Ley Orgánica 3/2018: Protección de Datos

Questions and Answers

¿Cuál de los siguientes NO es un objetivo principal de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales?

• Adaptar la normativa española de protección de datos al Reglamento General de Protección de Datos (RGPD).
• Regular el tratamiento de datos de salud cuando sea exigido por la gestión de sistemas de asistencia sanitaria.
• Introducir la regulación sobre garantías de derechos digitales de la ciudadanía.
• Establecer sanciones económicas para quienes infrinjan la normativa de protección de datos. (correct)

Según la Ley Orgánica 3/2018, ¿a partir de qué edad puede un menor consentir por sí mismo el tratamiento de sus datos personales?

• 14 años (correct)
• 12 años
• 16 años
• 13 años

¿En qué situación el mediador o intermediario asume responsabilidades en el principio de exactitud de los datos?

• Cuando la comunicación al responsable de datos se corresponde con los datos facilitados por el afectado.
• Cuando los datos se han obtenido directamente del afectado.
• Cuando los datos han sido recibidos de un registro público.
• Cuando la comunicación al responsable de datos no se corresponde con los datos facilitados por el afectado. (correct)

Según la ley, ¿qué información básica debe facilitarse al afectado en relación con la transparencia e información?

La identidad del responsable, la finalidad del tratamiento y la posibilidad de ejercer los derechos de los interesados. (C)

¿Cuándo puede el responsable del tratamiento establecer un canon para atender las solicitudes de ejercicio de derechos?

Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente por su carácter repetitivo. (D)

En el contexto del derecho de supresión (derecho al olvido), ¿cuál de las siguientes NO es una circunstancia que obliga al responsable a suprimir los datos personales sin dilación indebida?

Cuando los datos personales se hayan obtenido de fuentes accesibles al público. (D)

Según el texto, ¿cuál es el plazo máximo establecido para suprimir los datos captados con fines de videovigilancia?

Un mes (D)

En relación con los sistemas de exclusión publicitaria, ¿qué obligación tienen quienes pretendan realizar comunicaciones de mercadotecnia directa?

Consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación. (B)

¿Qué requisito adicional se exige para el tratamiento de datos relativos a infracciones y sanciones administrativas cuando no se cumplen las condiciones generales?

El consentimiento del interesado o autorización por una norma con rango de ley. (A)

Tras una solicitud de rectificación o supresión, ¿qué debe hacer el responsable del tratamiento con respecto a los datos afectados?

Bloquear el acceso a los datos para impedir su tratamiento. (D)

¿Cuál de las siguientes entidades NO está obligada a designar un Delegado de Protección de Datos (DPO)?

Las pequeñas y medianas empresas (PYMES) que no realizan tratamientos de datos a gran escala. (C)

¿Qué se debe garantizar para asegurar la independencia del Delegado de Protección de Datos (DPO) dentro de una organización?

Que se evite cualquier conflicto de intereses para el DPO. (B)

Según el texto, ¿qué debe hacer la Agencia Española de Protección de Datos (AEPD) en caso de recibir una reclamación cuando existe un Delegado de Protección de Datos (DPO) en la entidad reclamada?

Remitir la reclamación al DPO antes de resolverla. (B)

¿Cuál es el plazo de prescripción para las infracciones graves según el régimen sancionador de la Ley?

2 años (C)

En relación con el derecho al olvido de búsquedas en internet, ¿qué se establece con respecto a la subsistencia de este derecho?

Subsiste incluso cuando sea lícita la conservación de dicha información en el sitio web correspondiente. (A)

Flashcards

¿Doble objetivo de la norma?

La ley adapta la normativa española al RGPD e introduce garantías de derechos digitales.

¿Derechos de personas fallecidas?

Permite a familiares acceder, rectificar y suprimir datos del fallecido.

¿Principio de exactitud?

Se matiza la obligación de datos exactos y se exime en ciertos casos.

¿Qué es el consentimiento?

