Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.

Questions and Answers

¿Cuál es el principal objetivo de la Ley Orgánica 3/2018?

• Establecer normas para la ciberseguridad de las empresas.
• Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 y garantizar los derechos digitales. (correct)
• Fomentar la innovación tecnológica en el sector público.
• Regular el comercio electrónico en España.

Según la disposición final primera de la Ley Orgánica 3/2018, ¿qué carácter tiene una parte significativa de esta ley?

• Decreto ley.
• Ley orgánica en su totalidad.
• Reglamento europeo.
• Ley ordinaria. (correct)

¿A qué se dedica el título 10 de la Ley Orgánica 3/2018?

• A la promoción de la inteligencia artificial.
• A la protección de los consumidores en línea.
• A la regulación de los contratos digitales.
• A la garantía de los derechos digitales. (correct)

¿Cuál de las siguientes opciones describe correctamente el ámbito de aplicación de la Ley Orgánica 3/2018?

Se aplica a cualquier tratamiento de datos personales, automatizado o no, destinado a un fichero. (A)

En relación con los datos de personas fallecidas, ¿cuál es la regla general bajo la Ley Orgánica 3/2018?

Los datos de personas fallecidas no entran en el ámbito de aplicación de la ley, con ciertas excepciones. (A)

Según la Ley Orgánica 3/2018, ¿qué se entiende por consentimiento?

Una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta el tratamiento de sus datos personales. (A)

¿Cuál es la edad mínima establecida por la Ley Orgánica española para que el tratamiento de datos de un menor se considere lícito?

14 años. (B)

¿Qué derechos reconoce la Ley Orgánica 3/2018 a las personas en relación con sus datos personales?

Los mismos derechos que en el Reglamento (UE): acceso, rectificación, supresión, limitación, portabilidad y oposición. (D)

Según la Ley Orgánica 3/2018, ¿en qué situaciones el responsable del tratamiento puede negarse a actuar ante una solicitud de acceso a datos?

Si la solicitud se considera repetitiva (más de una vez en 6 meses) y no hay causa legítima, o si hay un canon razonable. (B)

¿Qué obligación tiene el responsable del tratamiento cuando procede la rectificación o supresión de datos personales?

Bloquear los datos personales. (B)

¿En qué casos es obligatoria la designación de un Delegado de Protección de Datos (DPO)?

En los casos previstos en el artículo 37 del Reglamento (UE) y en los casos detallados en la Ley Orgánica 3/2018. (B)

Si una persona fallecida prohibió expresamente el acceso a sus datos personales, ¿qué excepción existe en relación con los datos de carácter patrimonial?

Los herederos pueden consultar los datos de carácter patrimonial. (D)

Un hospital recopila datos genéticos de sus pacientes para investigación médica. ¿Qué principio de protección de datos es más relevante en este contexto?

El principio de limitación de la finalidad. (C)

Si un usuario de una red social solicita la portabilidad de sus datos, ¿qué formato debe utilizar el responsable para transmitir los datos a otro responsable?

Un formato estructurado, de uso común y de lectura mecánica. (D)

Una empresa de marketing recopila datos de usuarios a través de formularios en línea. ¿Qué debe hacer para cumplir con el principio de transparencia según la Ley Orgánica 3/2018?

Informar claramente a los usuarios sobre la finalidad del tratamiento, los derechos que les asisten y la identidad del responsable. (A)

Un periódico publica una noticia que incluye datos personales de una persona involucrada en un delito. ¿Qué derecho podría invocar esta persona para proteger su privacidad?

Derecho de supresión (derecho al olvido). (B)

Una universidad utiliza datos de sus estudiantes para elaborar perfiles con fines de investigación educativa sin su consentimiento explícito. ¿Qué derecho fundamental de los estudiantes podría estar violando la universidad?

Derecho a la protección de datos. (B)

¿Cuál de las siguientes situaciones NO se rige prioritariamente por la Ley Orgánica 3/2018?

El tratamiento de datos en el Registro Civil. (A)

Como regla general, la Ley Orgánica 3/2018 NO se aplica a los datos de personas fallecidas. Sin embargo, ¿en qué caso podrían los familiares acceder a los datos personales del fallecido?

Para ejercer los derechos de acceso, rectificación o supresión, a menos que el fallecido lo hubiera prohibido o así se establezca en una ley. (D)

¿Qué implicación tiene que una parte significativa de la Ley Orgánica 3/2018 tenga carácter de ley ordinaria?

Requiere una mayoría simple para su modificación. (A)

Una empresa con 200 empleados, ¿está obligada a mantener un registro de actividades del tratamiento según la Ley Orgánica 3/2018?

