Protección de Datos Personales en la UE

Questions and Answers

¿Cuál de las siguientes afirmaciones respecto al tratamiento de datos personales de salud es correcta?

• Los Estados miembros pueden imponer condiciones adicionales para el tratamiento de datos de salud. (correct)
• No se permite el tratamiento de datos de salud para fines de interés público.
• El consentimiento del interesado es la única forma de tratar datos de salud.
• El tratamiento de datos de salud no requiere ninguna medida de protección.

¿Qué define el término 'salud pública' según el Reglamento mencionado?

• El acceso a tratamientos médicos con costo mínimo.
• La regulación de las ganancias en el sector salud.
• Solo el estado de salud de los individuos.
• Todos los elementos relacionados con la salud de la población. (correct)

¿Qué se requiere para el tratamiento de categorías especiales de datos personales sin el consentimiento del interesado?

• Condiciones de interés privado.
• Un convenio internacional que lo respalde.
• Una autorización del empresario responsable.
• Razones de interés público en el ámbito de la salud pública. (correct)

¿Qué limitación se establece sobre el tratamiento de datos relativos a la salud por terceros?

No pueden tratarse con fines ajenos a la salud pública. (A)

¿Cuál es uno de los elementos que debe incluir la definición de salud pública?

Los recursos asignados a la asistencia sanitaria. (A)

¿Qué aspecto se ha de proteger al tratar datos de salud de acuerdo con el Reglamento?

Los derechos y libertades de las personas físicas. (C)

¿Qué tipo de datos personales requiere medidas específicas para su tratamiento?

Datos genéticos, biométricos y de salud. (A)

¿Qué debe garantizar el Derecho de la Unión o de los Estados miembros para el tratamiento de datos personales?

Protección de los derechos y datos personales de las personas. (C)

¿Cuál de las siguientes afirmaciones describe mejor la situación de la protección de datos en la Unión?

Existen riesgos importantes para la protección de los datos personales, especialmente en línea. (C)

¿Qué puede dificultar la libre circulación de datos personales en la Unión?

Las divergencias en la ejecución y aplicación de la Directiva 95/46/CE. (A)

¿Qué implica el derecho a la protección de datos de carácter personal en la Unión?

Un nivel uniforme y elevado de protección en todos los Estados miembros. (C)

¿Qué pueden hacer los Estados miembros en relación con el tratamiento de datos para el cumplimiento de una obligación legal?

Adoptar disposiciones nacionales para especificar la aplicación de las normas. (A)

¿Qué se busca evitar con la implementación de la Directiva 95/46/CE?

La fragmentación en la aplicación de la protección de datos. (D)

¿Por qué es necesario un nivel adecuado de protección en el tratamiento de datos personales?

Para garantizar la competencia y el ejercicio de actividades económicas. (D)

La aplicación de las normas de protección de datos en la Unión Europea debe ser...

Coherente y homogénea entre los Estados miembros. (A)

¿Cuál es uno de los principales objetivos de garantizar la protección de datos personales en la Unión?

Eliminar los obstáculos a la circulación de datos personales. (B)

¿Cuál de las siguientes afirmaciones es correcta respecto al tratamiento automatizado de datos personales?

Las decisiones automatizadas pueden afectar significativamente al interesado. (A)

¿Qué derecho NO se menciona como parte de las garantías apropiadas para el interesado?

Derecho a recibir compensación económica. (D)

¿En qué caso se puede permitir una decisión basada en el tratamiento automatizado?

Cuando se autoriza expresamente por la legislación de la Unión Europea. (A)

¿Qué tipo de datos pueden ser analizados mediante la elaboración de perfiles?

Datos personales sobre la situación económica y salud del interesado. (C)

Cuál de las siguientes afirmaciones sobre la denegación automática de solicitudes es incorrecta?

No puede causar efectos jurídicos en el interesado. (B)

¿Cuál de las siguientes situaciones permite el uso de decisiones automatizadas?

Cuando se cuenta con el consentimiento explícito del interesado. (C)

¿Qué consecuencias puede tener una medida que evalúe aspectos personales del interesado?

Puede afectar la capacidad del interesado para acceder a servicios. (A)

¿Cómo se define la elaboración de perfiles según el contenido?

Elaboración de datos que analizan el rendimiento en el trabajo. (A)

¿Cuál es la finalidad principal de evaluar el riesgo en el tratamiento de datos?

Demostrar el cumplimiento de las normativas. (C)

¿Qué aspectos deben considerarse al evaluar el riesgo relacionado con el tratamiento de datos?

Orígenes de los datos tratados y su gravedad. (B)

¿Cuáles son medidas apropiadas para garantizar la protección de datos personales?

Adopción de medidas técnicas y organizativas adecuadas. (B)

¿Qué tipo de buenas prácticas se pueden identificar para mitigar el riesgo en el tratamiento de datos?

Códigos de conducta y certificaciones aprobadas. (A)

¿Qué implica el principio de 'protección de datos desde el diseño'?

Incluir la protección de datos como un estándar desde el inicio de los proyectos. (B)

¿Qué puede hacer el Comité en relación con las operaciones de tratamiento de datos?

Emitir directrices sobre operaciones que no supongan alto riesgo. (C)

¿Cuál de las siguientes afirmaciones sobre la seudonimización es correcta?

Se utiliza para minimizar el riesgo asociado al tratamiento de datos. (C)

¿Qué medidas pueden ser suficientes para afrontar riesgos considerados improbables?