Manifestación libre, específica, informada, inequívoca y afirmativa.

¿Quién ejerce los derechos de los menores?

Pueden ejercer derechos en nombre de menores de catorce años.

¿Costes del derecho de acceso?

El afectado asume estos costes.

¿Cómo rectificar datos?

Indicar qué datos rectificar y justificar la corrección.

¿Qué hacer ante el derecho de supresión?

El responsable debe borrar los datos sin demora.

¿Cómo indicar la limitación del tratamiento?

Debe constar claramente en los sistemas del responsable.

Derecho a la portabilidad

Recibir en formato estructurado y transmitir a otro responsable.

¿Derecho de oposición?

Oponerse por motivos particulares.

¿Plazo máximo de datos crediticios?

Se rebaja a un máximo de cinco años.

¿Plazos de videovigilancia?

Máximo un mes, 72 horas para autoridades.

¿Registro de actividades?

Ya no es necesario inscribir, cada empresa tiene el suyo.

¿Obligaciones generales del responsable?

Determinar medidas técnicas y organizativas.

Study Notes

Protección de Datos de Carácter Personal: Ley Orgánica 3/2018

• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Título I: Disposiciones Generales

• La nueva ley orgánica adapta la normativa española de protección de datos al Reglamento General de Protección de Datos (RGPD).
• También regula las garantías de derechos digitales de la ciudadanía, incluyendo normativa laboral y educativa.
• El RGPD es obligatorio y de aplicación directa.
• Los familiares, herederos o designados de personas fallecidas pueden ejercer los derechos de acceso, rectificación y supresión en su nombre.

Título II: Principios de Protección de Datos

• El principio de exactitud se matiza exonerando los casos de inexactitudes cuando los datos se obtengan directamente del afectado, de un mediador o de un registro público por el responsable.
• El consentimiento debe ser libre, específico, informado, inequívoco y una clara acción afirmativa.
• Los menores de 14 años requieren consentimiento de sus padres o tutores para el tratamiento de sus datos personales.
• Se completa la permisividad en el tratamiento de categorías especiales de datos al amparo de una norma con rango de ley, como datos de salud exigidos por la gestión de sistemas sanitarios o la ejecución de un contrato de seguro.

Título III: Derechos de las Personas

Capítulo I: Transparencia e información

• Se facilita al afectado la información básica, incluyendo la identidad del responsable, la finalidad del tratamiento y la posibilidad de ejercer sus derechos.
• Se proporciona una dirección electrónica u otro medio para acceder a información ampliada.
• Si los datos se utilizan para elaborar perfiles, se informa al afectado de su derecho a oponerse a decisiones automatizadas con efectos jurídicos.

Capítulo II: Ejercicio de los derechos

• Los titulares de la patria potestad pueden ejercer los derechos de menores de catorce años.

• Las actuaciones para atender las solicitudes de ejercicio de derechos son gratuitas, salvo solicitudes infundadas o excesivas.

• El responsable del tratamiento puede establecer un canon en caso de solicitudes repetitivas.

• Si el afectado elige un medio costoso para ejercer su derecho de acceso, asume el exceso de costes.

• Los derechos de rectificación, supresión, limitación, portabilidad y oposición se ejercen según el RGPD.

• Al ejercer el derecho de rectificación, el afectado debe indicar qué datos corregir y justificar la necesidad de la corrección.

• El interesado tiene derecho a la supresión de datos sin dilación cuando:

• Los datos ya no sean necesarios.

• Se retire el consentimiento.

• Se oponga al tratamiento.

• Los datos sean tratados ilícitamente.

• Sea necesario para cumplir una obligación legal.

• Los datos se hayan obtenido en relación con la oferta de servicios de la sociedad de la información.

• El responsable puede conservar datos identificativos necesarios para impedir tratamientos futuros para mercadotecnia directa al ejercer el derecho de oposición.

• El hecho de que el tratamiento de datos personales esté limitado debe constar claramente en los sistemas de información del responsable.