No, solo están obligadas las empresas con más de 250 empleados. (A)

Una empresa encarga a otra el tratamiento de datos personales de sus clientes. ¿Cómo se denomina a cada entidad según la Ley Orgánica 3/2018?

La primera es responsable del tratamiento y la segunda es encargada del tratamiento. (B)

¿Qué plazo tiene el responsable del tratamiento para comunicar la designación del Delegado de Protección de Datos (DPO) a la Agencia Española de Protección de Datos?

10 días. (C)

Un empleado es designado como Delegado de Protección de Datos (DPO) en su empresa. ¿Qué garantía debe tener este empleado?

No puede ser removido ni sancionado por desempeñar sus funciones, garantizando su independencia. (C)

Una empresa transfiere datos personales a un país fuera de la Unión Europea sin las garantías adecuadas. ¿Qué principio de protección de datos se está infringiendo?

El principio de responsabilidad proactiva. (A)

Flashcards

Objeto de la Ley Orgánica 3/2018

Adaptar la legislación española al Reglamento (UE) 2016/679 y proteger los derechos digitales.

Ámbito de aplicación

Cualquier tratamiento automatizado o no automatizado de datos personales en ficheros.

Datos de personas fallecidas

Generalmente no, pero familiares pueden acceder, rectificar o suprimir datos, salvo prohibición expresa.

Exactitud de los datos

Deben ser correctos y actualizados.

Deber de confidencialidad

Obligación de mantener la privacidad de los datos.

Consentimiento

Voluntad libre, específica, informada e inequívoca para el tratamiento de datos.

Edad para consentimiento (datos)

14 años en España, según la Ley Orgánica.

Derechos de las personas

Acceso, rectificación, supresión, limitación, portabilidad y oposición.

Derecho de acceso

Confirmar si se están usando sus datos.

Derecho de rectificación

Corregir datos inexactos rápidamente.

Derecho de supresión

Eliminar datos personales bajo ciertas condiciones.

Derecho a la limitación

Limitar el uso de datos en situaciones específicas.

Derecho a la portabilidad

Transferir datos a otro responsable en formato legible.

Derecho de oposición

Oponerse al tratamiento de datos por motivos personales.

Responsable del tratamiento

Quien decide cómo y por qué se tratan los datos.

Encargado del tratamiento

Quien trata los datos por encargo del responsable.

Obligación del responsable/encargado

Garantizar el cumplimiento normativo en el tratamiento de datos.

Delegado de Protección de Datos (DPO)

Persona que supervisa la protección de datos dentro de una organización.

Función del DPO

Actuar como enlace entre la organización, la Agencia de Protección de Datos y los interesados.

Designación del DPO

Debe ser comunicada en 10 días a la Agencia Española de Protección de Datos.

Acceso del DPO

Acceder a los datos y procesos sin oposición.

Responsable del tratamiento (definición)

Persona física o jurídica que determina los fines del tratamiento de datos.

Encargado del tratamiento (definición)

Persona que trata los datos en nombre del responsable.

Definición de consentimiento

Manifestación libre, específica, informada e inequívoca de la voluntad del interesado.

Derecho de acceso (definición)

Derecho a obtener confirmación de si se están tratando datos personales.

Study Notes

Ley Orgánica 3/2018: Protección de Datos y Garantía de Derechos Digitales

• La Ley Orgánica 3/2018, de 5 de diciembre, se centra en la protección de datos personales y la garantía de los derechos digitales.
• Es crucial haber estudiado el Reglamento (UE) 2016/679 antes de abordar esta ley, ya que la Ley Orgánica es una adaptación del reglamento al ordenamiento jurídico español.

Carácter Orgánico y Ordinario de la Ley

• Aunque se denomina Ley Orgánica, una parte significativa de ella tiene carácter de ley ordinaria.
• Más de la mitad de los artículos de esta ley son de carácter ordinario, según se indica en la disposición final primera.
• La disposición adicional tercera aborda el cómputo de plazos, tema regulado por la ley ordinaria.

Derechos Digitales

• El título 10 de la norma se dedica a la garantía de los derechos digitales, que comprende un total de 17 derechos en la era digital.
• Estos derechos difieren de los derechos habituales ya conocidos.

Objeto y Ámbito de Aplicación

• Objeto: Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679, completar sus disposiciones y garantizar los derechos digitales de la ciudadanía, conforme al artículo 18.4 de la Constitución.
• Ámbito de Aplicación: Se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado destinado a un fichero.

Excepciones a la Aplicación de la Ley

• La norma no se aplica a lo establecido en el artículo 2.2 del Reglamento, a los datos de personas fallecidas (con excepciones) y a los tratamientos sometidos a normativas de protección específicamente clasificadas.
• Las normativas de protección de materia clasificada (régimen electoral general, tratamientos en instituciones penitenciarias, registro civil, registro de la propiedad y registro mercantil) se rigen por su normativa específica y, supletoriamente, por el Reglamento y la Ley Orgánica.