Tomar medidas proporcionales al nivel de riesgo evaluado. (A)

¿Cuáles son las características que deben ofrecer los encargados para garantizar el cumplimiento del Reglamento?

Todos los anteriores (B)

¿Qué tipo de acuerdo debe existir entre el responsable y el encargado del tratamiento?

Un contrato o acto jurídico vinculante (B)

¿Qué debe hacer el encargado una vez finalizado el tratamiento por cuenta del responsable?

Devolver o suprimir los datos personales (D)

¿Qué elementos puede incluir un contrato entre el responsable y el encargado?

La duración del tratamiento y el tipo de datos (A)

¿Qué obligación tienen los responsables y encargados en relación a la autoridad de control?

Compartir sus registros de actividades bajo solicitud (B)

¿Cómo puede servir la adhesión del encargado a un código de conducta aprobado?

Como prueba de cumplimiento de las obligaciones (B)

¿Qué se exige a los encargados respecto al tratamiento de datos personales?

Que cumplan con un mecanismo de certificación aprobado (D)

¿Cuál es un requisito de los registros de actividades de tratamiento?

Deben ser accesibles para la autoridad de control (A)

¿Qué aspecto es fundamental para garantizar la libre circulación de datos personales en la Unión?

Establecer un reglamento que ofrezca seguridad jurídica y transparencia (A)

¿Cómo se aplica la protección otorgada por el reglamento a las personas físicas?

Independientemente de su nacionalidad o lugar de residencia (C)

¿Qué consideración específica se hace para las microempresas y pymes en relación con el reglamento?

Se les permiten excepciones en la llevanza de registros (A)

¿Cuál es el objetivo principal de la supervisión del tratamiento de datos personales en los Estados miembros?

Asegurar sanciones equivalentes y cooperación efectiva entre autoridades de control (D)

¿Qué tipo de entidades no regula el presente reglamento en relación con el tratamiento de datos personales?

Personas jurídicas, como empresas (D)

Para cuál de las siguientes no se considera pertinente el reglamento en materia de protección de datos personales?

El tratamiento de datos relacionados con personas jurídicas (D)

¿Qué se busca evitar con la implementación de un reglamento único en el tratamiento de datos personales?

La heterogeneidad en el tratamiento de datos en Europa (D)

¿Qué disposición especial se proporciona en el reglamento para las microempresas y pequeñas y medianas empresas?

Una serie de excepciones en materia de llevanza de registros (D)

¿Qué elemento se debe considerar al evaluar la probabilidad de que se utilicen medios para identificar a una persona física?

Los costos y el tiempo necesarios para la identificación (D)

¿Cuál de las siguientes afirmaciones es verdadera respecto a la información anónima?

La información anónima puede ser utilizada para fines estadísticos (D)

¿Qué condición permite incentivar la aplicación de la seudonimización en el tratamiento de datos personales?

La posibilidad de un análisis general por el responsable del tratamiento (C)

¿Qué aspecto se excluye de la aplicación del presente Reglamento?

El tratamiento de datos personales de personas fallecidas (C)

¿Cuál es la principal finalidad de aplicar la seudonimización a los datos personales?

Reducir los riesgos y ayudar en el cumplimiento de obligaciones (D)

El Reglamento menciona que se deben tener en cuenta tanto los avances tecnológicos como:

Los factores objetivos en la identificación de personas (C)

¿Qué debe garantizar el responsable del tratamiento al aplicar medidas de seudonimización?

Mantenimiento de la información adicional para atribución (A)

¿Cuál es un factor clave que NO se considera para determinar si una persona es identificable?

La edad de la persona (B)

¿Qué se debe garantizar en relación con la información del interesado sobre sus derechos?

La aplicación de principios establecidos (A)

¿Cuál de las siguientes afirmaciones sobre el tratamiento de datos sensibles es correcta?

El tratamiento de datos sensibles puede conllevar riesgos significativos (B)

¿Qué se entiende por 'interés legítimo' en el contexto del tratamiento de datos?

Notificar malas prácticas por parte del responsable del tratamiento (B)

¿Qué prohibición se establece respecto al tratamiento de datos personales?

Transmitir datos si existe una obligación de secreto (A)

¿Cómo se consideran las fotografías en relación con el tratamiento de datos personales?

Pueden ser datos sensibles si permiten identificación unívoca (C)

¿Qué implicación tiene el uso del término 'origen racial' en el Reglamento?

Eliminación de la clasificación de razas (D)

¿Qué aspecto debe tener en cuenta el responsable del tratamiento al manejar datos sensibles?

Posibles riesgos para derechos fundamentales (A)

¿Qué derecho tienen los interesados en relación con el tratamiento de sus datos?

Derecho a la oposición al tratamiento de sus datos (D)

Qué situaciones no constituyen consentimiento en el tratamiento de datos personales?

Silencio o inacción del interesado. (B)

¿Qué aspecto es esencial para el consentimiento otorgado por el interesado en tratamientos de datos con múltiples fines?

Deberá proporcionarse consentimiento para cada fin específico. (A)

¿Cuál de las siguientes definiciones se aplica a los datos genéticos?

Datos personales obtenidos de análisis biológicos. (D)

Respecto a los datos relativos a la salud, ¿cuál de las siguientes afirmaciones es un error común?

Sólo son válidos si sólo se refieren a enfermedades incurables. (A)

¿Qué se requiere para el consentimiento en tratamientos de datos que involucren investigación científica?

