Untitled

Questions and Answers

¿Qué implica el concepto de 'diseño por defecto' según las Directrices 4/2019 del Comité Europeo de Protección de Datos?

• Conservar los datos personales durante el mayor tiempo posible para análisis futuros.
• Ignorar la evaluación de riesgos al operar con software de terceros, priorizando la eficiencia en el tratamiento de datos.
• Tomar decisiones sobre la configuración y opciones de tratamiento en un sistema, limitando la cantidad de datos recogidos, su tratamiento, plazo de conservación y accesibilidad. (correct)
• Recoger la mayor cantidad posible de datos personales para asegurar la exhaustividad del tratamiento.

Según las Directrices 4/2019, ¿qué debe garantizar técnicamente una base de datos al operar con el principio de 'diseño por defecto'?

• La máxima accesibilidad a los datos para todos los usuarios autorizados sin restricciones.
• Una recogida ilimitada de datos personales, permitiendo un análisis más profundo y completo.
• La eficacia de las limitaciones impuestas por el software utilizado para aplicar los principios de protección de datos. (correct)
• La conservación de los datos durante el mayor tiempo posible, independientemente de su necesidad.

Si un responsable del tratamiento opera con software de terceros, ¿qué evaluación debe realizar según las Directrices?

• Una evaluación del coste del software en relación con su beneficio potencial.
• Una evaluación del número de usuarios que utilizarán el software.
• Una evaluación de riesgos del producto, desactivando las funciones que no tengan base jurídica o que no sean compatibles con los fines del tratamiento. (correct)
• Ninguna evaluación es necesaria si el software es ampliamente utilizado en el mercado.

De acuerdo con el artículo 73 de la LOPDGDD, ¿qué se considera una infracción grave?

La falta de adopción de medidas para aplicar de forma efectiva los principios de protección de datos desde el diseño. (A)

¿Cuál es el requisito básico para la protección de datos según las Directrices?

La protección de datos esté integrada en el tratamiento por defecto. (B)

¿Cuál de las siguientes NO es una implicación del principio de minimización de datos en el 'diseño por defecto'?

Realizar un tratamiento de los datos recogidos más amplio de lo necesario para sus fines. (C)

En relación con el artículo 25 del Reglamento (UE) 2016/679, ¿qué implica la falta de adopción de medidas técnicas y organizativas apropiadas?

Garantizar que, por defecto, solo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento. (C)

¿Qué impacto tiene el 'diseño por defecto' en la responsabilidad del tratamiento de datos?

Asegura que el responsable del tratamiento no deba recoger más datos de los necesarios, ni tratarlos más ampliamente de lo necesario, ni conservarlos más tiempo del necesario. (C)

¿Cuál de los siguientes elementos NO es un componente esencial de una evaluación de impacto relativa a la protección de datos (EIPD)?

Un análisis detallado de la infraestructura tecnológica utilizada en el tratamiento de datos. (C)

Según el RGPD, ¿en qué situación NO es necesario aplicar los apartados 1 a 7 del artículo 35, relacionados con la evaluación de impacto, en el contexto del tratamiento público de bases de datos?

Cuando el tratamiento tiene su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro y las normas regulan la operación específica. (C)

En el contexto del RGPD, ¿qué debe hacer un responsable del tratamiento si una evaluación de impacto revela un alto riesgo que no puede ser mitigado?

Elevar una consulta a la autoridad de control antes de proceder con el tratamiento. (A)

¿Cuál de los siguientes NO es un elemento que debe incluirse en la consulta a la autoridad de control según el artículo 36 del RGPD?

Una descripción detallada de la tecnología de cifrado utilizada. (C)

Una empresa está considerando implementar un nuevo sistema de reconocimiento facial para mejorar la seguridad en sus oficinas. ¿Qué paso NO sería necesario como parte de una evaluación de impacto relativa a la protección de datos (EIPD)?

Obtener una certificación de seguridad emitida por un organismo internacional. (C)

Una organización planea utilizar datos de salud anonimizados para investigación médica. Aunque los datos están anonimizados, ¿qué consideración NO es crucial al realizar una EIPD?

