Derecho de la Unión Europea y Protección de Datos

Questions and Answers

¿Qué obligación establece el principio de seguridad jurídica respecto a la normativa interna incompatible con el Derecho de la Unión Europea?

• Debe ser eliminada mediante disposiciones internas de carácter obligatorio. (correct)
• Solo puede ser revisada en un periodo de cinco años.
• Debe permanecer vigente hasta que la Unión Europea lo disponga.
• Debe ser modificada sin necesidad de disposiciones internas.

¿Cuál es la característica clave de los reglamentos en relación a su aplicabilidad?

• Tienen un carácter opcional.
• Son aplicables solo a ciertos estados miembros.
• Exigen normas internas complementarias para su efectividad. (correct)
• No requieren más legislación en la mayoría de los casos.

¿Cuál es la razón última de la elaboración de una nueva ley orgánica para la adaptación al Reglamento general de protección de datos?

• Sustituir completamente las leyes existentes.
• Garantizar la buena regulación pero sin necesidad de una ley nueva.
• Procurar seguridad jurídica en la adaptación del ordenamiento español. (correct)
• Incorporar disposiciones de la Unión Europea de manera informal.

¿Qué papel se espera que desempeñen los poderes públicos en relación con los derechos de la ciudadanía en Internet?

Desarrollar políticas que promuevan la igualdad y el pleno ejercicio de los derechos fundamentales. (D)

¿Qué se ha identificado claramente respecto al mundo de las redes en la actualidad?

Los riesgos y oportunidades que ofrece a la ciudadanía son significativos. (B)

¿Cuál fue la propuesta de los pioneros de la Red en los años noventa?

Elaborar una Declaración de los Derechos del Hombre y del Ciudadano en Internet. (B)

La transformación digital de la sociedad afecta principalmente a qué aspectos?

A la vida social y económica en general. (B)

¿Qué datos se deben tener en cuenta sobre el Reglamento general de protección de datos que es aplicable a partir del 25 de mayo de 2018?

Exige la modificación de diversas reglamentaciones internas existentes. (D)

¿Cuál de las siguientes situaciones debe ser valorada por los responsables y encargados del tratamiento debido a los mayores riesgos que podría generar?

El tratamiento que podría resultar en discriminación o fraude. (C)

¿Qué medida deben considerar los responsables y encargados al adoptar medidas para el tratamiento de datos?

Los mayores riesgos que podrían producirse. (D)

¿En qué situaciones está motivada la realización de una evaluación de impacto en la protección de datos?

Cuando se produce un tratamiento de categorías especiales de datos. (D)

¿Cuál de las siguientes afirmaciones describe mejor las implicaciones de un tratamiento que tiene como finalidad crear perfiles personales?

Podría privar a los afectados de sus derechos y libertades. (D)

¿Qué tipo de perjuicios se deben tener en cuenta al realizar un tratamiento de datos?

Perjuicios económicos, morales o sociales significativos. (D)

¿Qué debe asumir el mediador o intermediario en el caso de que los datos no se correspondan con los facilitados por el afectado?

Responsabilidades que pudieran derivarse de la comunicación. (B)

¿Cuál es el propósito principal del deber de confidencialidad establecido para los responsables y encargados del tratamiento de datos?

Asegurar que la información de los afectados se maneje de manera confidencial. (C)

¿Qué se entiende por el consentimiento del afectado según el Reglamento (UE) 2016/679?

Una manifestación de voluntad libre, específica, informada e inequívoca. (B)

¿Qué debe ocurrir si el tratamiento de datos se basa en el consentimiento para múltiples finalidades?

Debe constar específicamente que se otorga consentimiento para todas las finalidades. (B)

¿Cuál es un aspecto negativo respecto a la ejecución del contrato y el consentimiento del afectado?

Se puede obligar al afectado a consentir el tratamiento de datos no relacionados. (D)

¿Qué ley establece la obligación de secreto profesional en relación con el tratamiento de datos?

La normativa aplicable en cada sector específico. (D)

Cuando un responsable de tratamiento recibe datos de otro responsable, ¿qué derecho ejerce el afectado?

Derecho a la portabilidad. (C)

¿Qué debe hacerse con la obligación de confidencialidad aunque haya finalizado la relación con el responsable?

Mantenerla aún después de la relación. (A)

¿Cuál de las siguientes no es una obligación del responsable del tratamiento al obtener datos personales del afectado?

