Modulo I parte 11 Curso Protección de Datos

MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.13.
NORMATIVA EUROPEA CON IMPLICACIONES EN
PROTECCIÓN DE DATOS

UNIDAD DIDÁCTICA 1.13. NORMATIVA EUROPEA CON IMPLICACIONES EN PROTECCIÓN DE DATOS
OBJETIVOS ESPECÍFICOS
• Conocer las directivas relativas a:
• servicio universal y los derechos de los usuarios en relación con las redes y los servicios de
comunicaciones electrónicas y al tratamiento de los datos personales y a la protección de la
intimidad en el sector de las comunicaciones electrónicas y sobre la cooperación en materia de
protección de los consumidores
• protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte
de las autoridades competentes para fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación
de dichos datos

ESTRUCTURA DIDACTICA
1.13.1. Directiva e-Privacy: 2002/58/CE
1.13.2. Directiva 2009/136/CE
1.13.3. Directiva (UE) 2016/680
 Sabias que:
El RGDP y la ley ePrivacy van a exigir a las tecnológicas que obtengan el consentimiento de los usuarios
para almacenar cualquier información y cookie cada vez que se utilicen.

1.13.1. DIRECTIVA E-PRIVACY: 2002/58/CE
Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 modifica a:
• Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los
servicios de comunicaciones electrónicas
• «Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002, relativa al tratamiento de
los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva
sobre privacidad y las comunicaciones electrónicas) o Reglamento e-Privacy cuando se apruebe.» (*)
• Reglamento (CE) nº 2006/2004 sobre la cooperación en materia de protección de los consumidores.
(*) habiendo sido reformada por la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la
conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso
público o de redes públicas de comunicaciones hay que recordar que esta fue invalidada por el Tribunal de Justicia de la Unión
Europea mediante sentencia de 8 de abril de 2013, en los asuntos acumulados C-293/12 y C-594/12, caso Digital Rights Ireland.

1.13.2. DIRECTIVA 2009/136/CE
«por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en
relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento
de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el
Reglamento (CE) nº 2006/2004 sobre la cooperación en materia de protección de los consumidores.»
(*) el mismo día que la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (Comisión LIBE) del Parlamento Europeo se
pronunció sobre la posición del Consejo de la Unión Europea en primera lectura sobre el Reglamento general de protección de datos
(RGPD), que derogará a la Directiva 95/46/CE.
 Sabias que:
Es previsible que se produzca un nuevo cambio legislativo a
corto plazo ya que a fecha 11 de abril de 2016 (*) la Comisión
Europea inició una consulta pública, hasta el 5 de julio de 2016,
sobre la reforma de la Directiva sobre la privacidad y las
comunicaciones electrónicas (privacidad-e).

1.13.2. DIRECTIVA 2009/136/CE
Los Estados miembros velarán para que solo se permita el almacenamiento de información o la obtención de acceso
a la información ya almacenada en el equipo terminal de un abonado o usuario, a condición de que este haya dado
su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines
del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE.
Esto no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una
comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a
fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado
por el abonado o el usuario.
Una de las prioridades del nuevo marco es la protección de los datos personales y la garantía de la confidencialidad
de las comunicaciones es el refuerzo de las medidas de seguridad para preservar la intimidad y la confidencialidad y
evitar el spam que en España está en parte regulado en el artículo 22.2 de la Ley 34/2002 de 11 de julio, de servicios
de la sociedad de la información y de comercio electrónico (LSSI).

1.13.2. DIRECTIVA 2009/136/CE
Los proveedores de servicios de comunicaciones electrónicas tienen el deber de:
• Adoptar las medidas técnicas y de gestión adecuadas para preservar la seguridad de sus servicios por lo que
respecta a la seguridad de la red (art. 4.1 Directiva 2002/58) detalladas (art. 1.1 bis Directiva 2002/58 en redacción
dada por art. 2.4 Directiva 2009/136).
• Responsable del proceso y almacenamiento de ese tipo de información e incluso del envío de comunicaciones
comerciales no deseadas, si con su negligencia contribuyen a la comisión de estas prácticas (art. 13.6 Directiva
2002/58 en redacción dada por art. 2.7 Directiva 2009/136).
• Informar a las autoridades y a sus clientes sin dilación de las violaciones de seguridad que afecten a los datos
personales (art. 4.3 Directiva 2002/58 en redacción dada por art. 2.4 Directiva 2009/136 y art. 13 bis.3 Directiva
2002/21 en redacción dada por art. 1.15 Directiva 2009/130) para minimizar los perjuicios sociales o económicos
que para el usuario o abonado puede conllevar.
• Incentivar la adopción de medidas de seguridad: inventario de las violaciones de datos personales, efectos y
medidas adoptadas (Art. 4.4 Directiva 2002/58 y Art. 2.4 Directiva 2009/136), facilitar a las ANR información sobre
las políticas de seguridad de sus redes y servicios y someterse a auditorías de seguridad realizadas por organismos
independientes o por la autoridad competente (Art. 13-2 Directiva 2002/21 t Art. 1-15 Directiva 2009/130).

Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016 «relativa a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación,
detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la
que se deroga la Decisión Marco 2008/977/JAI del Consejo.»
1.13.3. DIRECTIVA (UE) 2016/680
• Es aplicable a las personas físicas, independientemente de su nacionalidad o residencia.
• Se excluyen de su ámbito de aplicación las actividades relacionadas con cuestiones de seguridad nacional en el
ejercicio de las actividades incluidas en el ámbito de aplicación del título V, capítulo 2, del Tratado de la Unión
Europea (TUE) (LA LEY 109/1994).
• Afiliación de los Estados miembros a la Organización Internacional de Policía Criminal (Interpol), que recibe,
almacena y distribuye datos personales para ayudar a las autoridades competentes a prevenir y combatir la
delincuencia internacional.
• Se contempla la forma de ejercicio de los derechos del interesado: información a su disposición y derecho de
acceso, rectificación o supresión de sus datos personales, incluyendo sus limitaciones.

1.13.3. DIRECTIVA (UE) 2016/680
• El principio de protección de datos personales deben aplicarse a toda la información relativa a una persona
física identificada o identificable, debiendo fijar plazos apropiados para la supresión de los datos personales o
para una revisión periódica a fin de determinar su necesidad.
• Deben adoptarse medidas que garanticen que los datos personales que sean inexactos, incompletos o que no
estén actualizados no se transmitan ni se pongan a disposición de terceros, para lo cual se controlará la calidad
de los datos personales antes previamente.
• El tratamiento de los datos debe ser lícito en la medida en que sea necesario para el desempeño de una función
de interés público, llevada a cabo por una autoridad competente y con fines de prevención, investigación,
detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección
y la prevención frente a las amenazas para la seguridad pública.
• Se regulan los supuestos en los que se permite el tratamiento de datos personales que revelen el origen étnico
o racial, opiniones políticas, convicciones religiosas o filosóficas o la afiliación sindical, así como el tratamiento
de datos genéticos y biométricos dirigidos a identificar de manera unívoca, datos relativos a la salud, vida sexual
u orientaciones sexuales de una persona física.

1.13.3. DIRECTIVA (UE) 2016/680
 Establece la responsabilidad del encargado del tratamiento en relación con cualquier tratamiento de datos
personales que se lleve a cabo bajo su responsabilidad. La probabilidad y la gravedad de los riesgos para los
derechos y libertades de los interesados deben determinarse en función su naturaleza, alcance, contexto y fines.
El riesgo debe determinarse basándose en una evaluación objetiva.
 Adoptar medidas técnicas y organizativas apropiadas que tengan en cuenta la naturaleza, el alcance, el
contexto y los fines del tratamiento, así como el riesgo y que incluyan la formulación y puesta en marcha de
salvaguardias específicas en relación con el tratamiento de los datos personales de personas físicas vulnerables,
en particular los niños.
 Mantener registros de todas las categorías de actividades de tratamiento bajo su responsabilidad y cooperar
con la autoridad de control poniendo dichos registros a su disposición, de modo que puedan servir para
supervisar las operaciones de tratamiento.
 Realizar evaluaciones del impacto cuando exista la probabilidad de que, por su naturaleza, alcance o fines, se
entrañe un alto riesgo. Debe consultar a la autoridad de control antes del tratamiento previsto y notificar una
violación de la seguridad de los datos personales. Los Estados miembros dispondrán que el responsable del
tratamiento designe un delegado de protección de datos, regulándose su posición y funciones.

1.13.3. DIRECTIVA (UE) 2016/680
• Se desarrollan los principios de transferencias de datos personales a terceros países u organizaciones
internacionales, que solo se llevarán a cabo si son necesarias para la prevención, investigación, detección o
enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y la
prevención frente a las amenazas para la seguridad pública, y si el responsable del tratamiento en el tercer país
u organización internacional de que se trate es una autoridad competente.
• Contiene la regulación (competencia, funciones y poderes) e independencia de las autoridades de control a
designar por cada Estado miembro para supervisar la aplicación de la presente Directiva.
• Los Estados miembros dispondrán de que sus autoridades de control se faciliten entre sí información y se
presten asistencia mutua, tomando medidas para asegurar una efectiva cooperación entre ellas.
• Concreta las funciones del Comité Europeo de Protección de Datos y recoge el derecho a presentar
reclamaciones si se infringen las disposiciones adoptadas en virtud de la presente Directiva, contemplando su
derecho a la tutela judicial efectiva contra una autoridad de control o el responsable/encargado del tratamiento.
• Los Estados miembros establecerán las normas en materia de sanciones aplicables a las infracciones y tomarán
todas las medidas necesarias para garantizar su cumplimiento.

Modulo I parte 11 Curso Protección de Datos

Recomendados

Recomendados

Más contenido relacionado

Similar a Modulo I parte 11 Curso Protección de Datos

Similar a Modulo I parte 11 Curso Protección de Datos (20)

Más de ANTONIO GARCÍA HERRÁIZ

Más de ANTONIO GARCÍA HERRÁIZ (20)

Último

Último (20)

Modulo I parte 11 Curso Protección de Datos