Asegurarse de tener el consentimiento explícito de cada individuo cuyos datos se utilizan. (C)

Una entidad pública está desarrollando una aplicación móvil para ofrecer servicios a los ciudadanos. La aplicación recopila datos personales sensibles. ¿Qué implicación tiene el artículo 35.10 del RGPD en este escenario?

El artículo 35.10 podría eximir de algunos apartados de la EIPD si el tratamiento está regulado por el Derecho de la Unión o del Estado miembro y se ha realizado una evaluación de impacto. (C)

Una empresa está utilizando datos personales para crear perfiles de clientes con fines de marketing dirigido. ¿Qué aspecto de la proporcionalidad debe considerarse PRIMERO en una EIPD?

Si existe una alternativa menos intrusiva para lograr los mismos objetivos de marketing. (A)

¿Cuál de las siguientes situaciones requiere obligatoriamente una Evaluación de Impacto relativa a la Protección de Datos (EIPD) según el RGPD?

La evaluación sistemática de aspectos personales que se base en un tratamiento automatizado, con la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas. (A)

¿Cuál es el propósito principal de una Evaluación de Impacto relativa a la Protección de Datos (EIPD)?

Identificar y mitigar los riesgos para los derechos y libertades de las personas físicas derivados de los tratamientos de datos. (B)

Según el RGPD, ¿qué debe ocurrir si la tecnología disponible no garantiza los principios de protección de datos en un tratamiento?

Se debe consultar a la autoridad de control antes de proceder con el tratamiento. (A)

¿Qué implicación tiene el principio de protección de datos desde el diseño en relación con la EIPD?

La EIPD debe ser considerada como un proceso intrínseco al diseño de cualquier sistema o proceso que implique tratamiento de datos personales. (C)

En el contexto del RGPD y las Evaluaciones de Impacto relativas a la Protección de Datos (EIPD), ¿qué significa el tratamiento de datos 'a gran escala'?

El tratamiento de datos que, por su naturaleza, alcance, contexto y fines, pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas. (B)

¿Cuál de los siguientes NO es un elemento que desencadena la necesidad de realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) según el RGPD?

La existencia de un Delegado de Protección de Datos (DPO) en la organización. (C)

Las Evaluaciones de Impacto relativas a la Protección de Datos (EIPD) pueden considerarse como la versión europea de las Privacy Impact Assessment (PIA) ¿De que ámbito provienen originalmente las PIA?

Anglosajón (A)

Según lo expuesto, ¿Qué debe garantizar la adopción de medidas técnicas y organizativas?

Un nivel de seguridad adecuado al riesgo inherente al tratamiento de datos personales. (C)

¿Cuál de las siguientes NO es una medida de gestión de riesgos para los derechos y libertades en el tratamiento de datos personales?

Considerar la gestión del riesgo como una obligación de cumplimiento normativo. (B)

Según el RGPD, ¿cuál de los siguientes efectos NO se considera un perjuicio derivado de una brecha de seguridad de datos personales?

Aumento de la productividad del personal. (D)

Una empresa sufre un ataque ransomware que cifra todos sus datos, incluidos los datos personales de sus clientes. ¿Qué tipo de violación de seguridad se ha producido principalmente?

Violación de la integridad y disponibilidad. (C)

¿Cuál es el paso inicial que debe realizar el responsable del tratamiento antes de iniciar el proceso de gestión de riesgos?

Realizar un análisis de cumplimiento normativo. (D)

Si un empleado divulga accidentalmente un archivo que contiene datos personales confidenciales a un tercero no autorizado, ¿qué tipo de violación se ha producido?

Violación de la confidencialidad. (A)

Una empresa detecta que un atacante ha accedido a su base de datos y ha modificado los datos de contacto de varios clientes, redirigiendo comunicaciones importantes. ¿Qué tipo de violación(es) ha(n) ocurrido?

Solo una violación de la integridad. (A)

Considerando el principio de protección de datos desde el diseño y por defecto, ¿qué acción representa mejor la aplicación de este principio en el desarrollo de una nueva aplicación móvil que recopila datos personales?

