereses legítimos del responsable como base legal para el tratamiento.
● Cuando la información que se ofrece a los interesados en relación con el tratamiento, tiene que ser
especialmente concisa, transparente, inteligible y proporcionada con lenguaje claro y sencillo cuando los
interesados sean niños.
● Cuando habla del contexto del derecho al borrado de los datos personales.

Se tiene que tener en cuenta el Regulado Art. 8 del RGPD
EL RGPD dictamina que el consentimiento es válido a partir de los 16 años, antes de esa edad deben de estar
presenta padres o tutores. El RGPD permite a los estados miembros establecer una edad inferior, siempre que no
sea menor de 13 años.
Obligaciones:
Artículo 73 del Proyecto de LOPD *8, está catalogado como infracción grave,
“a) El tratamiento de datos de carácter personal de un menor de edad sin recabar su consentimiento, cuando
tenga capacidad para ello, o el del titular de su patria potestad o tutela.”
“b) No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado
por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo.”

Lista de Verificación.
Conclusiones de los puntos anteriores sobre:
Información y derechos
La información que se proporciona a los interesados,
¿Está presentada de forma clara, concisa, transparente y de fácil acceso?
En particular,
¿tiene previstos mecanismos para atender a posibles ejercicios del derecho a la limitación del tratamiento, de forma
que los datos afectados puedan ser conservados sin ser objeto de las operaciones de tratamiento que
corresponderían?
Relaciones responsable-encargado
¿Ha previsto cómo valorar si los encargados con los que haya contratado o vaya a contratar operaciones de
tratamiento ofrecen garantías de cumplimiento del RGPD cuando sea de aplicación?

Lista de Verificación.
Medidas de responsabilidad proactiva
¿Ha hecho una valoración de los riesgos que los tratamientos que desarrolla implican para los derechos y libertades
de los ciudadanos?
Atendiendo al tipo de tratamientos que realiza,
¿Ha establecido mecanismos para identificar con rapidez la existencia de violaciones de seguridad de los datos?

Los objetivos de la Directiva 95/46/CE siguen siendo válidos.
El Parlamento europeo y del Consejo aprueba el RGPD asumiendo el contexto de la era digital en que vivimos: smart
cities, Big Data, automatización de decisiones, redes sociales, geolocalización a través de dispositivos, etc…, y asume
en base a esa realidad, el objetivo de ofrecer más control a los ciudadanos sobre su información personal.
El RGPD ha sacado conclusiones sobre la antigua Directiva, antiguamente cada país se regía por una legislación y
esto ha ocasionado una fragmentación del territorio de la Unión, y por otro lado, existe una percepción generalizada
entre la opinión pública de inseguridad jurídica y que las empresas no realizan de forma efectiva la protección de los
datos que le son confiados.
La Comisión Europea determina que el nuevo marco legal aprueba con el rango de Reglamento, incorporando la
responsabilidad proactiva y la protección de datos desde el diseño y por defecto.
2.3.2. OBJETIVOS DEL PROGRAMA DE CUMPLIMIENTO..

El RGPD ofrece dos niveles de organizaciones: básicas y el resto de entidades que tienen que asumir, con total
cobertura, todos los requerimientos del RGPD.
Se les plantea nuevos objetivos:
• Creación de una nueva figura, alista en protección de datos, Delegado de Protección de Datos.
• Realizar una evaluación de impacto relativa a la protección de datos, para identificar los riesgos y aplicar las
medidas necesarias.
Se debe prevenir en:
• La organización tiene que tener la capacidad de acreditar que cumple.
• Se establecen requerimientos de mayor entidad en cuanto a la transparencia, información, y derechos de los
interesados.
El objetivo del RGPD es que los residentes de la Unión tengan la percepción de seguridad, para ello hay que
sensibilizar a los responsables y encargados del trapiento para que obtengan una actitud positiva.
2.3.2. OBJETIVOS DEL PROGRAMA DE CUMPLIMIENTO..

2.3.3. ACCOUNTABILITY: LA TRAZABILIDAD DEL MODELO DE CUMPLIMIENTO.
Con la responsabilidad proactvia se quiere conseguir que el responsable sea capaz de demostrar que cumple con
todos los requisitos del RGPD, aplicando medidas técnicas y organizativas.
Trazabilidad:
El responsable del tratamiento debe realizar la información y la comunicación de terceras personas y la
transferencia internacional de datos, de esta manera la trazabilidad permite dirigirse por parte de los afectos a
otros responsables y encargados de tratamiento.
En los tratamientos de Big Data es habitual combinar información procedente de diferentes fuentes, tanto
endógenas como exógenas.

Modulo II, Parte 3 del curso de protección de datos

Recomendados

Recomendados

Más contenido relacionado

Similar a Modulo II, Parte 3 del curso de protección de datos

Similar a Modulo II, Parte 3 del curso de protección de datos (20)

Más de ANTONIO GARCÍA HERRÁIZ

Más de ANTONIO GARCÍA HERRÁIZ (20)

Último

Último (20)

Modulo II, Parte 3 del curso de protección de datos