Unidad 1: Normativa de Protección de Datos de Carácter Personal

Questions and Answers

¿Quiénes estarán obligados a llevar un Registro de Actividades de los tratamientos de datos según el RGPD?

Ambas opciones anteriores

¿Qué es la protección de datos desde el diseño?

Incluir los principios de protección de datos dentro de las organizaciones desde el momento en que se diseña, se pone en práctica y se finaliza el tratamiento.

¿Qué establece la protección de datos por defecto según el RGPD?

Aplicar medidas técnicas y organizativas para que solo se traten los datos personales realmente necesarios para cada fin específico del tratamiento.

¿Quiénes están obligados a llevar un Registro de Actividades de los tratamientos de datos, según el texto?

Responsables y encargados de tratamiento con más de 250 trabajadores

¿Qué objetivo tiene la protección de datos desde el diseño y por defecto según el RGPD?

Incluir los principios de protección de datos dentro de las organizaciones a lo largo de toda la vida del tratamiento.

La protección de datos por defecto establece que se deben aplicar medidas para que solo sean objeto de tratamiento los datos personales realmente necesarios.

True

¿A quiénes aplica el Reglamento General de Protección de Datos (RGPD)?

Personas físicas independientemente de su nacionalidad

El consentimiento tácito es válido según el RGPD.

False

¿Cuál es la edad mínima en España para que un menor de edad pueda dar su consentimiento sin asistencia?

14 años

Los datos __________ y genéticos se consideran como datos sensibles si son tratados con medios técnicos específicos que permitan la identificación o autenticación de forma unívoca al interesado.

biométricos

¿Qué información fija se debe facilitar en una cláusula de protección de datos?

Datos del responsable, finalidad y base jurídica del tratamiento, plazo de conservación, ejercicio de derechos, posibilidad de revocar el consentimiento y posibilidad de reclamación.

¿Qué aspectos debe incluir un derecho de acceso según el RGPD?

Finalidad del tratamiento, categoría del dato tratado, destinatarios, plazo de conservación, existencia del derecho a rectificar, suprimir, limitar u oponerse al tratamiento, reclamación, origen de la fuente de obtención del dato, existencia de decisiones individuales automatizadas y transferencias internacionales con garantías.

¿Qué se debe facilitar al interesado al ejercer el derecho de acceso de forma sencilla según el RGPD?

Copia de los datos de tratamiento

¿Qué tipo de información fija se debe facilitar en una cláusula de información?

Datos del responsable, finalidad y base jurídica del tratamiento, plazo de conservación, ejercicio de derechos, posibilidad de revocar el consentimiento y posibilidad de reclamación.

¿Cuál es el alcance del derecho de acceso según el RGPD?

Finalidad del tratamiento, categoría del dato tratado, destinatarios, plazo de conservación, existencia del derecho a rectificar, suprimir, limitar u oponerse al tratamiento, reclamación, origen de la fuente de obtención del dato, existencia de decisiones individuales automatizadas y elaboración de perfiles, transferencias internacionales y garantías implantadas.

¿Qué debe facilitarse para cumplir con el derecho de acceso de acuerdo con el RGPD?

Copia de los datos objeto de tratamiento de forma sencilla

Study Notes

Unidad 1: Normativa de Protección de Datos de Carácter Personal

• Introducción:
  • El derecho a la protección de datos personales deriva directamente del derecho fundamental a la intimidad, recogido en la Constitución Española.
  • La normativa española de protección de datos garantiza y protege a los ciudadanos sus derechos fundamentales, en lo concerniente al tratamiento de datos personales, especialmente de su honor e intimidad personal y familiar.

1.1 Legislación

• El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD), establece las normas sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
• La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y Garantías de los Derechos Digitales (LOPDGDD), derogó la antigua Ley Orgánica 15/1999.

1.2 El RGPD y su aplicación directa

• El RGPD entró en vigor el 24 de mayo de 2016, pero es de aplicación obligatoria para todos los Estados miembros desde el 25 de mayo de 2018.
• El RGPD es de aplicación directa sin necesidad de que sea transpuesto por las normas nacionales de los Estados.

1.3 Objeto y ámbito de aplicación

• El objeto del RGPD es la protección de los derechos y libertades fundamentales de las personas físicas, y la libre circulación de datos personales en territorio de la UE.
• El RGPD es aplicable tanto al tratamiento automatizado como al tratamiento manual, siempre y cuando estos últimos estén estructurados con arreglo a unos criterios específicos de organización.
• El RGPD no se aplica a las actividades domésticas o destinadas a la seguridad nacional.