Realizar una evaluación de impacto en la protección de datos (EIPD) y aplicar medidas para minimizar el tratamiento de datos personales necesarios. (A)

Si una empresa sufre una brecha de seguridad que resulta en la pérdida de datos financieros de sus clientes, ¿qué tipo de perjuicio potencial es más probable que enfrenten los individuos afectados según el RGPD?

Pérdidas financieras. (A)

¿Cuál de las siguientes situaciones NO se considera un tratamiento de datos que podría conllevar un mayor riesgo según el artículo 28.2 de la LOPDGDD?

El tratamiento de datos personales con fines estadísticos sin crear perfiles individuales. (A)

¿Qué elemento NO es un componente obligatorio que debe incluirse en una Evaluación de Impacto relativa a la Protección de Datos (EIPD) según el art. 35.7 RGPD?

Los mecanismos para garantizar la seguridad de los datos. (D)

Un hospital está considerando implementar un nuevo sistema de análisis predictivo para identificar pacientes con alto riesgo de readmisión. Este sistema utilizará datos de salud históricos y demográficos. ¿Cuál de las siguientes consideraciones es MENOS relevante desde la perspectiva del RGPD y LOPDGDD?

Obtener el consentimiento explícito de cada paciente para el uso de sus datos en el sistema. (C)

Una empresa está desarrollando un sistema de reconocimiento facial para controlar el acceso a sus oficinas. ¿Cuál de las siguientes acciones NO sería una medida adecuada para mitigar los riesgos asociados a este tratamiento de datos?

Almacenar las imágenes faciales de forma indefinida para mejorar la precisión del sistema con el tiempo. (D)

Un ayuntamiento está considerando publicar datos sobre el consumo de agua por hogar en un formato seudonimizado para fomentar la transparencia y concienciar sobre el uso responsable del agua. ¿Qué riesgo específico debería evaluarse cuidadosamente en este escenario?

El riesgo de que la seudonimización pueda ser revertida, permitiendo identificar a los hogares individuales. (A)

Una red social implementa un algoritmo para detectar y eliminar automáticamente contenido que infrinja sus políticas. Este algoritmo analiza el texto, las imágenes y los videos subidos por los usuarios. ¿Qué implicación clave, relacionada con los derechos de los usuarios, debe considerarse cuidadosamente en este contexto?

El riesgo de que el algoritmo cometa errores y elimine contenido legítimo, limitando la libertad de expresión de los usuarios. (A)

Una empresa de seguros utiliza datos de salud y estilo de vida de sus clientes para calcular las primas de seguros. ¿Cuál de las siguientes prácticas sería la MÁS cuestionable desde el punto de vista de la protección de datos?

Utilizar datos de estilo de vida obtenidos de fuentes públicas, como redes sociales, sin informar a los clientes. (D)

Una entidad bancaria planea implementar un sistema de puntuación crediticia que utiliza algoritmos de machine learning para evaluar la solvencia de los solicitantes de préstamos. Además de los datos financieros tradicionales, el sistema considera la actividad en redes sociales y el historial de compras en línea. ¿Cuál es el riesgo MÁS significativo que debe abordarse al diseñar e implementar este sistema?

La posibilidad de que el sistema discrimine a ciertos grupos de personas debido a sesgos en los datos o en el algoritmo. (B)

¿Qué información NO es necesario incluir en la comunicación a la autoridad de control en caso de una violación de seguridad de datos personales según el RGPD?

Una evaluación detallada del impacto financiero directo en la organización debido a la violación. (A)

Según el RGPD, ¿cuál es el plazo máximo para notificar a la autoridad de control una violación de seguridad de datos personales?

Sin dilación indebida y, de ser posible, a más tardar 72 horas después de tener constancia de la violación. (D)

¿En qué situación el responsable del tratamiento NO está obligado a comunicar una violación de seguridad de los datos personales al interesado?

Cuando los datos personales afectados han sido cifrados, haciéndolos ininteligibles para personas no autorizadas. (D)

Una empresa sufre un ataque de ransomware que cifra todos los datos de sus clientes. ¿Qué medida, según el RGPD, podría eximir a la empresa de la obligación de notificar la violación de seguridad a los interesados?