Datos de Personas Fallecidas

• Como regla general, los datos de personas fallecidas no entran en el ámbito de aplicación de esta Ley Orgánica.
• Sin embargo, el artículo 3 permite que familiares o herederos accedan, rectifiquen o supriman los datos personales del fallecido, salvo que este lo haya prohibido expresamente o así se establezca en una ley.
• Incluso si el fallecido lo prohibió, los herederos pueden consultar los datos de carácter patrimonial.

Principios de Protección de Datos

• Exactitud de los datos: Deben ser exactos y, si es necesario, actualizados.
• Deber de confidencialidad: Tanto el responsable como el encargado del tratamiento, así como cualquier persona que participe en el tratamiento de datos, están sujetos a este deber.
• Consentimiento: Definido como una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta el tratamiento de sus datos personales, ya sea mediante una declaración o una clara acción afirmativa.

Consentimiento para Menores de Edad

• El Reglamento (UE) establece que el tratamiento de datos de un niño se considera lícito a partir de los 16 años, aunque permite a los Estados miembros fijar una edad inferior no inferior a 13 años mediante ley.
• La Ley Orgánica española fija la edad en 14 años, cumpliendo con el reglamento.

Derechos de las Personas

• Los derechos reconocidos en la Ley Orgánica son los mismos que en el Reglamento: acceso, rectificación, supresión (olvido), limitación del tratamiento, portabilidad de los datos y oposición.
• SOPLAR: Nemotécnica para recordar los derechos: supresión/olvido, oposición, portabilidad, limitación, acceso, rectificación.
  • Derecho de acceso: El interesado tiene derecho a obtener confirmación de si se están tratando o no sus datos personales. Si se considera repetitivo (más de una vez en 6 meses), el responsable puede imponer un canon razonable o negarse a actuar, salvo que haya causa legítima.
  • Derecho de rectificación: Rectificar datos inexactos sin dilación indebida por parte del responsable.
  • Derecho de supresión: Derecho al olvido, suprimir los datos personales que conciernan al interesado bajo ciertas circunstancias.
  • Derecho a la limitación del tratamiento: Limitar el uso de los datos personales en determinadas situaciones.
  • Derecho a la portabilidad de los datos: Transmitir los datos personales de un responsable a otro en un formato estructurado, de uso común y de lectura mecánica.
  • Derecho de oposición: Oponerse en cualquier momento, por motivos relacionados con su situación particular, a que sus datos personales sean tratados, incluyendo la elaboración de perfiles o la mercadotecnia directa.
• El responsable está obligado a informar al afectado sobre los medios disponibles para ejercer estos derechos, que deben ser fácilmente accesibles.
• Las actuaciones llevadas a cabo por el responsable para atender las solicitudes de estos derechos deben ser gratuitas, salvo en casos de repetición o coste desproporcionado.

Responsables y Encargados del Tratamiento, Delegado de Protección de Datos

• Responsable del tratamiento: Persona física o jurídica, autoridad pública, servicio público u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
• Encargado del tratamiento: Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
• El responsable y el encargado deben garantizar y acreditar que el tratamiento de datos personales es conforme al Reglamento, la Ley Orgánica y sus normas de desarrollo.
• Deben mantener un registro de actividades del tratamiento, salvo excepciones (empresas con menos de 250 empleados).
• El responsable está obligado a bloquear los datos personales cuando proceda su rectificación o su supresión.
• No se considera comunicación el acceso por parte del encargado a los datos personales cuando resulte necesario para la prestación de un servicio al responsable.
• Los responsables y encargados deben designar a un delegado de protección de datos (DPO) atendiendo a cualidades profesionales y conocimientos especializados en derecho y protección de datos.
• La designación de un DPO es obligatoria en los casos previstos en el artículo 37 del Reglamento (autoridad u organismo público, operaciones de tratamiento que requieran observación habitual y sistemática a gran escala, tratamiento a gran escala de datos especiales o relativos a condenas e infracciones penales), así como en los casos detallados.
• La designación del DPO debe ser comunicada a la Agencia Española de Protección de Datos en un plazo de 10 días.
• El DPO actúa como interlocutor entre el responsable/encargado y la Agencia Española de Protección de Datos, así como las autoridades autonómicas de protección de datos.
• Cuando el DPO es una persona física integrada en la organización, no puede ser removido ni sancionado por desempeñar sus funciones, garantizando su independencia y evitando conflictos de intereses.
• El DPO tiene acceso a los datos personales y a los procesos del tratamiento, sin que el responsable ni el encargado puedan oponerse a este acceso.