1.3.2 Ámbito de aplicación material

• El RGPD se aplica a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales.
• El RGPD excluye del ámbito de aplicación a las personas fallecidas, pero habilita a los Estados miembros para regular el tratamiento de sus datos.

1.3.3 Ámbito de aplicación territorial

• El RGPD se aplica a las organizaciones o empresas extranjeras que ofrezcan productos o servicios a ciudadanos europeos.
• Si una organización no establecida en la UE está procesando los datos personales de ciudadanos de la UE, deberá cumplir plenamente con el contenido del RGPD.### Reglamento General de Protección de Datos (RGPD)
• Se aplica a las personas físicas, independientemente de su nacionalidad o lugar de residencia, en relación con el tratamiento de sus datos personales.
• No se aplica a las personas jurídicas, pero sí a las personas físicas que prestan servicios en ellas.
• No se aplica a actividades personales o domésticas, ni a personas fallecidas, excepto en relación con el ejercicio de los derechos de acceso, rectificación y supresión.

Definición de Dato Personal

• Información sobre una persona física identificada o identificable.
• Identificación de una persona a los efectos de protección de datos se realiza cuando puede determinarse la identidad directa o indirectamente a través de:
  • Elementos propios de la identidad física, fisiológica, psíquica, económica y cultural o social.
  • Identificadores como el nombre, un número de identificación, datos de localización o un identificador en línea.

Seudonimización VS Anonimización

• La seudonimización no implica una completa anonimización de los datos, ya que existe siempre la posibilidad de identificar al interesado a través de información adicional.
• La seudonimización no excluye del ámbito de aplicación del RGPD.
• El RGPD recomienda a las organizaciones aplicar la seudonimización, ya que facilita el tratamiento de datos personales con fines científicos, históricos y estadísticos o para otras finalidades distintas de las originales.

Datos Genéticos y Biométricos

• Dato Genético: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona.
• Dato Biométrico: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona.

Principios Relativos al Tratamiento de Datos Personales

• Licitud, lealtad y transparencia: los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado.
• Minimización de datos: los datos personales deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
• Limitación de la finalidad: los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
• Exactitud: los datos personales serán exactos y, si fuera necesario, actualizados.
• Limitación en el plazo de conservación: los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.
• Integridad y Confidencialidad: los datos personales deberán ser tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.

Consentimiento

• El consentimiento debe ser una manifestación de voluntad libre, específica, informada e inequívoca del interesado.
• El consentimiento debe ser claro de tal forma que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado.
• No se admiten consentimientos tácitos o casillas premarcadas.
• El consentimiento también será revocable.
• El consentimiento no será necesario cuando existan otros supuestos que legitiman el tratamiento de datos.### Consentimiento y Legitimidad del Tratamiento
• Se requiere consentimiento explícito para datos sensibles, pero no es suficiente para casos de tratamientos con fines de identificar la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
• El RGPD establece excepciones al consentimiento, como la ejecución de un contrato, cumplimiento de una obligación legal, cumplimiento de intereses públicos, protección de intereses vitales del interesado y satisfacción de un interés legítimo.
• La satisfacción de un interés legítimo es la excepción que mayor indeterminación puede producir en la aplicación práctica del RGPD.

Datos Especialmente Protegidos

• El RGPD establece las categorías especiales de datos, incluyendo datos genéticos, biométricos y orientación sexual.
• Estos datos solo pueden ser tratados con consentimiento explícito del interesado o en circunstancias específicas, como el cumplimiento de obligaciones y ejercicios de derechos en el ámbito del Derecho Laboral y de la seguridad y protección social.

Referencias Especiales en la Licitud del Tratamiento

• Los menores de 16 años requieren autorización del titular de la patria potestad o tutela para el tratamiento de sus datos.
• Los Estados miembros pueden establecer una edad inferior, pero no superior a 13 años.
• En España, la LOPDGDD establece la edad de consentimiento del menor en 14 años.

Credenciales de Acceso

• El tratamiento de datos que no requiere identificación puede ser regulado por el RGPD.
• El responsable debe aceptar recibir información adicional que permita la identificación del interesado si este último quiere ejercitar sus derechos.