Haber utilizado un algoritmo de cifrado robusto que hace los datos ininteligibles para los atacantes. (C)

Si una violación de seguridad de datos personales conlleva un alto riesgo para los derechos y libertades de los interesados, ¿a quién debe informar el responsable del tratamiento?

Tanto a la autoridad de control competente como a los interesados afectados sin dilación indebida. (A)

¿Cuál de las siguientes NO es una excepción a la obligación de informar a los interesados sobre una violación de seguridad de sus datos personales?

La violación de seguridad afecta a un número reducido de interesados. (A)

Una clínica médica descubre que un empleado accedió a historiales clínicos de pacientes sin autorización. ¿Qué acción NO correspondería realizar según el RGPD?

Informar a todos los pacientes de la clínica, independientemente de si sus datos fueron accedidos o no. (A)

Una tienda online sufre un ciberataque donde se sustraen datos de tarjetas de crédito de clientes. La tienda cifra los datos de las tarjetas, pero la clave de cifrado también se ve comprometida en el ataque. ¿Qué debe hacer la tienda?

Notificar a los clientes cuyas tarjetas fueron afectadas, ya que la clave de cifrado también se vio comprometida, y a la autoridad de control. (A)

Flashcards

¿Qué es 'diseño por defecto'?

Decisiones sobre opciones de tratamiento preestablecidas en un sistema (software, servicio, etc.) que limitan la cantidad de datos recogidos, su tratamiento, conservación y accesibilidad.

¿Cómo se implementa el 'diseño por defecto' en bases de datos?

Usar bases de datos con parámetros preconfigurados que apliquen minimización de datos y limitación del tratamiento.

¿Qué hacer con software de terceros?

Se debe evaluar los riesgos del software de terceros y desactivar funciones incompatibles con los fines previstos del tratamiento de datos.

¿Qué implica la protección de datos integrada por defecto?

No recoger más datos de los necesarios, no realizar un tratamiento más amplio de lo necesario, ni conservar los datos durante más tiempo del necesario.

¿Qué se considera una infracción grave (LOPDGDD)?

La falta de medidas técnicas y organizativas apropiadas para aplicar los principios de protección de datos desde el diseño.

¿Qué otra falta se considera infracción grave?

La falta de medidas para garantizar que, por defecto, solo se traten los datos personales necesarios para cada fin específico.

¿Qué aseguramiento debe tomarse en cuenta?

Asegurarse de que las funciones que no tengan base jurídica o no sean compatibles con los fines previstos del tratamiento estén desactivadas.

¿Qué debe evitar el responsable del tratamiento?

El responsable del tratamiento no debe recoger más datos de los que sean necesarios, ni realizar un tratamiento más amplio de los datos recogidos de lo necesario para sus fines, ni conservar los datos durante más tiempo del necesario.

Tratamientos de datos restrictivos

Tratamientos de datos que impiden ejercer los derechos de los interesados.

Tratamientos de datos de alto riesgo

Tratamientos que generan discriminación, usurpación de identidad o fraude.

Creación de perfiles personales

Tratamiento que evalúa aspectos personales para crear perfiles, analizando rendimiento, situación económica, salud, etc.

Datos de grupos vulnerables

Tratamiento de datos de menores de edad y personas con discapacidad.

Tratamiento masivo de datos

Tratamiento que implica a un gran número de personas o la recogida de muchos datos personales.

Transferencia internacional de datos

Transferencia habitual de datos a países sin nivel adecuado de protección.

Evaluación de Impacto (EIPD)

Documento que evalúa el impacto de un tratamiento de datos en la protección de datos personales.

Descripción sistemática del tratamiento

Descripción detallada de cómo se tratarán los datos y las razones para hacerlo.

Gestión de riesgos en datos

Obligación de cumplimiento normativo, no una simple gestión de riesgos.

Acuerdo de confidencialidad

Asegura el compromiso del personal que trata los datos, sin relajar las obligaciones del responsable.

Análisis de cumplimiento normativo

Análisis para asegurar que se respetan los principios, bases y derechos del ordenamiento jurídico.

Brechas de seguridad de datos personales

Incidentes con efectos adversos para las personas (perjuicios físicos o inmateriales).