• El interesado puede limitar el tratamiento de sus datos cuando:

• Impugne la exactitud de los datos.

• El tratamiento sea ilícito y se oponga a la supresión.

• El responsable ya no necesite los datos, pero el interesado sí.

• Se haya opuesto al tratamiento.

• El interesado tiene derecho a recibir sus datos en formato estructurado y transmitirlos a otro responsable, siempre que:

• El tratamiento esté basado en el consentimiento.

• Se efectúe por medios automatizados.

• El interesado puede oponerse al tratamiento de datos por motivos relacionados con su situación particular.

• El responsable dejará de tratar los datos, salvo motivos legítimos imperiosos o para la formulación, el ejercicio o la defensa de reclamaciones.

• El interesado puede oponerse en todo momento al tratamiento de datos personales para mercadotecnia directa.

• Se explicitará el derecho de oposición y se presentará claramente la primera vez que se contacte con el interesado.

• En el contexto de servicios de la sociedad de la información, el interesado puede ejercer su derecho a oponerse por medios automatizados.

• Si los datos se tratan con fines de investigación o estadísticos, el interesado puede oponerse, salvo que sea necesario por interés público.

• Todo interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él salvo que:

• Sea necesaria para un contrato.

• Esté autorizada por el Derecho de la Unión o de los Estados miembros.

• Se base en el consentimiento explícito del interesado.

Título IV: Disposiciones Aplicables a Tratamientos Concretos

• Se ajusta el tratamiento de datos de contacto de empresarios individuales y profesionales liberales sobre la base legitimadora del interés legítimo.

• Se detalla la licitud de tratamientos, sin identificar la base legitimadora, incluyendo información crediticia (limitada a cinco años desde el vencimiento) y operaciones mercantiles.

• Se regulan los tratamientos para evitar el envío de comunicaciones comerciales, permitiendo la creación de sistemas que recaben información sobre las personas que se han opuesto o no han consentido el envío de comunicaciones comerciales.

• La Agencia Española de Protección de Datos publicará la relación de sistemas que se deberán consultar.

• Se permite la creación de sistemas de denuncias internas anónimas.

• Se regula el tratamiento de datos con fines de videovigilancia, con la limitación de captación de imágenes en el interior de un domicilio.

• Se establece un plazo máximo de un mes para suprimir los datos, y de setenta y dos horas para poner a disposición de la autoridad competente en caso de requerimiento y se permite incluir información a través de un código de conexión o dirección de internet.

• Se permite crear sistemas de información generales o sectoriales que eviten el envío de comunicaciones comerciales.

• Quienes realicen mercadotecnia directa deben consultar estos sistemas previamente y excluir los datos de quienes hayan manifestado su oposición, salvo que el afectado haya prestado su consentimiento.

• El tratamiento de datos relativos a infracciones y sanciones administrativas exige que los responsables sean los órganos competentes y que el tratamiento se limite a los datos estrictamente necesarios.

• Si no se cumplen estas condiciones, se requiere consentimiento del interesado o autorización por una norma con rango de ley.

Título V: Responsable y Encargado de Tratamiento

Capítulo I: Disposiciones generales. Medidas de responsabilidad activa

• Los responsables y encargados de tratamiento deben determinar las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos.
• Se considerará la delicadeza del tratamiento, las categorías de interesados, la tipología de datos, sus destinatarios y las consecuencias del tratamiento al adoptar las medidas.
• Ya no habrá que inscribir los tratamientos en la Agencia Española de Protección de Datos, sino que cada empresa deberá tener su propio registro de actividades y se le comunicará cualquier cambio contenido en el registro en caso de tener un Delegado de Protección de Datos.
• Tras una solicitud de ejercicio de los derechos de rectificación o supresión, el responsable del tratamiento tendrá que bloquear el acceso a los datos afectados.
• Si no puede realizar este bloqueo, se procederá a un copiado seguro de la información de forma que conste la fecha de la copia y se garantice que los datos no se han manipulado.