Tratamiento de Condenas e Infracciones Penales

• Los tratamientos de datos relativos a condenas e infracciones penales solo pueden llevarse a cabo bajo supervisión de Autoridad Pública o cuando se autorice por el Derecho de la UE o el Estado miembro.

Conclusiones

• Es necesario realizar una evaluación meticulosa del interés legítimo y que exista una expectativa razonable de dicho tratamiento por parte del interesado.
• Se introducen nuevas categorías de datos sensibles como los datos biométricos, los datos genéticos y la orientación sexual.
• Para el tratamiento de datos sensibles es necesario el consentimiento explícito, o encontrarse entre una de las circunstancias establecidas por el art. 9 del RGPD.

Derechos del Interesado

• El RGPD regula los derechos del interesado en materia de protección de datos, incluyendo el derecho de acceso, rectificación, cancelación, oposición, limitación y portabilidad.
• Se establecen condiciones generales para el ejercicio de los derechos del interesado, como la transparencia, obligación expresa, plazos, medios electrónicos, gratuidad y negativa a la solicitud.

Derecho a la Información

• El derecho a la información se regula en los artículos 13 y 14 del RGPD.
• El responsable del tratamiento debe proporcionar información clara, concisa y fácil de acceso al interesado, incluyendo la identidad del responsable, la finalidad del tratamiento, la base jurídica, los plazos de conservación y la posibilidad de solicitar el ejercicio de derechos.

Casos de No Obtención Directa del Interesado

• Cuando los datos no hayan sido recabados u obtenidos del interesado, el responsable debe facilitar información adicional, como el origen de los datos, las categorías de datos y las garantías adoptadas.

Excepciones al Deber de Información

• No es necesario informar en los casos en que el interesado ya dispone de la información, ni en los siguientes supuestos:
  • Resulte imposible o suponga un esfuerzo desproporcionado.
  • Exista una previsión legal expresa de tratamiento o prohibición de revelación.
  • Obligación de secreto legal o profesional.

Unidad 1: Normativa de Protección de Datos de Carácter Personal

• Introducción:
  • El derecho a la protección de datos personales deriva directamente del derecho fundamental a la intimidad, recogido en la Constitución Española.
  • La normativa española de protección de datos garantiza y protege a los ciudadanos sus derechos fundamentales, en lo concerniente al tratamiento de datos personales, especialmente de su honor e intimidad personal y familiar.

1.1 Legislación

• El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD), establece las normas sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
• La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y Garantías de los Derechos Digitales (LOPDGDD), derogó la antigua Ley Orgánica 15/1999.

1.2 El RGPD y su aplicación directa

• El RGPD entró en vigor el 24 de mayo de 2016, pero es de aplicación obligatoria para todos los Estados miembros desde el 25 de mayo de 2018.
• El RGPD es de aplicación directa sin necesidad de que sea transpuesto por las normas nacionales de los Estados.

1.3 Objeto y ámbito de aplicación

• El objeto del RGPD es la protección de los derechos y libertades fundamentales de las personas físicas, y la libre circulación de datos personales en territorio de la UE.
• El RGPD es aplicable tanto al tratamiento automatizado como al tratamiento manual, siempre y cuando estos últimos estén estructurados con arreglo a unos criterios específicos de organización.
• El RGPD no se aplica a las actividades domésticas o destinadas a la seguridad nacional.

1.3.2 Ámbito de aplicación material

• El RGPD se aplica a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales.
• El RGPD excluye del ámbito de aplicación a las personas fallecidas, pero habilita a los Estados miembros para regular el tratamiento de sus datos.

1.3.3 Ámbito de aplicación territorial

• El RGPD se aplica a las organizaciones o empresas extranjeras que ofrezcan productos o servicios a ciudadanos europeos.
• Si una organización no establecida en la UE está procesando los datos personales de ciudadanos de la UE, deberá cumplir plenamente con el contenido del RGPD.### Reglamento General de Protección de Datos (RGPD)
• Se aplica a las personas físicas, independientemente de su nacionalidad o lugar de residencia, en relación con el tratamiento de sus datos personales.
• No se aplica a las personas jurídicas, pero sí a las personas físicas que prestan servicios en ellas.
• No se aplica a actividades personales o domésticas, ni a personas fallecidas, excepto en relación con el ejercicio de los derechos de acceso, rectificación y supresión.