Efectos de una brecha de seguridad

Pérdida de control sobre los datos personales, restricción de derechos, discriminación, etc.

Tipos de violaciones de seguridad

Violaciones de la confidencialidad, integridad y disponibilidad de los datos.

Pérdida de control de datos

Pérdida de la capacidad de una persona para controlar el uso de sus datos.

Restricción de los derechos

Imposibilidad o dificultad para ejercer los derechos de acceso, rectificación, cancelación y oposición (ARCO).

Evaluación de operaciones de tratamiento

Evaluación de la necesidad y proporcionalidad del tratamiento de datos respecto a su finalidad.

Evaluación de riesgos RGPD

Evaluación de los riesgos para los derechos y libertades de los interesados.

Medidas de mitigación de riesgos

Medidas planeadas para afrontar riesgos, incluyendo garantías y seguridad.

Excepción para tratamiento público de bases de datos

Excepción a los apartados 1 a 7 del art. 35 RGPD si se cumplen ciertas condiciones.

Consulta previa (RGPD)

Comunicación a la autoridad de control cuando una EIPD muestra un alto riesgo no mitigable.

Responsabilidades en el tratamiento

Las responsabilidades de cada parte implicada en el tratamiento de datos.

Contenido de la consulta previa

Información a incluir en la consulta previa a la autoridad de control.

¿Obligación ante una violación de seguridad de datos?

Notificar a la autoridad de control competente una violación de seguridad de datos sin demora indebida, idealmente dentro de las 72 horas.

¿Qué información debe incluir la comunicación de una violación?

Descripción de la violación, datos de contacto del DPD, posibles consecuencias y medidas correctivas.

¿Cuándo se debe notificar a los interesados sobre una violación de seguridad?

Cuando la violación de seguridad entrañe un alto riesgo para los derechos y libertades de los individuos.

¿En qué casos NO es necesario notificar a los interesados?

Cuando se han implementado medidas que hacen ininteligibles los datos (ej: cifrado) para personas no autorizadas.

¿Qué se debe describir sobre la naturaleza de la violación?

Identificar la naturaleza, categorías y número aproximado de interesados y registros afectados.

¿Qué medidas técnicas pueden eximir de notificar a los interesados?

Proteger los datos personales afectados mediante técnicas como el cifrado, haciéndolos ininteligibles.

¿Qué son las 'medidas para mitigar los posibles efectos negativos'?

Medidas que reducen el impacto negativo de una violación de seguridad en los individuos afectados.

¿Qué obligación legal existe ante un alto riesgo para el interesado?

El responsable debe comunicar la violación al interesado sin dilación indebida cuando exista un alto riesgo para sus derechos y libertades.

Infracción grave (RGPD)

No adoptar medidas técnicas y organizativas adecuadas al riesgo.

¿Qué es la EIPD?

Proceso para identificar y minimizar riesgos asociados al tratamiento de datos.

Protección de datos desde el diseño

Principio que exige evaluar la protección de datos en el diseño de sistemas.

¿Cuándo consultar a la autoridad de control?

Si la tecnología no garantiza la protección de datos.

¿Dónde se regula la EIPD en el RGPD?

Capítulo IV, sección III del RGPD

Tratamientos que requieren EIPD

Evaluación sistemática de aspectos personales.

Otro tratamiento que requiere EIPD

Tratamiento a gran escala de categorías especiales de datos.

Último tratamiento que requiere EIPD

Evaluación sistemática basada en decisiones automatizadas con efectos jurídicos.

Study Notes

Evaluaciones de Impacto en Protección de Datos Personales

• Analiza el principio de protección de datos desde el diseño y por defecto, según el Reglamento (UE) 2016/679.
• Este reglamento fue establecido por el Parlamento Europeo y el Consejo el 27 de abril de 2016.
• Concretiza procesos y medidas técnicas preventivas que garantizan la protección de derechos y libertades al tratar datos personales.
• Se deriva de los principios estudiados en el tema seis, principalmente la minimización de datos y limitación del tratamiento.
• La protección de datos desde el diseño y por defecto actúa como una garantía técnica preventiva ante vulneraciones e infracciones de los derechos de los interesados.
• Se analizarán las Evaluaciones de Impacto en Protección de Datos Personales (EIPD), cuyo objeto es evaluar el impacto en la protección de datos en operaciones de tratamiento de alto riesgo para los derechos de las personas físicas.
• Se examinarán amenazas, riesgos y brechas de seguridad, aspectos vinculados a las evaluaciones de impacto pero no estrictamente ligados al cumplimiento normativo.