Capítulo II: Encargado del tratamiento

• El acceso por un encargado del tratamiento a los datos personales necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos.
• El responsable del tratamiento determinará si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.

Capítulo III: Delegado de Protección de Datos

• Se establece una enumeración detallada de los sectores obligados a designar un DPO, destacando los centros docentes, las empresas de servicios de inversión, los establecimientos financieros de crédito, las entidades aseguradoras y reaseguradoras, las empresas de seguridad privada y las federaciones deportivas cuando traten datos de menores de edad.
• Se podrá establecer dedicación completa o a tiempo parcial del DPO, en función del volumen de los tratamientos, la categoría especial de los datos tratados o de los riesgos para los derechos o libertades de los interesados.
• Se tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos.
• El DPO podrá inspeccionar los procedimientos relacionados con el objeto de la ley orgánica y emitir recomendaciones en el ámbito de sus competencias.
• Se garantizará la independencia del DPO dentro de la organización y se evitará cualquier conflicto de intereses.
• Cuando el DPO aprecie la existencia de una vulneración relevante sobre protección de datos, lo documente y lo comunique inmediatamente a los órganos de administración y dirección del responsable o del encargado del tratamiento.
• Se prevé un procedimiento específico ante la Agencia Española de Protección de Datos y la regulación por las comunidades autónomas del procedimiento específico ante sus respectivas autoridades autonómicas de protección de datos en reclamaciones.

Capítulo IV: Códigos de conducta

• Se establece que los códigos de conducta podrán dotarse de mecanismos de resolución extrajudicial de conflictos.

• Los responsables o encargados del tratamiento que se adhieran al código de conducta se obligan a someter al organismo o entidad de supervisión las reclamaciones que les fueran formuladas.

• La autoridad de protección de datos competente verificará que los organismos o entidades que promuevan los códigos de conducta han dotado a estos códigos de organismos de supervisión que reúnan los requisitos establecidos en el RGPD.

• Los códigos de conducta serán aprobados por la Agencia Española de Protección de Datos o, en su caso, por la autoridad autonómica de protección de datos competente y será cada autoridad la que mantenga registros de los códigos de conducta aprobados por ella.

Título VI: Transferencias Internacionales de Datos

• Las autoridades autonómicas podrán adoptar cláusulas contractuales tipo y aprobar normas corporativas vinculantes para transferencias internacionales de datos.
• El procedimiento de aprobación de las normas corporativas vinculantes se iniciará a instancia de una entidad situada en España y tendrá una duración máxima de nueve meses.

Título VII: Autoridades de Protección de Datos

• Las autoridades autonómicas de protección de datos siguen teniendo competencia para los tratamientos realizados por las entidades del sector público de su comunidad autónoma, ampliando sus funciones para tratamientos transfronterizos.
• Las autoridades autonómicas podrán intervenir y ostentar la condición de autoridad de control principal o interesada en un tratamiento transfronterizo, si se encuentra dentro de su campo de competencia.
• La relación entre las autoridades de control deberá seguir el principio de cooperación para evitar discordancias al aplicar la normativa de protección de datos personales.
• La Agencia Española de Protección de Datos podrá ejercer acciones jurídicas contra las autoridades autonómicas en caso de tratamientos contrarios al RGPD.

Título VIII: Procedimientos en caso de Posible Vulneración de la Normativa de Protección de Datos

• La Agencia Española de Protección de Datos determinará el alcance territorial del tratamiento y examinará su competencia antes de cualquier actuación.

• Los procedimientos tramitados por la Agencia Española de Protección de Datos podrán iniciarse por:

• Un acuerdo de admisión a trámite, cuando el procedimiento tuviese por objeto una solicitud desatendida de ejercicio de los derechos interesados.

• Un acuerdo de inicio adoptado por iniciativa propia o como consecuencia de reclamación por un interesado.