Definición de Dato Personal

• Información sobre una persona física identificada o identificable.
• Identificación de una persona a los efectos de protección de datos se realiza cuando puede determinarse la identidad directa o indirectamente a través de:
  • Elementos propios de la identidad física, fisiológica, psíquica, económica y cultural o social.
  • Identificadores como el nombre, un número de identificación, datos de localización o un identificador en línea.

Seudonimización VS Anonimización

• La seudonimización no implica una completa anonimización de los datos, ya que existe siempre la posibilidad de identificar al interesado a través de información adicional.
• La seudonimización no excluye del ámbito de aplicación del RGPD.
• El RGPD recomienda a las organizaciones aplicar la seudonimización, ya que facilita el tratamiento de datos personales con fines científicos, históricos y estadísticos o para otras finalidades distintas de las originales.

Datos Genéticos y Biométricos

• Dato Genético: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona.
• Dato Biométrico: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona.

Principios Relativos al Tratamiento de Datos Personales

• Licitud, lealtad y transparencia: los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado.
• Minimización de datos: los datos personales deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
• Limitación de la finalidad: los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
• Exactitud: los datos personales serán exactos y, si fuera necesario, actualizados.
• Limitación en el plazo de conservación: los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.
• Integridad y Confidencialidad: los datos personales deberán ser tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.

Consentimiento

• El consentimiento debe ser una manifestación de voluntad libre, específica, informada e inequívoca del interesado.
• El consentimiento debe ser claro de tal forma que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado.
• No se admiten consentimientos tácitos o casillas premarcadas.
• El consentimiento también será revocable.
• El consentimiento no será necesario cuando existan otros supuestos que legitiman el tratamiento de datos.### Consentimiento y Legitimidad del Tratamiento
• Se requiere consentimiento explícito para datos sensibles, pero no es suficiente para casos de tratamientos con fines de identificar la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
• El RGPD establece excepciones al consentimiento, como la ejecución de un contrato, cumplimiento de una obligación legal, cumplimiento de intereses públicos, protección de intereses vitales del interesado y satisfacción de un interés legítimo.
• La satisfacción de un interés legítimo es la excepción que mayor indeterminación puede producir en la aplicación práctica del RGPD.

Datos Especialmente Protegidos

• El RGPD establece las categorías especiales de datos, incluyendo datos genéticos, biométricos y orientación sexual.
• Estos datos solo pueden ser tratados con consentimiento explícito del interesado o en circunstancias específicas, como el cumplimiento de obligaciones y ejercicios de derechos en el ámbito del Derecho Laboral y de la seguridad y protección social.

Referencias Especiales en la Licitud del Tratamiento

• Los menores de 16 años requieren autorización del titular de la patria potestad o tutela para el tratamiento de sus datos.
• Los Estados miembros pueden establecer una edad inferior, pero no superior a 13 años.
• En España, la LOPDGDD establece la edad de consentimiento del menor en 14 años.

Credenciales de Acceso

• El tratamiento de datos que no requiere identificación puede ser regulado por el RGPD.
• El responsable debe aceptar recibir información adicional que permita la identificación del interesado si este último quiere ejercitar sus derechos.

Tratamiento de Condenas e Infracciones Penales

• Los tratamientos de datos relativos a condenas e infracciones penales solo pueden llevarse a cabo bajo supervisión de Autoridad Pública o cuando se autorice por el Derecho de la UE o el Estado miembro.

Conclusiones

• Es necesario realizar una evaluación meticulosa del interés legítimo y que exista una expectativa razonable de dicho tratamiento por parte del interesado.
• Se introducen nuevas categorías de datos sensibles como los datos biométricos, los datos genéticos y la orientación sexual.
• Para el tratamiento de datos sensibles es necesario el consentimiento explícito, o encontrarse entre una de las circunstancias establecidas por el art. 9 del RGPD.

Derechos del Interesado

• El RGPD regula los derechos del interesado en materia de protección de datos, incluyendo el derecho de acceso, rectificación, cancelación, oposición, limitación y portabilidad.
• Se establecen condiciones generales para el ejercicio de los derechos del interesado, como la transparencia, obligación expresa, plazos, medios electrónicos, gratuidad y negativa a la solicitud.