El interesado debe poder dar consentimiento solo para áreas específicas. (A)

¿Cuál de las siguientes características debe tener la solicitud de consentimiento si se hace electrónicamente?

Debe ser clara, concisa y no interferir con el servicio. (C)

¿Qué característica no se menciona en la definición de datos genéticos?

Detalles sobre la salud mental de la persona. (A)

En el contexto de la investigación científica, ¿cuál es un aspecto crucial que debe respetarse al obtener consentimiento?

Las normas éticas reconocidas para la investigación científica deben ser respetadas. (B)

¿Cuál de las siguientes afirmaciones describe mejor el derecho de supresión de datos personales?

Los interesados pueden ejercer este derecho aunque ya no sean considerados niños. (D)

¿Qué condiciones permiten la retención de datos personales tras una solicitud de supresión?

Si la retención es necesaria para la defensa de reclamaciones. (A)

¿Qué debe hacer el responsable del tratamiento cuando se solicita la supresión de datos?

Contactar a todos los responsables que estén tratando los datos para que también los eliminen. (D)

¿Cuál de las siguientes opciones describe un método para limitar el tratamiento de datos personales?

Impedir el acceso a ciertos usuarios a datos específicos. (A)

¿Qué medida es considerada razonable para informar sobre la solicitud de supresión a otros responsables del tratamiento?

Usar un protocolo técnico conforme a la tecnología disponible. (A)

En caso de que un interesado decida suprimir sus datos personales, ¿cuál es una de las excepciones a esta acción?

Los datos utilizados para fines de archivo histórico. (C)

¿Qué deben considerar los responsables al tomar decisiones sobre el tratamiento de datos personales?

Los riesgos asociados y los derechos del interesado. (C)

¿Cuál es un factor clave en la implementación del 'derecho al olvido'?

La responsabilidad de todos los que tratan datos a informar sobre la supresión. (D)

¿Bajo qué condiciones puede el interesado solicitar la supresión de sus datos personales sin comprometer la ejecución de un contrato?

Cuando los datos no son necesarios para el cumplimiento de una obligación legal. (A)

¿Quién debe demostrar que los intereses legítimos prevalecen sobre los derechos del interesado en el tratamiento de sus datos personales?

El responsable del tratamiento. (C)

¿Cuál de las siguientes afirmaciones describe mejor el derecho del interesado en relación a la mercadotecnia directa?

El interesado puede oponerse en cualquier momento y sin coste alguno. (A)

¿Qué derecho tiene el interesado respecto a la transmisión de sus datos personales entre responsables del tratamiento?

Tiene el derecho de que los datos se transmitan directamente si es técnicamente posible. (C)

¿Qué debe hacerse al comunicar el derecho de oposición al interesado en el tratamiento de sus datos personales?

Ser presentado sin coste alguno y de manera clara y explícita. (C)

¿Cuál de las siguientes afirmaciones describe mejor la compatibilidad del tratamiento ulterior de datos personales?

El tratamiento ulterior debe ser evaluado en función del contexto y expectativas razonables del interesado. (A)

¿Qué elemento es fundamental para determinar la compatibilidad del tratamiento ulterior con el tratamiento original?

El contexto en el cual se recogieron los datos. (B)

¿Cuál de los siguientes aspectos no se considera al evaluar la licitud del tratamiento ulterior?

Las implicaciones financieras para el responsable. (C)

¿Cuál es la responsabilidad del encargado del tratamiento al finalizar su tarea?

Informar al responsable sobre cualquier incumplimiento (C)

¿Cuándo está facultado un responsable del tratamiento para realizar el tratamiento ulterior de los datos personales?

Si el tratamiento se basa en una necesidad y proporcionalidad en una sociedad democrática. (D)

¿Cuál de los siguientes aspectos es esencial para asegurar la seguridad y confidencialidad de los datos personales?

Medidas razonables para prevenir accesos no autorizados (A)

Para que el tratamiento de datos personales sea lícito, ¿qué es necesario obtener del interesado?

Consentimiento explícito (A)

¿Cuál de las siguientes opciones sobre los fines de investigación científica es correcta en relación con el tratamiento de datos personales?

Se consideran como operaciones de tratamiento lícitas compatibles. (B)

¿Qué relación debe existir entre los fines del tratamiento original y el tratamiento ulterior según el contenido?

Deben tener alguna relación para evaluarse como compatibles. (C)

¿Qué característica debe tener una base legal o medida legislativa según el reglamento?

Debe ser clara y predecible para sus destinatarios (B)

Al evaluar la ley aplicable para el tratamiento de datos personales, ¿qué se debe considerar?

Las leyes de la Unión Europea y de los Estados miembros. (A)

En caso de tratar datos sin el consentimiento del interesado, ¿qué alternativa es válida según el reglamento?

Obligación legal aplicable (D)

¿Cuál es uno de los principios que debe considerar el responsable del tratamiento en relación a los datos personales?

Garantizar que los datos sean exactos y rectificados (B)

¿Cuál de los siguientes considera el responsable del tratamiento al evaluar el tratamiento ulterior?

Las consecuencias para los interesados del tratamiento ulterior previsto. (C)

¿Cuál es la obligación del responsable del tratamiento respecto a la demostración del consentimiento?

Debe recoger pruebas tangibles del consentimiento (B)

¿Qué aspecto deben cumplir las medidas de seguridad al tratar datos personales?