Comunicar los datos a terceros sin autorización. (C)

Cuando se trata de la elaboración de perfiles, ¿qué derecho adicional tiene el afectado?

El derecho a oponerse a decisiones automatizadas que le afecten. (D)

Si los datos personales no han sido obtenidos del afectado, ¿qué información adicional debe proporcionar el responsable del tratamiento?

Las categorías de datos objeto de tratamiento. (A)

¿Qué artículo del Reglamento (UE) 2016/679 establece el deber de información al obtener datos personales del afectado?

Artículo 13 (D)

Los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 pueden ejercerse...

Directamente o mediante un representante legal o voluntario. (A)

En el contexto de la protección de datos, ¿qué se entiende por 'información básica'?

Datos relativos a la identidad del responsable del tratamiento y la finalidad del mismo. (D)

¿Qué debe hacer el responsable del tratamiento en relación a los medios para ejercer derechos?

Informar al afectado sobre los medios accesibles para ejercer sus derechos. (B)

¿Qué información no se considera parte de la 'información básica' que debe recibir el afectado?

La posibilidad de recibir beneficios económicos. (A)

¿Cuál es el propósito del Reglamento (UE) 2016/679?

Proteger los datos personales y garantizar su libre circulación (C)

¿Cuál de los siguientes aspectos se considera positivo en el tratamiento de datos personales?

La mejora de servicios y productos (D)

¿Qué problema se intentó resolver con el Reglamento (UE) 2016/679?

Las diferencias en la protección de derechos en la Unión Europea (A)

¿Qué efecto tuvo la globalización en la tratamiento de datos personales?

Dificultó el control sobre los datos personales (D)

¿Qué se deroga con la adopción del Reglamento (UE) 2016/679?

La Directiva 95/46/CE (D)

¿Qué desafío se menciona respecto a la evolución tecnológica y la protección de datos?

El rápido aumento de los flujos transfronterizos de datos (B)

¿Qué contiene el Reglamento General de Protección de Datos respecto a las autoridades competentes?

Directrices sobre prevención de delitos (A)

¿Qué se considera un riesgo del aumento en el tratamiento de datos personales?

Mayor dificultad para controlar el uso de datos (A)

¿Qué debe hacer la entidad que mantiene el sistema de información crediticia al notificar la inclusión de datos negativos?

Notificar al afectado sobre sus derechos en un plazo de treinta días. (A)

¿Cuánto tiempo pueden permanecer los datos de incumplimiento en el sistema?

Un máximo de cinco años desde la fecha de vencimiento. (D)

¿Qué ocurre cuando se ejerce el derecho a la limitación del tratamiento de los datos?

Se informa a los consultores solo de la existencia de la limitación. (B)

¿Qué deben hacer las entidades que mantienen el sistema respecto a los datos de los deudores?

Considerarse corresponsables del tratamiento con el acreedor. (A)

¿Qué se requiere para poder consultar el sistema sobre un deudor específico?

Que el solicitante tenga un contrato previo con el deudor. (C)

¿Qué debe hacer quien consulta el sistema si se deniega la solicitud de un contrato?

Informar al deudor sobre el resultado de la consulta. (A)

¿Qué establece el Reglamento (UE) 2016/679 sobre la inclusión en el sistema de una deuda?

El acreedor debe garantizar que se cumplen los requisitos exigidos. (D)

¿Qué derechos puede ejercitar un afectado conforme a los artículos 15 a 22 del Reglamento (UE) 2016/679?

Derecho a acceder, rectificar y limitar el tratamiento de datos. (C)

Flashcards

Reglamento general de protección de datos

Reglamento (UE) 2016/679 que protege los datos personales y su libre circulación, mejorando la protección de los ciudadanos en la Unión Europea, y supera las limitaciones de la Directiva previa.

Directiva 95/46/CE

Directiva previa al Reglamento General de Protección de Datos, sobre protección de datos personales y libre circulación de estos. Su aplicación se dio en distintos modos por los países de la UE.

Flujos transfronterizos de datos

Intercambio de información personal a través de las fronteras de la Unión Europea, incentivado por el funcionamiento del mercado interior.

Eficacia directa del Reglamento

El Reglamento General de Protección de Datos tiene aplicación inmediata en todos los países de la UE, sin necesidad de leyes nacionales adicionales que lo transpongan.

Protección de datos personales

Conjunto de regulaciones y principios destinados a garantizar la seguridad, privacidad y control de la información personal de las personas.