Derecho a la Información

• El derecho a la información se regula en los artículos 13 y 14 del RGPD.
• El responsable del tratamiento debe proporcionar información clara, concisa y fácil de acceso al interesado, incluyendo la identidad del responsable, la finalidad del tratamiento, la base jurídica, los plazos de conservación y la posibilidad de solicitar el ejercicio de derechos.

Casos de No Obtención Directa del Interesado

• Cuando los datos no hayan sido recabados u obtenidos del interesado, el responsable debe facilitar información adicional, como el origen de los datos, las categorías de datos y las garantías adoptadas.

Excepciones al Deber de Información

• No es necesario informar en los casos en que el interesado ya dispone de la información, ni en los siguientes supuestos:
  • Resulte imposible o suponga un esfuerzo desproporcionado.
  • Exista una previsión legal expresa de tratamiento o prohibición de revelación.
  • Obligación de secreto legal o profesional.

Protección de Datos

• El derecho a la protección de datos es un derecho fundamental reconocido en la Constitución Española en el artículo 18.4 y por el Tribunal Constitucional.
• El Reglamento General de Protección de Datos (RGPD) es de aplicación directa sin necesidad de transposición por las normas nacionales de los Estados miembros de la UE.

Características del RGPD

• Es aplicable a las personas físicas, independientemente de su nacionalidad o lugar de residencia.
• No aplica a personas jurídicas, pero sí a las personas físicas que prestan servicios en aquellas.
• No aplica a actividades personales o domésticas ni a fallecidos.
• Las organizaciones no establecidas en la UE que ofrecen bienes o servicios a ciudadanos europeos también se encuentran dentro del ámbito de aplicación del RGPD.

Definición de Dato Personal

• Es información sobre una persona física identificada o identificable.
• Incluye información como la ubicación, identificadores digitales y otros factores relacionados con la persona física.

Consentimiento

• Debe ser una manifestación de voluntad libre.
• Se deben obtener tantos consentimientos como finalidades existan en el tratamiento de la información.
• No es válido el consentimiento tácito o las casillas premarcadas.
• No es válido que la prestación del servicio dependa del consentimiento.

Tratamiento de Datos Sensibles

• Los datos biométricos y genéticos se consideran como datos sensibles si son tratados con medios técnicos específicos que permitan la identificación o autenticación de forma unívoca.
• Se necesita consentimiento explícito para datos sensibles y queda prohibido ampararse en dicho consentimiento para casos de tratamientos cuya finalidad principal sea identificar la ideología, afiliación sindical, religión, orientación sexual, creencias, u origen racial.

Supresión de Datos

• La supresión se producirá cuando ya no sean necesarios para la finalidad en que fueron recabados, se retire el consentimiento, o se oponga lo establecido en la ley.
• Se permite conservar los datos bloqueados para el ejercicio o defensa de reclamaciones, pero una vez completado el plazo de prescripción de las acciones de responsabilidad por el tratamiento, se deberá proceder al borrado y destrucción de los datos.

Principio de Accountability o Responsabilidad Proactiva

• Establece una obligación proactiva y sistemática del cumplimiento de la normativa de protección de datos, a través de la implantación de medidas técnicas y organizativas.
• El sistema interno de cumplimiento de la normativa de protección de datos deberá incluir diversas políticas o procesos internos de protección de datos o privacidad que deberán ser actualizados y auditados periódicamente.

Registro de Actividades

• Responsables y encargados de tratamiento con más de 250 trabajadores estarán obligados a llevar un registro de actividades de los tratamientos de datos realizados por su organización.
• El registro de actividades es un elemento clave para determinar el ámbito de aplicación de las políticas de protección de datos.

Introducción a la Protección de Datos Personales

• El derecho a la protección de datos personales deriva del derecho fundamental a la intimidad, recogido en la Constitución Española.
• La legislación española garantiza y protege a los ciudadanos sus derechos fundamentales en lo concerniente al tratamiento de datos personales.