El principio de protección de datos desde el diseño

• El considerando 78 del RGPD establece que el derecho fundamental a la protección de datos requiere la adopción de medidas técnicas y organizativas apropiadas.
• El responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan con los principios de protección de datos.
• La aplicación preventiva debe hacerse desde el diseño y por defecto.
• Dichas medidas pueden incluir reducir el tratamiento de datos, seudonimizar los datos lo antes posible, y dar transparencia a las funciones y el tratamiento de datos personales.
• Los principios del régimen jurídico de protección de datos deben considerarse ex ante, tanto por el responsable del tratamiento como por el desarrollador del software.
• Los productores deben considerar el derecho a la protección de datos al desarrollar y diseñar aplicaciones de gestión de bases de datos.
• El artículo 25 del RGPD establece que, considerando "el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento", el responsable del tratamiento debe emplear medidas técnicas y organizativas para aplicar los principios de protección de datos.
• Este principio vincula los principios a una aplicación preventiva anterior a la recogida, procesamiento y tratamiento de datos, evitando que los principios de protección de datos queden vacíos de contenido.
• Los principios como el de minimización de datos o la limitación del tratamiento requieren un proceso que opere desde el inicio.
• En la 31.ª Conferencia Internacional de Comisionados de Protección de Datos y Privacidad del año 2009, bajo el título Privacy by Design: The Definitive Workshop, se manifiesta de forma múltiple.
• Implica el concepto de responsabilidad proactiva, lo que conlleva que el responsable del tratamiento deba adelantarse a los posibles riesgos y brechas de seguridad
• La privacidad debe operar como una configuración determinada e incorporada en la fase del diseño, asegurándola durante todo el ciclo de vida.
• Las Directrices 4/2019 relativas al artículo 25 Protección de datos desde el diseño y por defecto Versión 2.0 Adoptadas el 20 de octubre de 2020 (Comité Europeo de Protección de Datos), se señaló la importancia de entender el concepto de diseño por defecto.
• La base de datos debe tener preconfigurados parámetros que apliquen los principios de minimización de datos, garantizando su eficacia por las limitaciones del software.
• Si el responsable del tratamiento opera con software de terceros, se deberá realizar una evaluación de riesgos del producto.
• La falta de adopción de medidas técnicas y organizativas apropiadas para aplicar los principios de protección de datos desde el diseño se considera infracción grave.
• También es infracción grave la falta de adopción de medidas técnicas y organizativas apropiadas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

Evaluación de Impacto relativa a la Protección de Datos (EIPD)