• La adopción proyecto de acuerdo de inicio de procedimiento sancionador cuando la Agencia Española de Protección de Datos ostentase la condición de autoridad principal, en caso de tratamiento transfronterizo.

• La Agencia Española de Protección de Datos deberá evaluar la admisión a trámite de una reclamación.

• Cuando hubiese un DPO o un organismo de supervisión, la AEPD podrá remitirles la reclamación antes de resolverla.

• La AEPD podrá dictar medidas provisionales para proteger los derechos y libertades de los interesados, como ordenar el bloqueo de datos, el cese del tratamiento u obligar a atender la solicitud referida al ejercicio de los derechos de los interesados.

Título IX: Régimen Sancionador

• Se recoge expresamente que el DPO no es considerado responsable a efectos del régimen sancionador.
• Las infracciones se recogen en los artículos 71 a 74 de la Ley y se distingue entre infracciones muy graves, graves y leves.
• Las infracciones prescribirán:
• las muy graves a los 3 años.
• las graves, a los 2 años.
• las leves, tras 1 año.
• Se establece la interrupción de la prescripción de las infracciones.
• Se establecen los criterios de graduación de las sanciones y la posibilidad de aplicar medidas correctivas como el apercibimiento.
• La identidad del infractor, las infracciones cometidas y las sanciones impuestas serán publicadas en el Boletín Oficial del Estado cuando se trate de personas jurídicas sancionadas por la AEPD con más de 1 millón de euros.
• Cuando corresponda a una autoridad autonómica de protección de datos, se atendrá a lo que disponga su normativa específica en cuanto a la publicidad de esas resoluciones
• Cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no se hayan atendido, se incluirá una amonestación y se ordenará la publicación en el Boletín Oficial del Estado o boletín autonómico que corresponda.
• Se establece la prescripción de las sanciones en función de su cuantía:
• hasta 40.000 €, prescribirán en el plazo de un año.
• de 40.001 € a 300.000 €, en el plazo de dos años.
• por encima de 300.000 €, a los tres años.

Título X: Garantía de los Derechos Digitales

• Se recoge la obligatoriedad de garantizar el acceso universal a internet, y en concreto la necesidad de atender a la realidad específica de los entornos rurales.

• Se establece el derecho a la seguridad digital, referido a la seguridad de las comunicaciones que se transmitan y reciban de internet, y los proveedores de servicios de internet deberán informar a los usuarios de este derecho.

• Se establece el derecho de rectificación en redes sociales y plataformas digitales, con la inclusión de un aviso en lugar visible junto con la información aclaratoria y la información original.

• Se regula el control del uso de herramientas informáticas de los trabajadores por el empresario, quien debe cumplir con una serie de garantías de información.

• Se tratan temas como la “fatiga informática", y la obligación del empresario a la redacción de una política interna en la que se defina las modalidades de ejercicio del derecho desconexión del empleado a las herramientas informáticas de la compañía para el respeto del tiempo de descanso, de permisos y de vacaciones del empleado.

• Se permite el tratamiento de datos de geolocalización para el ejercicio de las funciones en el ámbito laboral en tanto en cuanto se informe expresamente de dichos controles.

• Se declara el derecho al olvido de búsquedas de internet, como el derecho a que los motores de búsqueda eliminen de su lista de resultados datos cuando fueran inadecuados, inexastos, no pertinentes, no actualizados o excesivos.

• Sobre el derecho al testamento digital, se permite a las personas vinculadas al fallecido por vínculos familiares o de hecho y a sus herederos dirigirse a los prestadores de servicios de la sociedad de la información para dar instrucciones sobre la utilización de determinados perfiles, a no ser que la persona fallecida lo haya prohibido expresamente.

La Agencia Española de Protección de Datos: Competencias y Funciones

• La Agencia Española de Protección de Datos está encargada de velar por el cumplimiento de la normativa de protección de datos y controlar su aplicación.

• Controlar la aplicación del Reglamento General de Protección de Datos 2016/679 (en adelante, RGPD) y el resto de la normativa de protección de datos.

• Promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento

• Asesorar al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.

• Promover la sensibilización de las personas responsables y encargadas del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento.

• Facilitar información a cualquier interesado sobre sus derechos y cooperar con otras autoridades de control.

• Tratar las reclamaciones presentadas e investigar el motivo, informando al reclamante en un plazo razonable.

• Cooperar con otras autoridades de control e intercambiar información para garantizar la coherencia en la aplicación del Reglamento.

• Llevar a cabo investigaciones sobre la aplicación del Reglamento, basándose en información recibida de otras autoridades.

• Hacer un seguimiento de cambios que tengan incidencia en la protección de datos personales, incluyendo el desarrollo de las tecnologías de la información y la comunicación.

• Adoptar las cláusulas contractuales tipo y elaborar y mantener una lista relativa a la evaluación de impacto relativa a la protección de datos.

• Ofrecer asesoramiento sobre las operaciones de tratamiento contempladas en el artículo 36, apartado 2 del RGPD y alentar la elaboración de códigos de conducta.

• Fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos y aprobar sus criterios.

• Llevar a cabo una revisión periódica de las certificaciones expedidas.

• Elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos de conducta y de organismos de certificación.

• Efectuar la acreditación de organismos de supervisión de los códigos de conducta y de organismos de certificación.

• Autorizar las cláusulas contractuales y disposiciones a que se refiere el artículo 46, apartado 3 del RGPD y aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47 del RGPD.

• Contribuir a las actividades del Comité.

• Llevar registros internos de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el artículo 58, apartado 2 del RGPD.

• Ordenar a la persona responsable y al encargado del tratamiento que faciliten cualquier información que requiera y llevar a cabo investigaciones en forma de auditorías de protección de datos.

• Notificar a la persona responsable o al encargado del tratamiento las presuntas infracciones de la normativa de protección de datos.

• Obtener de la persona responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria

• Dirigir a toda persona responsable o encargado del tratamiento una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en la normativa de protección de datos.

• Ordenar a la persona responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente RGPD.

• Ordenar a la persona responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones de la normativa de protección de datos.

• Ordenar a la persona responsable del tratamiento que comunique a la persona interesada las brechas de seguridad de los datos personales.

• Imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición.

• Ordenar la rectificación o supresión de datos personales o la limitación de tratamiento.

• Retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los artículos 42 y 43 del RGPD.

• Imponer una multa administrativa con arreglo al artículo 83 del RGPD y ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país u organización internacional.

• Asesorar a la persona responsable del tratamiento conforme al procedimiento de consulta previa contemplado en el artículo 36 del RGPD.

• Emitir dictámenes destinados al Parlamento nacional, al Gobierno del Estado miembro o a otras instituciones sobre asuntos relacionados con la protección de los datos personales.

• Autorizar el tratamiento a que se refiere el artículo 36, apartado 5 del RGPD, si el Derecho del Estado miembro requiere tal autorización previa.

• Emitir un dictamen y aprobar proyectos de códigos de conducta y acreditar los organismos de certificación.

• Adoptar las cláusulas tipo de protección de datos y autorizar las cláusulas contractuales y los acuerdos administrativos.

• Aprobar normas corporativas vinculantes de conformidad y tutelar los derechos y garantías de las personas abonadas y usuarias en el ámbito de las comunicaciones electrónicas

• Tutelar los derechos y garantías de las personas abonadas y usuarias en el ámbito de las comunicaciones electrónicas, incluyendo el envío de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalente (spam).

• Recibir las notificaciones de las eventuales quiebras de seguridad que se produzcan en los sistemas de los proveedores de servicios de comunicaciones electrónicas y que puedan afectar a datos personales.

• Cooperación con diversos organismos internacionales y con los órganos de la Unión Europea en materia de protección de datos y representación de España en los foros internacionales en la materia.

• Elaboración de una Memoria Anual, que es presentada por el Director de la Agencia ante las Cortes.