Normativa de Protección de Datos

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD)
• Ley Orgánica 3/2018 de 5 de diciembre, de protección de datos de carácter personal y garantías de derechos digitales (LOPDGDD)
• RD 1720 de 21 de diciembre Reglamento desarrollo de la LOPD (RLOPD)

Principios de la Protección de Datos

• Principio de Responsabilidad Proactiva (Accountability)
• Principio de Proporcionalidad y Necesidad
• Principio de Licitud en el Tratamiento de Datos
• Principio de Transparencia

Derechos del Interesado

• Derecho a la Información
• Derecho de Acceso
• Derecho de Rectificación
• Derecho de Supresión
• Derecho de Limitación del Tratamiento
• Derecho de Portabilidad
• Derecho de Oposición
• Derecho a la Limitación de Decisiones Individuales Automatizadas

Terceros Intervinientes y Códigos de Conducta

• Corresponsables y Representantes no Establecidos en la UE
• El Encargado de Tratamiento
• El Delegado de Protección de Datos
• Códigos de Conducta y Entidades de Certificación

Transferencias Internacionales y Autoridades de Control

• Transferencias Internacionales de Datos
• Las Autoridades de Control
• El Procedimiento Sancionador### Introducción
• El derecho a la protección de datos personales es un derecho fundamental recogido en la Constitución Española en el artículo 18.4 y reconocido por el Tribunal Constitucional.

Legislación

• El Reglamento Europeo de Protección de Datos (RGPD) tiene aplicación directa en todos los Estados Miembros de la UE sin necesidad de transposición por parte de los Estados.
• El RGPD derogó y sustituyó a la Directiva 95/46/CE, reforzando el derecho de la protección de datos de la Unión Europea.
• La técnica legislativa del Reglamento utilizada por la UE para regular la protección de datos supone una aplicación directa del mismo a todos los Estados Miembros de la UE.

RGPD y su aplicación directa

• El RGPD entró en vigor el 24 de mayo de 2016, pero solo fue directamente aplicable y obligatorio en todos los Estados Miembros a partir del 25 de mayo de 2018.
• Los Estados Miembros y sus respectivas Autoridades de Control dispusieron de un plazo de 2 años para su maduración, preparación, aplicación e interpretación de los derechos y obligaciones establecidos.

Objeto y ámbito de aplicación

• El objeto del RGPD es la protección de los derechos y libertades fundamentales de las personas físicas, y la libre circulación de datos personales en el territorio de la UE.
• El ámbito de aplicación material se refiere a la protección de las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, y en relación con el tratamiento de sus datos personales.
• El ámbito de aplicación territorial se refiere a la protección de los datos personales de los ciudadanos europeos, y se aplica a las organizaciones o empresas extranjeras que ofrezcan productos o servicios a ciudadanos europeos.

Definición de datos personales

• El RGPD define a los datos personales como toda información sobre una persona física identificada o identificable.
• La identificación de una persona se realiza cuando puede determinarse la identidad directa o indirectamente a través de elementos propios de la identidad física, fisiológica, psíquica, económica y cultural o social, o por identificadores como por ejemplo el nombre, un número de identificación, datos de localización o un identificador en línea.### Definiciones y Consideraciones Generales
• Un dato personal es información sobre una persona física identificada o identificable.
• La probabilidad de identificación se mide con factores objetivos como costes y tiempo necesario para la identificación.
• La información anónima, que no guarda relación con una persona física identificada o identificable, se excluye del ámbito de aplicación del RGPD.

Seudonimización vs Anonimización

• La seudonimización es el tratamiento de datos personales de manera que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada.
• La seudonimización no implica una completa anonimización de los datos, ya que existe siempre la posibilidad de identificar al interesado a través de información adicional.

Categorías de Datos

• Datos Genéticos: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona.
• Datos Biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona.

Principios relativos al tratamiento de datos personales

• Licitud, lealtad y transparencia: los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado.
• Minimización de datos: los datos personales deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
• Limitación de la finalidad: los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
• Exactitud: los datos personales serán exactos y, si fuera necesario, actualizados.
• Limitación en el plazo de conservación: los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.
• Integridad y Confidencialidad: los datos personales deberán ser tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.

El Consentimiento

• El consentimiento debe ser libre, específico, informado e inequívoco.
• El consentimiento debe ser claro de tal forma que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado.
• El consentimiento no es necesario recabar de nuevo por el responsable de tratamiento si la forma en la que se recogió el dato cumple con el RGPD.

Introducción a la Protección de Datos Personales

• El derecho a la protección de datos personales deriva del derecho fundamental a la intimidad, recogido en la Constitución Española.
• La legislación española garantiza y protege a los ciudadanos sus derechos fundamentales en lo concerniente al tratamiento de datos personales.