Ser adecuadas, relativas a los riesgos potenciales (D)

¿Qué debe incluir el tratamiento automatizado de datos para garantizar adecuadamente los derechos del interesado?

La posibilidad de intervención humana (C)

¿En qué situación se puede permitir decisiones automatizadas basadas en el tratamiento de datos personales?

Cuando está autorizado por la legislación aplicable (B)

¿Cuál de las siguientes afirmaciones sobre la elaboración de perfiles en el tratamiento de datos es correcta?

Puede tener efectos jurídicos en el interesado (C)

¿Qué condición exime al responsable del tratamiento de designar a un representante en la Unión?

El tratamiento es ocasional y no implica gran escala. (D)

¿Cuál es la función principal del representante designado por el responsable del tratamiento?

Representar al responsable ante las autoridades de control. (A)

¿Cuál es uno de los efectos significativos que puede tener una decisión automatizada sobre el interesado?

Afectar negativamente a la situación económica del interesado (D)

Además del consentimiento del interesado, ¿qué otro requisito se menciona para permitir la elaboración de perfiles?

Cumplimiento de regulaciones de control y prevención (C)

¿Qué responsabilidad sigue vigente aún después de designar un representante?

El responsable mantiene la responsabilidad sobre el tratamiento. (C)

¿Qué aspecto se considera al determinar si se debe designar un representante?

La naturaleza y contexto del tratamiento de datos. (C)

¿Qué derecho tiene el interesado en relación con las decisiones que le afecten significativamente?

Derecho a obtener información específica sobre el tratamiento (C)

¿Qué tipo de decisiones no deben estar basadas únicamente en el tratamiento automatizado de datos personales?

Decisiones que tienen efectos jurídicos significativos (D)

¿Qué características debe tener el representante designado?

Debe estar sujeto a medidas coercitivas por incumplimiento. (C)

¿Cuál de las siguientes medidas es importante para proteger al interesado cuando se realizan evaluaciones automatizadas?

Proporcionar una explicación de la decisión tomada (D)

¿Qué situaciones hacen improbable que se requiera un representante para el tratamiento de datos?

El tratamiento es puntual y no conlleva riesgos significativos. (A)

¿Cuál de las siguientes afirmaciones es correcta sobre el mandato del representante?

El mandato debe ser expreso y por escrito. (D)

¿Qué implica el incumplimiento de la designación del representante en el tratamiento de datos?

Puede resultar en sanciones para el responsable o encargado. (A)

¿Cuál es la función principal del Responsable Ejecutivo de Tratament?

Garantizar el cumplimiento de las obligaciones legales y reglamentarias en su área. (A)

¿Qué acción debe realizar el Responsable Ejecutivo de Tractament respecto a los datos personales?

Establecer acuerdos de coresponsabilitat con otros responsables. (C)

¿Qué implica la responsabilidad del Responsable Ejecutivo de Tractament sobre los nuevos tratamientos de datos?

Debe garantizar que se cumplan los requisitos legales en todos los casos. (C)

¿Cuál de las siguientes acciones es responsable el Responsable Ejecutivo de Tractament al gestionar el acceso a datos personales?

Formalizar acuerdos de tratamiento para acceso a terceros de acuerdo con la normativa. (B)

¿Qué deben establecer las medidas organizativas y técnicas que el Responsable Ejecutivo de Tractament debe implantar?

Mecanismos de seguimiento que deben ser informados por los órganos competentes. (A)

¿Qué consideración importante debe tener el Responsable Ejecutivo al tratar datos de carácter personal?

La evaluación de riesgos que puedan afectar a los derechos y libertades de las personas. (C)

¿Cómo debe el Responsable Ejecutivo de Tractament actuar con respecto a las políticas de seguridad?

Actuar de conformidad con las políticas de seguridad aprobadas. (A)

¿Qué responsabilidad específica tiene el Responsable de Tractament en relación con la creación del Registre de Tractaments?

Es responsable de asegurar la consideración de todos los tratamientos en su área. (B)

¿Cuál es uno de los objetivos del documento de evaluación de nuevos tratamientos?

Determinar la necesidad de una evaluación de impacto (B)

¿Qué debe solicitar el Delegado de Protección de Datos a la Direcció dels Serveis Jurídics?

Un informe sobre la competencia de la Gerència (A)

¿Qué información debe recoger el Registre de Tractaments sobre el responsable del tratamiento?

Responsable y, si escau, corresponsable y Delegat de Protecció de Dades. (A)

¿Cuál es una de las finalidades de la inscripción en el Registre de Tractaments?

Asegurar la transparencia del tratamiento de datos personales. (B)

¿Qué ocurre una vez recogida toda la documentación requerida?

Se emite un informe sobre la adecuación del tratamiento (C)

¿Cuál es el procedimiento para modificar un tratamiento de datos ya inscrito?

Presentar un informe justificativo de la Gerència (B)

¿Qué documentación es necesaria para el alta de un nuevo tratamiento de datos?

Un informe justificatiu de la Gerència i un Document d’avaluació. (D)

¿Qué debe hacerse después de emitir la resolución de creación del nuevo tratamiento?

Inscribir el nuevo tratamiento en el Registre d’Activitats de Tractament (A)

¿Qué debe incluir el informe justificativo para el alta de un nuevo tratamiento?

La proposta de mesures de seguretat i la identificació de afectats. (A)

¿Qué categorías de información deben constar en el Registre de Tractaments?