• La evaluación de impacto relativa a la protección de datos (EIPD) se presenta como un proceso requerido por la propia naturaleza del principio de protección de datos desde el diseño.
• En el considerando 84 RGPD se indica que, en los supuestos en los que las operaciones de tratamiento entrañen un alto riesgo para los derechos de las personas físicas, deberá llevarse a cabo una evaluación de impacto relativa a la protección de datos.
• EIPD son la versión europea de las Privacy Impact Assessment que ya venían operando en el mundo anglosajón en el ámbito de la protección de datos.
• En el articulado del RGPD, la EIPD se destina la sección III del Capítulo IV a.
• Una evaluación sistemática de aspectos personales.
• Tratamiento a gran escala de categorías especiales.
• Cuando la evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, con la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
• Cuando el tratamiento a gran escala operan con datos sensibles a gran escala también conlleva EIPD, aunque no es necesario que concurran las notas características de tratamiento automatizado con efectos jurídicos sobre las personas.
• La Agencia Española de Protección de Datos (AEPD), debe publicar una lista adicional de tratamiento de datos que requieran EIPD.
• La AEPD ha venido a añadir otra serie de supuestos que requieren un proceso de evaluación de amenazas y riesgos:
• Tratamientos que impiden perfilado o valoración de sujetos.
• Tratamientos que impliquen la toma de decisión automatizada.
• Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva.
• Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 10 del RGPD.,
• Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
• Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
• Tratamientos que impliquen el uso de datos a escala general.
• Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
• Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social.,
• Tratamientos que impliquen la utilización de nuevas tecnologías o aún uso innovador de tecnologías consolidadas.
• Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato.
• El art. 28.2 LOPDGDD contempla otra serie de tratamientos que pueden conllevar mayor riesgo:
• Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
• En cuanto a la EIPD, de acuerdo con el art.35.7 RGPD, deberá incluir
• Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
• Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
• Una evaluación de los riesgos para los derechos y libertades de los interesados.
• Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de dos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
• De acuerdo con el art. 36 RGPD, cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo, el responsable del tratamiento deberá elevar una consulta con la autoridad de control.
• Las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial.
• Los fines y medios del tratamiento previsto.
• Las medidas y garantías establecidas para proteger los derechos y libertades de los interesados de conformidad con el presente Reglamento.
• Los datos de contacto del delegado de protección de datos.
• La evaluación de impacto relativa a la protección de datos estudiada en la sección anterior.
• Cualquier otra información que solicite la autoridad de control.
• La autoridad de control podrá recurrir a cualquiera de las potestades previstas en el art. 58 RGPD (poderes de investigación, poderes correctivos, poderes de autorización, poderes consultivos), si bien lo más recurrente sería llevar a cabo un asesoramiento al responsable del tratamiento.

Evaluación de amenazas y riesgos. Brechas de Seguridad

• El artículo 25 RGPD recuerda que también deberá tenerse en cuenta los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas.
• Las normas ISO como la ISO 31000:2018(ES) Gestión del riesgo e ISO 31010:2019 Gestión del riesgo, definen este concepto como el «efecto de la incertidumbre sobre la consecución de objetivos».
• El Grupo de trabajo del art. 29 lo definía como «un escenario que describe un acontecimiento y sus consecuencias, estimado en términos de gravedad y probabilidad».
• Aplica al régimen jurídico de protección de datos, el riesgo se manifiesta de forma compleja.
• El RGPD no establece formalidades específicas o procesos concretos que deban aplicarse para el análisis del riesgo, si bien estos deben poder obtenerse de los propios principios de protección de datos.
• Se debe tener en cuenta el tratamiento de los datos personales desde una perspectiva múltiple: el tratamiento en sí mismo, el tratamiento en el contexto interno de una organización, y el tratamiento en el contexto externo (normativo y social).
• Las brechas de seguridad en materia de datos personales se definen como aquellos incidentes que puedan tener efectos adversos para las personas, que pueden ser perjuicios físicos o inmateriales.
• Estos efectos pueden traducirse en:
  • Pérdida de control sobre los datos personales.
  • Restricción de los derechos.
  • Discriminación.
  • Usurpación de identidad.
  • Pérdidas financieras.
  • Reversión no autorizada de la seudonimización.
  • Daño para la reputación.
  • Pérdida de confidencialidad de datos sujetos al secreto profesional.
  • Cualquier otro perjuicio económico o social significativo para la persona.
• En caso de producirse una violación de la seguridad de los datos personales, el responsable del tratamiento la «notificará a la autoridad de control competente.
• La notificación se debe hacer sin dilación indebida y a máximo tardar 72 horas después de que haya tenido constancia de ella.
• En esta comunicación, se debe incluir la siguiente información:
  • Describir la naturaleza de la violación de seguridad de los datos personales.
  • Comunicar el nombre y los datos de contacto del delegado de protección de datos.
  • Escribir las posibles consecuencias de la violación de la seguridad de los datos personales.
• De acuerdo con el art. 34 RGPD, «cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida».
• El responsable del tratamiento haya adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se hayan aplicado a los datos personales afectados por la violación de la seguridad de los datos personales.
• La falta de cumplimiento de estos deberes de comunicación a la autoridad de control e interesado respectivamente constituyen infracciones graves, según dispone el art. 73 LOPDGDD.