Normativa de Protección de Datos

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD)
• Ley Orgánica 3/2018 de 5 de diciembre, de protección de datos de carácter personal y garantías de derechos digitales (LOPDGDD)
• RD 1720 de 21 de diciembre Reglamento desarrollo de la LOPD (RLOPD)

Principios de la Protección de Datos

• Principio de Responsabilidad Proactiva (Accountability)
• Principio de Proporcionalidad y Necesidad
• Principio de Licitud en el Tratamiento de Datos
• Principio de Transparencia

Derechos del Interesado

• Derecho a la Información
• Derecho de Acceso
• Derecho de Rectificación
• Derecho de Supresión
• Derecho de Limitación del Tratamiento
• Derecho de Portabilidad
• Derecho de Oposición
• Derecho a la Limitación de Decisiones Individuales Automatizadas

Terceros Intervinientes y Códigos de Conducta

• Corresponsables y Representantes no Establecidos en la UE
• El Encargado de Tratamiento
• El Delegado de Protección de Datos
• Códigos de Conducta y Entidades de Certificación

Transferencias Internacionales y Autoridades de Control

• Transferencias Internacionales de Datos
• Las Autoridades de Control
• El Procedimiento Sancionador### Introducción
• El derecho a la protección de datos personales es un derecho fundamental recogido en la Constitución Española en el artículo 18.4 y reconocido por el Tribunal Constitucional.

Legislación

• El Reglamento Europeo de Protección de Datos (RGPD) tiene aplicación directa en todos los Estados Miembros de la UE sin necesidad de transposición por parte de los Estados.
• El RGPD derogó y sustituyó a la Directiva 95/46/CE, reforzando el derecho de la protección de datos de la Unión Europea.
• La técnica legislativa del Reglamento utilizada por la UE para regular la protección de datos supone una aplicación directa del mismo a todos los Estados Miembros de la UE.

RGPD y su aplicación directa

• El RGPD entró en vigor el 24 de mayo de 2016, pero solo fue directamente aplicable y obligatorio en todos los Estados Miembros a partir del 25 de mayo de 2018.
• Los Estados Miembros y sus respectivas Autoridades de Control dispusieron de un plazo de 2 años para su maduración, preparación, aplicación e interpretación de los derechos y obligaciones establecidos.

Objeto y ámbito de aplicación

• El objeto del RGPD es la protección de los derechos y libertades fundamentales de las personas físicas, y la libre circulación de datos personales en el territorio de la UE.
• El ámbito de aplicación material se refiere a la protección de las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, y en relación con el tratamiento de sus datos personales.
• El ámbito de aplicación territorial se refiere a la protección de los datos personales de los ciudadanos europeos, y se aplica a las organizaciones o empresas extranjeras que ofrezcan productos o servicios a ciudadanos europeos.

Definición de datos personales

• El RGPD define a los datos personales como toda información sobre una persona física identificada o identificable.
• La identificación de una persona se realiza cuando puede determinarse la identidad directa o indirectamente a través de elementos propios de la identidad física, fisiológica, psíquica, económica y cultural o social, o por identificadores como por ejemplo el nombre, un número de identificación, datos de localización o un identificador en línea.### Definiciones y Consideraciones Generales
• Un dato personal es información sobre una persona física identificada o identificable.
• La probabilidad de identificación se mide con factores objetivos como costes y tiempo necesario para la identificación.
• La información anónima, que no guarda relación con una persona física identificada o identificable, se excluye del ámbito de aplicación del RGPD.

Seudonimización vs Anonimización

• La seudonimización es el tratamiento de datos personales de manera que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada.
• La seudonimización no implica una completa anonimización de los datos, ya que existe siempre la posibilidad de identificar al interesado a través de información adicional.

Categorías de Datos

• Datos Genéticos: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona.
• Datos Biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona.

Principios relativos al tratamiento de datos personales

• Licitud, lealtad y transparencia: los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado.
• Minimización de datos: los datos personales deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
• Limitación de la finalidad: los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
• Exactitud: los datos personales serán exactos y, si fuera necesario, actualizados.
• Limitación en el plazo de conservación: los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.
• Integridad y Confidencialidad: los datos personales deberán ser tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.

El Consentimiento

• El consentimiento debe ser libre, específico, informado e inequívoco.
• El consentimiento debe ser claro de tal forma que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado.
• El consentimiento no es necesario recabar de nuevo por el responsable de tratamiento si la forma en la que se recogió el dato cumple con el RGPD.