Categorías de dades personals, categories d’afectats i destinataris. (D)

¿Qué informes son necesarios para determinar la viabilidad técnica de un proyecto?

Informe a l'Institut Municipal d’Informàtica (B)

¿Cuál es la duración mínima que debe tener la información pública sobre un nuevo tratamiento?

10 días (B)

¿Qué acción puede llevar a cabo el Delegat de Protecció de Dades en relación al Registre d’Activitats de Tractament?

Realizar auditorías sobre el cumplimento del registro. (D)

¿Qué aspecto se debe incluir en la propuesta de clàusules informatives?

La duración de tratamiento de datos (B)

¿Qué se requiere para la modificación o supresión de un tratamiento en el Registre?

Informes justificativos adicionales y cumplimiento de procedimientos. (A)

¿Cuál de las siguientes afirmaciones sobre las medidas técnicas y organizativas de seguridad es correcta?

Deben ser descritas, siempre que sea posible, en función del riesgo asociado. (C)

¿Cuál es el primer paso en el procedimiento de supresión de un tratamiento de datos ya inscrito?

Enviar un informe justificativo de la Gerencia. (A)

¿Qué debe incluir el informe justificativo al solicitar la supresión del tratamiento de datos?

Los motivos de la supresión y su impacto en los datos. (A)

En caso de que la supresión pueda afectar a intereses de terceros, ¿qué es necesario hacer antes de su resolución definitiva?

Someter la supresión a información pública. (A)

¿Qué acción debe realizar el Delegado de Protección de Datos tras recibir una petición de ejercicio de derechos por parte de la ciudadanía?

Identificar a los Responsables ejecutivos del tratamiento. (A)

¿Quién es responsable de llevar a cabo la Avaluació d’Impacte de Protección de Dades una vez se determina su necesidad?

El Responsable Executiu del Tractament. (C)

Qué acción debe realizar el Responsable de Seguridad Técnica en caso de una incidencia?

Documentar la incidencia en el Registro de Incidències. (D)

¿Cuál de las siguientes es una consecuencia de la falta de evaluación de impacto en un tratamiento considerado de ‘Alt riesgo’?

Se podría comprometer la seguridad de los datos registrados. (B)

Cuál es el papel del Responsable Executiu de Tractament en la resolución de una brecha de seguridad?

Comprobar la efectividad de las medidas correctivas. (C)

¿Qué debe hacer el Responsable Executiu del Tractament luego de realizar la Avaluació d’Impacte?

Presentar el resultado al Delegat de Protecció de Dades. (B)

Qué se debe evitar al relatar un incidente y su resolución?

Repetir las medidas que causaron el incidente. (B)

¿Qué se debe hacer una vez identificados los Responsables ejecutivos tras una petición de derechos?

Remitir la petición a los Referents correspondientes. (B)

Qué implica el Decret d'Alcaldia sobre las competencias de los Responsables Executius de Tractament?

Delegar competencias para manejar directamente los tratamientos de datos. (D)

Qué debe hacerse con los tratamientos ya existentes en relación al RGPD?

Incorporarlos al Registre de Tractaments adecuándolos a los nuevos requerimientos. (D)

¿Cuál es el plazo máximo para que el Delegado de Protección de Datos responda a la persona interesada tras recibir su petición?

Dos meses (D)

¿Qué debe hacer la Gerència de Recursos cuando el ejercicio de derechos afecta a diferentes Responsables Ejecutius?

Coordinar la respuesta con el Delegado de Protección de Datos (A)

¿Quién es responsable de tramitar los requerimientos de información de la Autoridad Catalana de Protección de Datos?

El Referent de la Gerència afectada (C)

¿A quién debe ser elevada la propuesta de respuesta elaborada por el Referent tras el requerimiento?

Al Responsable Ejecutivo de Tractament (B)

¿Qué acción debe tomar el Delegado de Protección de Datos al recibir la respuesta elaborada?

Notificarla a la autoridad competente (A)

¿Qué sucede si la persona interesada considera que no ha recibido una respuesta satisfactoria?

Puede acudir al Delegado de Protección de Datos antes de presentar una reclamación (C)

¿Qué debe incluir la respuesta elaborada por el Referent al requerimiento de información?

Asesoramiento del Delegado de Protección de Datos y Servicios Jurídicos (D)

¿Cuál es el propósito principal de la celeridad en la comunicación de requerimientos por los Responsables Ejecutius?

Agilizar la respuesta a la Autoridad de control (B)

Flashcards

Data Protection Directive 95/46/EC

EU law that previously protected personal data, but lacked uniform application across member states, leading to legal uncertainty and privacy risks, particularly online.

Unified Data Protection

The EU's goal to achieve a consistent high level of personal data protection across all member states to facilitate free flow of information.

Data Protection Fundamental Rights

EU data protection norms must be implemented consistently and harmoniously across member states, allowing for necessary national specifications in specific situations (legal obligations, public interest, public powers).

Harmonized Health Data Protection

EU aims for coordinated guidelines on protecting health-related personal data.

Special Categories of Data

Data deemed sensitive or requiring additional protection, such as genetic, biometric, or health data.

Automated Decision-Making

EU regulations prohibit decisions based solely on automated processing that have legal effects or significantly impact individuals, including profiling.

Public Health Data

Data use for public health purposes in special cases, like health crises, without requiring consent.

Data Minimization

Data collection and storage should be minimized to only what is necessary for the intended purpose.