Globalización e información personal

La globalización facilita la recolección, acceso y procesamiento de datos personales, pero complica el control de su uso y destino.

Transposición de Directivas

Proceso por el cual los Estados miembros de la UE implementan las directivas comunitarias en su legislación nacional.

Consentimiento del afectado

Manifestación libre, específica, informada e inequívoca del afectado para el tratamiento de sus datos personales, ya sea por declaración o acción afirmativa.

Tratamiento de datos por portabilidad

Tratamiento de datos personales recibidos de otro responsable, por ejercicio del derecho a la portabilidad (art. 20 del Reglamento).

Tratamiento basado en consentimiento (pluralidad de finalidades)

Cuando se utiliza el consentimiento, debe ser específico e inequívoco para todas las finalidades.

Mediador o intermediario

Responsable de recopilar datos en nombre propio para transmitirlos al responsable del tratamiento, si lo permite la norma del sector.

Registro público

Responsable puede obtener datos de un registro público.

Deber de confidencialidad

Responsables, encargados y participantes en el tratamiento de datos deben proteger la información.

Seguridad jurídica

Principio que obliga a eliminar normas nacionales incompatibles con el Derecho de la Unión Europea.

Derecho de la Unión Europea

Conjunto de normas jurídicas europeas que afectan a los países miembros.

Reglamento General de Protección de Datos

Norma europea que regula la protección de datos personales, implica modificación de la ley española.

Adaptación al Derecho de la UE

Proceso de adecuación del ordenamiento jurídico nacional al Derecho de la Unión Europea.

Reglamentos

Normas jurídicas de la UE de aplicación directa, pero pueden requerir normas nacionales para su plena aplicación.

Desarrollo del Derecho de la UE

Complemento a los reglamentos de la UE, para asegurar su aplicación efectiva.

Internet

Medio de comunicación global con creciente importancia en la vida personal y colectiva.

Transformación digital

Impacto tecnológico y social de Internet.

Derechos en Internet

Derechos civiles y políticos en el contexto digital.

Información básica (art. 13 y 14)

Datos esenciales sobre el responsable del tratamiento, la finalidad del tratamiento y los derechos del afectado al acceder a sus datos, incluye categorías y fuentes de datos si no fueron obtenidos directamente del afectado.

Tratamiento de Datos para Perfiles

Procesamiento de datos para generar perfiles del individuo, lo que puede tener efectos jurídicos o significativamente afectarle. El derecho a oponerse a esta configuración lo tiene el afectado.

Derechos artículos 15-22 (RGPD)

Conjunto de derechos del afectado respecto a sus datos, ej.: acceso, rectificación, supresión, limitación del tratamiento. Pueden ejercerse directamente o mediante representante.

Ejercicio de Derechos

Formas en que el afectado puede ejercer sus derechos relacionados con sus datos personales de acuerdo al Reglamento.

Responsable del tratamiento

Entidad u organización que decide cómo se utilizan los datos personales.

Información detallada

Para completar la información básica, se debe dar acceso a información adicional. Se facilita una dirección electrónica u otro medio.

Notificación de inclusión de datos

La obligación de notificar al afectado la inclusión de datos de incumplimiento en el sistema de información crediticia.

Derechos establecidos (Artículos 15-22)

Los derechos del afectado sobre sus datos personales, conforme al Reglamento (UE) 2016/679.

Bloqueo de datos (plazo)

Los datos de incumplimiento se bloquean durante 30 días tras la notificación.

Mantenimiento de datos (incumplimiento)

Los datos se mantienen en el sistema mientras dure el incumplimiento, con un máximo de 5 años desde el vencimiento.

Consulta a datos - Condición

Solo pueden consultarse datos si hay una relación contractual con el afectado que implique pagos o si este solicitó un contrato.

Limitación del tratamiento (art. 18.1.a)

Si un afectado impugna la exactitud de sus datos, el sistema informa a la consulta de esta circunstancia sin revelar la información.

Resultado consulta denegada/no contrato

Si la consulta de datos lleva a la denegación o no se firma un contrato, el consultor debe informarlo al afectado.

Corresponsabilidad (art. 26)

Entidades que manejan el sistema y acreedores son corresponsables del tratamiento de los datos de deudores.

Requisitos de inclusión de deuda

El acreedor es responsable de asegurar que los datos de deuda sean exactos y cumplan los requisitos para su inclusión en el sistema.