Data Minimization and Purpose Limitation

Processing must be limited to the original defined purposes of the data collection; further processing must be compatible.

Data Security and Integrity Measures

Technical protections safeguarding data against unauthorized access, use, or modification; must meet compliance with data protection.

EU Data Protection Representative

Designated contact in the EU for non-EU-based data processors handling data related to EU residents.

Data Subject's Right to Erasure

The right to request the deletion of personal data, unless it is needed for contract fulfillment or legal compliance.

Data Subject's Right to Objection

The right to oppose data processing, especially when it is based on legitimate interests.

Data Subject's Right to Data Portability

The right to receive and reuse personal data in a structured, commonly used format, for a specific request.

Consent for Data Processing

Explicit, unambiguous, and freely given agreement to processing personal data, not implicit, via pre-ticked boxes, or silence.

Responsable Executiu de Tractament

Persona responsable dels tractaments de dades dins d'una àrea o sector municipal, garantint el compliment de les obligacions legals.

Registre de Tractaments

Llista dels tractaments de dades personals

Obligacions legals (protecció de dades)

Normes que regula i limita el tractament de dades personals.

Tractament de dades (personal)

Qualsevol operació o conjunt d'operacions que s'apliquen a les dades personals.

Funcions Responsable Executiu

Donar d'alta, modificar o suprimir tractaments. Complir amb les polítiques de seguretat. Elaborar i implantar mesures tècniques i organitzatives. i Establir acords de coresponsabilitat.

Coresponsabilitat

Acord entre varies persones responsables del tractament de dades personal.

Avaluació de risc

Anàlisi de les dades personals per a identificar i avaluar potencial perjudicis.

Encàrrecs de tractament

Delegar la responsabilitat de processar dades a tercers.

Registre de Tractaments

Un registre públic que documenta tots els tractaments de dades personals realitzats per l'Ajuntament de Barcelona.

Responsable executiu

La persona o entitat responsable de l'execució del tractament de dades.

Finalitats del tractament

Els motius pels quals es tracten les dades.

Legitimació del tractament

La base legal o justificació per tractar les dades personals.

Categories de dades personals

Tipus de dades personals que es tracten.

Categories d'afectats

Grups de persones de les quals es recullen les dades.

Mesures de seguretat

Procediments tècnics i organitzatius per protegir les dades.

Destinataris de comunicacions

Entitats que reben les dades.

Terminis de supressió

Període durant el qual es mantenen les dades.

Informe Justificatiu

Document que justifica la necessitat d'un nou tractament de dades.

Document d'avaluació

Document que detalla l'avaluació de risc associada al nou tractament.

Proceso de nuevo tratamiento

Procedimiento para identificar, evaluar y aprobar nuevos tratamientos de datos personales, incluyendo la seguridad y el registro.

Evaluación de riesgos

Análisis preliminar de los riesgos inherentes al tratamiento de datos personales para determinar la necesidad de una evaluación de impacto.

Nivel de clasificación de seguridad

Determinación de las medidas técnicas de seguridad necesarias basadas en los riesgos para proteger los derechos y libertades de las personas.

Informe de la Dirección de Servicios Jurídicos

Informe requerido por el Delegado de Protección de Datos para determinar la competencia, base legal del tratamiento y la propuesta de cláusulas sobre el consentimiento.

Informe del Instituto Municipal de Informática

Informe requerido para valorar la viabilidad técnica de un proyecto o tratamiento de datos.

Informe del Delegado de Protección de Datos

Evaluación final sobre la adecuación del tratamiento a la normativa de protección de datos.

Información Pública

Periodo en el que se publica el nuevo tratamiento para que cualquier persona pueda realizar observaciones o alegaciones.

Modificación de tratamientos

Procedimiento para modificar un tratamiento de datos personales ya inscrito.

Informe justificativo

Documento que detalla los motivos y justificación para modificar un tratamiento de datos personales existente.

Informe Justificatiu de Supressió

Documento que justifica la eliminación de un tratamiento de datos personales. Explica por qué ya no es necesario y cómo afecta a los datos involucrados (eliminación, bloqueo o conservación temporal).

Delegat de Protecció de Dades

Persona encargada de la protección de datos personales en una organización, que evalúa los informes justificativos.

Supresión de Tractament

Proceso de eliminar un tratamiento de datos personales del registro.

Avaluació d'Impacte de Protecció de Dades

Evaluación previa para determinar el impacto de un nuevo tratamiento de datos o modificación de existentes, en situaciones de alto riesgo.

Responsable Executiu

Persona encargada de llevar a cabo la Avaluació d'Impacte de Protecció de Dades.

Petició d'Exercici de Drets

Solicitud de los ciudadanos para ejercer sus derechos relacionados con sus datos personales.

Oficina del Delegat de Protecció de Dades

Departamento o servicio encargado de la gestión de las peticiones de ejercicio de derechos relacionadas con la protección de datos.

Responsable Ejecutivo del Tratamiento

Persona o entidad responsable de la ejecución de un tratamiento de datos dentro de un área o sector municipal, asegurando el cumplimiento legal.

Notificación de Resoluciones

Comunicación obligatoria de las decisiones tomadas sobre solicitudes de derechos a las personas implicadas, dentro de los plazos establecidos.

Coordinación de Resoluciones (múltiples Responsables)

Proceso centralizado por la Gerencia cuando varias personas son responsables, para la toma de decisiones armonizadas y posterior notificación.

Delegado de Protección de Datos

Persona encargada de velar por el correcto cumplimiento de la normativa de protección de datos personales en una organización.

Requerimientos de la Autoridad Catalana de Protección de Datos

Peticiones de información por parte de la entidad reguladora sobre un determinado tratamiento de datos.

Tramitación de Requerimientos

Proceso de atención y respuesta a las peticiones de la Autoridad de Protección de Datos.

Notificación de Brechas de Seguridad

Procedimiento para comunicar incidencias o vulnerabilidades a la seguridad de datos, incluyendo la información personal de terceros

Responsable Executiu de Tractament

Persona responsable dels tractaments de dades personals en un àmbit municipal.

Registre de Tractaments

Llista de tots els tractaments de dades personals de l'Ajuntament.

Resposta a Incidència

Procediment per gestionar un incident de seguretat, minimitzar el dany i restablir el servei.

Mesures Correctores

Accions preses per solucionar una bretxa de seguretat i minimitzar riscos futurs.

Incidència

Un problema o interrupció en el funcionament d'un sistema.

Mitigació

Accions per reduir l'impacte d'un problema o incident.

Alta de tractaments

Procés d'inici d'un nou tractament de dades.

Modificació de tractaments

Canvis en un tractament de dades existent.

Supressió de tractaments

Eliminació d'un tractament de dades.

Study Notes

### Necesidad Protección Datos Personales

• La Directiva 95/46/CE ya protegía los datos personales, pero la aplicación fragmentada en la Unión Europea ha generado inseguridad jurídica y riesgos para la protección de la privacidad, especialmente en línea
• Las diferencias en la protección de datos en los estados miembros impiden la libre circulación de información personal, generando obstáculos al mercado único europeo y al desarrollo de las empresas.
• Para unificar la protección de datos en la Unión Europea, se necesita un nivel alto y uniforme de protección de los datos personales en todos los estados miembros.

### Garantizar Protección de los Derechos Fundamentales

• La aplicación de las normas de protección de datos debe ser coherente y homogénea en la Unión Europea
• Los estados miembros pueden mantener o adoptar disposiciones nacionales para especificar con mayor detalle la aplicación de las normas en el Reglamento, especialmente cuando se trata de cumplir con una obligación legal, una misión de interés público o en el ejercicio de poderes públicos.
• La Unión Europea debe establecer condiciones armonizadas para la protección de datos relativos a la salud.
• El Derecho de la Unión Europea o de los estados miembros debe establecer medidas específicas y adecuadas para proteger los datos personales de las personas físicas.
• Los estados miembros pueden establecer condiciones adicionales, incluyendo limitaciones, con respecto al tratamiento de datos genéticos, biométricos o de salud, pero no deben impedir la libre circulación de datos personales entre los estados miembros.

### Tratamiento de datos personales para la salud pública

• El tratamiento de categorías especiales de datos personales, sin el consentimiento, puede ser necesario por razones de interés público en el ámbito de la salud pública.
• El tratamiento debe estar sujeto a medidas adecuadas y específicas para proteger los derechos y libertades de las personas físicas.
• "Salud pública" se define como todos los elementos relacionados con la salud, incluyendo el estado de salud, las necesidades de atención médica, los recursos asignados a la salud pública, el acceso a la salud y los gastos y financiación de la salud.
• El tratamiento de datos de salud por razones de interés público no permite que terceros, como empresas, compañías de seguros o entidades bancarias, los utilicen para otros fines.

### Protección frente a decisiones automatizadas

• Las personas deben tener derecho a no ser objeto de decisiones automatizadas que puedan tener efectos jurídicos o afectarles significativamente.
• Este tipo de tratamiento incluye la elaboración de perfiles, que evalúa aspectos personales de una persona física, para analizar o predecir su comportamiento.
• Se permiten las decisiones basadas en el tratamiento automatizado si están autorizadas por el Derecho de la Unión o de los estados miembros, por ejemplo para el control y prevención del fraude o para garantizar la seguridad de un servicio.
• En estos casos, el tratamiento debe contar con garantías apropiadas, como informar al interesado, permitir la intervención humana, dar la oportunidad de expresar su punto de vista, recibir una explicación de la decisión y poder impugnarla.

### Medidas técnicas y organizativas

• La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales requiere medidas técnicas y organizativas apropiadas para garantizar el cumplimiento del Reglamento.
• El responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan con los principios de protección de datos desde el diseño, incluyendo la reducción al mínimo del tratamiento de datos, la seudonimización de los datos y la transparencia en las funciones y el tratamiento de datos.
• Para garantizar el cumplimiento del Reglamento, el responsable del tratamiento debe recurrir a encargados que ofrezcan suficientes garantías de seguridad y fiabilidad, como adherence a códigos de conducta o mecanismos de certificación.
• Las actividades del encargado deben regirse por un contrato u otro acto jurídico que defina el objeto y la duración del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las categorías de interesados.
• Una vez finalizado el tratamiento, el encargado debe devolver o suprimir los datos personales, salvo que el Derecho de la Unión o de los estados miembros obligue a conservar los datos.
• El responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad para facilitar la supervisión de las operaciones de tratamiento.

Protección de Datos Personales en la Unión Europea

• Objetivo principal: Garantizar un nivel coherente de protección de datos personales en toda la Unión Europea, evitando divergencias que dificulten la libre circulación de datos dentro del mercado interior.