Medidas técnicas y organizativas

Acciones que los responsables del tratamiento deben implementar para garantizar la legalidad del procesamiento de datos personales, de acuerdo con el Reglamento General de Protección de Datos (RGPD).

Evaluación de impacto en la protección de datos

Análisis previo para determinar los posibles riesgos de un tratamiento de datos, especialmente si es complejo o afecta a un gran número de personas.

Consulta previa

Revisión previa del tratamiento de datos por parte de las autoridades.

Riesgos en tratamiento de datos (discriminación)

Posibles consecuencias negativas para los afectados, como discriminación, fraude o daño a la reputación, al procesar sus datos personales.

Derechos y libertades

Los derechos individuales, que el tratamiento de datos no debe afectar o permitir impedir el ejercicio del control de sus datos personales.

Categorías especiales de datos

Datos sensibles, como salud o creencias, que se tratan de forma restrictiva y requieren medidas de seguridad adicionales según el RGPD.

Datos relacionados con infracciones

Información sobre sanciones o infracciones administrativas, que necesitan medidas de seguridad específicas de acuerdo con el RGPD.

Perfiles personales:

Información personal procesada para crear o utilizar perfiles, especialmente basados en predicciones de rendimiento, salud o preferencias.

Study Notes

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

• Objeto de la ley: Adaptar el ordenamiento jurídico español al Reglamento General de Protección de Datos (UE) 2016/679 y garantizar los derechos digitales de la ciudadanía.
• Ámbito de aplicación: Abarca tratamientos automatizados y no automatizados de datos personales, incluyendo aquellos contenidos en ficheros.
• Excepciones: No se aplica a tratamientos excluidos del ámbito del RGPD (Reglamento General de Protección de Datos), tratamientos de datos de personas fallecidas, y tratamientos amparados por legislación específica.
• Datos de personas fallecidas: Las personas vinculadas, herederos o designados pueden solicitar acceso, rectificación o supresión de datos personales del fallecido, salvo prohibición expresa del fallecido.
• Exactitud de los datos: Los datos deben ser exactos y actualizados, en caso de errores en datos obtenidos de otros responsables o de registros públicos, el responsable es eximido de responsabilidad.
• Confidencialidad: Responsables, encargados y cualquier persona involucrada en el tratamiento de datos están obligados a mantener la confidencialidad de los mismos.
• Consentimiento: El tratamiento de datos basado en el consentimiento debe ser libre, específico, informado e inequívoco. El consentimiento para múltiples finalidades debe expresarse para cada una de ellas por separado.
• Menores de edad: El tratamiento de datos de menores de 14 años sólo es lícito con consentimiento del titular de la patria potestad o tutela.
• Obligación legal o interés público: El tratamiento puede estar fundamentado en cumplimiento de obligación legal o por interés público, o en el ejercicio de poderes públicos.
• Categorías especiales de datos: La sola voluntad del afectado no basta para el tratamiento de datos que revelen la ideología, afiliación sindical, religión, orientación sexual, creencias, o origen racial o étnico.
• Tratamiento de datos de naturaleza penal: Sólo se permite bajo normas de la UE, esta ley o otras normas de rango legal.

Títulos

• IV. Disposiciones aplicables a tratamientos concretos: Define tratamientos específicos como datos de contacto, empresarios individuales, profesionales liberales, sistemas de información crediticia, videovigilancia, etc.
• V. Responsable y encargado del tratamiento: Establece obligaciones generales del responsable y del encargado, corresponsabilidad en el tratamiento y figura del delegado de protección de datos.
• VI. Transferencias internacionales de datos: Establece normas sobre transferencias internacionales, incluyendo cláusulas contractuales tipo y autorizaciones previas.
• VII. Autoridades de protección de datos: Regula el régimen de la Agencia Española de Protección de Datos, las autoridades autonómicas y la cooperación entre ellas.
• IX. Régimen sancionador: Define las infracciones (muy graves, graves, leves), y sus plazos de prescripción.

Títulos y Capítulos

• III. Derechos de las personas: Transparencia e información; ejercicio de los derechos (acceso, rectificación, supresión, limitación, portabilidad, oposición).
• VIII. Procedimientos en caso de posible vulneración de la normativa de protección de datos: Procedimiento para posibles infracciones.
• X. Garantía de los derechos digitales: Establece derechos relacionados con Internet, como la neutralidad, el acceso universal y la seguridad digital. Incluye el derecho a la educación digital, a la rectificación en Internet y al olvido, así como políticas de impulso y estrategias.