• Reglamento aplica a: Personas físicas, independientemente de su nacionalidad o lugar de residencia.

• Exclusión: No regula el tratamiento de datos personales relativos a personas jurídicas (empresas), con excepción del nombre, forma jurídica y datos de contacto.

• Definición de Datos Personales: Incluye información que puede identificar a una persona, considerando medios y tecnologías disponibles.

• Información anónima: El Reglamento no se aplica a datos anónimos, incluyendo aquellos convertidos en anónimos.

• Datos de personas fallecidas: El tratamiento de estos datos es competencia de los Estados miembros.

• seudonimización: La seudonimización puede reducir riesgos para los interesados, pero no excluye otras medidas de protección de datos.

• Consentimiento: Debe ser libre, específico, informado y unívoco. El silencio, las casillas premarcadas o la inacción no constituyen consentimiento.

• Consentimiento para investigación científica: Se permite el consentimiento para áreas generales de investigación, respetando normas éticas.

• Datos genéticos: Incluye datos personales relacionados con características genéticas, sean heredadas o adquiridas.

• Datos de salud: Incluye todos los datos que revelen el estado de salud físico o mental pasado, presente o futuro.

• Interés legítimo: Se considera un interés legítimo del responsable del tratamiento la transmisión de información a la autoridad competente sobre posibles delitos o amenazas a la seguridad pública.

• Categorías especiales de datos: Los datos sensibles, como el origen racial o étnico, requieren protección adicional.

• Tratamiento de fotografías: No se les considera automáticamente categorías especiales de datos, solo si se usan con medios técnicos que permitan la identificación única de una persona.

• Derecho al olvido: El interesado puede solicitar la supresión de datos publicados en internet, incluyendo la eliminación de enlaces o copias.

• Limitación del tratamiento: Se refiere a la posibilidad de trasladar temporalmente los datos, impedir el acceso a ellos o eliminarlos temporalmente de un sitio web.

Tratamiento de Datos Personales

• Los responsables del tratamiento deben establecer plazos para la supresión o revisión periódica de los datos personales, asegurando que no se conserven más tiempo del necesario.
• Los datos personales deben ser tratados de manera confidencial y segura, con medidas para evitar el acceso o uso no autorizado.

Bases Legales para el Tratamiento

• El tratamiento de datos personales debe basarse en el consentimiento del interesado o en una base legítima establecida por la legislación, como el cumplimiento de obligaciones legales, la ejecución de un contrato o la toma de medidas a petición del interesado.
• La base jurídica debe ser clara, precisa y previsible para sus destinatarios.

Consentimiento

• Si el tratamiento se realiza con el consentimiento del interesado, el responsable debe poder demostrar que éste ha dado su consentimiento al tratamiento.
• El consentimiento debe ser válido durante un período de tiempo específico y el interesado debe tener derecho a retirarlo en cualquier momento.

Tratamiento Ulterior

• El tratamiento ulterior de los datos personales debe ser compatible con el fin de la recogida inicial de los datos.
• El responsable del tratamiento debe tener en cuenta, entre otras cosas, la relación entre los fines del tratamiento original y ulterior, el contexto de la recogida de los datos y las expectativas razonables del interesado.
• Si el interesado dio su consentimiento o el tratamiento se basa en el Derecho de la Unión o de los Estados miembros, el responsable puede tratar los datos con independencia de la compatibilidad de los fines.

Derecho a la Supresión

• El interesado tiene derecho a la supresión de sus datos personales, excepto cuando los datos son necesarios para la ejecución de un contrato o para el cumplimiento de obligaciones legales.
• El interesado también tiene derecho a que sus datos personales se transmitan directamente de un responsable a otro.

Derecho a Oponerse

• El interesado tiene derecho a oponerse al tratamiento de sus datos personales en determinadas circunstancias, como cuando el tratamiento se basa en intereses legítimos del responsable o de un tercero.
• El responsable debe demostrar que sus intereses legítimos imperiosos prevalecen sobre los derechos del interesado.

Mercadotecnia Directa

• El interesado tiene derecho a oponerse al tratamiento de sus datos para fines de mercadotecnia directa, incluyendo la elaboración de perfiles relacionada con dicha mercadotecnia.

Toma de Decisiones Automatizadas

• El interesado tiene derecho a no ser objeto de una decisión que se base únicamente en el tratamiento automatizado y que pueda producir efectos legales o afectarle significativamente.
• Este derecho no se aplica a decisiones autorizadas por la legislación, como las realizadas para prevenir el fraude o garantizar la seguridad de un servicio.
• En cualquier caso, el interesado tiene derecho a la intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión y a impugnarla.

Representante en la Unión Europea

• Los responsables o encargados del tratamiento no establecidos en la Unión Europea que tratan datos de personas que residen en la Unión deben designar un representante en la Unión, a menos que el tratamiento sea ocasional y no implique el tratamiento a gran escala de categorías especiales de datos o datos relacionados con condenas e infracciones penales.
• El representante debe actuar por cuenta del responsable o encargado y cooperar con las autoridades de control para garantizar el cumplimiento del Reglamento General de Protección de Datos.

Description

Este quiz aborda la necesidad de una protección uniforme de los datos personales en la Unión Europea. Se examinan las implicaciones de la Directiva 95/46/CE y los obstáculos que presentan las diferencias entre estados miembros. Además, se discute la importancia de garantizar los derechos fundamentales en la aplicación de las normas de protección de datos.