Proteccion de datos II

Questions and Answers

¿Qué debe hacer el responsable del tratamiento cuando se recibe una solicitud de ejercicio de derechos del afectado?

Solicitar una prueba de identificación del afectado antes de responder.

Derivar la solicitud a un representante legal sin más.

Informar sobre los medios disponibles para ejercer los derechos. (correct)

Negarse a responder si el afectado no utiliza el medio recomendado.

¿Qué ocurre si un afectado solicita el ejercicio de su derecho sin especificar qué datos le conciernen?

El responsable debe responder a la solicitud de inmediato.

El responsable podrá requerir que el afectado especifique los datos o actividades de tratamiento. (correct)

El responsable debe ofrecer información sobre todos los datos del afectado.

El derecho de acceso se considera automáticamente denegado.

¿Cuál de las siguientes afirmaciones sobre el ejercicio de derechos por parte de los menores de catorce años es correcta?

Los titulares de la patria potestad pueden ejercitar derechos en su nombre. (correct)

Pueden ejercer todos sus derechos sin la intervención de un adulto.

Debes esperar hasta cumplir catorce años para ejercer cualquier derecho.

No tienen derecho a acceder a los datos personales.

¿Cómo se entiende el derecho de acceso del afectado según lo descrito?

Se considera otorgado si el responsable proporciona un sistema seguro de acceso remoto.

¿Qué se considera una actuación gratuita en el contexto del ejercicio de derechos?

Las actuaciones del responsable al atender solicitudes de ejercicio de derechos.

En caso de un régimen especial que afecte el ejercicio de derechos, ¿qué se debe hacer?

Ajustarse a lo establecido en las leyes aplicables a esos tratamientos.

¿Quién tiene la responsabilidad de probar el cumplimiento del deber de responder a la solicitud de ejercicio de derechos?

El responsable del tratamiento.

¿Cuál es el papel de un encargado al tramitar solicitudes de ejercicio de derechos?

Puede realizarlo si está estipulado en el contrato o acto jurídico que los vincula.

¿Qué condiciones deben cumplirse para la comunicación de datos a los órganos competentes en materia estadística?

Los datos deben ser obligatorios por una norma de Derecho de la Unión Europea.

En relación al consentimiento expreso, ¿qué afirmación es correcta respecto a la recopilación de ciertos datos personales?

La recopilación de los datos mencionados en los artículos 9 y 10 requiere consentimiento previo.

¿Qué puede hacer un organismo competente en caso de solicitudes de derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679?

Puede denegar solicitudes si los datos están protegidos por el secreto estadístico.

Cuando se trata de datos relacionados con infracciones y sanciones administrativas, ¿qué requisito es esencial?

Los responsables del tratamiento deben ser los órganos competentes del procedimiento sancionador.

¿Cuál es la legalidad del tratamiento de datos con fines de archivo en interés público?

Es lícito siempre que se respete el Reglamento (UE) 2016/679 y la ley orgánica pertinente.

¿Qué ocurre si no se cumplen las condiciones para el tratamiento de datos sobre infracciones y sanciones administrativas?

El tratamiento requiere el consentimiento del interesado o autorización legal.

¿Qué tipo de datos pueden ser recopilados sin el consentimiento expreso de los afectados?

Datos amparados bajo las garantías del secreto estadístico.

¿Quiénes pueden realizar el tratamiento de datos asociados a infracciones y sanciones administrativas fuera de las condiciones específicas?

Solo abogados y procuradores en el marco de sus funciones.

Bajo qué circunstancias pueden los organismos competentes denegar derechos de acceso a datos?

Cuando la información está protegida bajo secretos legales relevantes.

¿Bajo qué circunstancia se pueden consultar los datos de un deudor en el sistema?

Cuando se dene una relación contractual que implique un pago.

¿Qué deben informar las entidades que consulten el sistema si se niega la celebración de un contrato?

El resultado de la consulta realizada.

¿Qué corresponde al acreedor en el tratamiento de los datos de deudores?

Garantizar la exactitud de la información reportada.

¿Qué ocurre si la operación mercantil no se concreta según lo regulado?

Los datos deben ser suprimidos de inmediato.

¿Cuál es el plazo máximo para suprimir datos de videovigilancia?

Un mes desde su captación.

¿Qué información debe incluir el dispositivo informativo sobre el tratamiento de datos?

Identidad del responsable y derechos de los afectados.

¿Cuál de estos tratamientos de datos está excluido del ámbito del Reglamento (UE) 2016/679?

Tratamiento de imágenes en el interior de un domicilio privado.

¿Cuál es la finalidad principal del tratamiento de imágenes en videovigilancia?

Preservar la seguridad de personas y bienes.

¿Qué técnicas no pueden ser utilizadas al asociar información crediticia del deudor?

Perfilado del deudor con datos externos.

¿Qué deben hacer las entidades que mantengan el sistema en relación al tratamiento de datos?

Actuar como corresponsables del tratamiento de datos.

¿Cuál es el propósito de poder captar imágenes de la vía pública más allá de lo necesario?

Garantizar la seguridad de bienes o instalaciones estratégicos.

¿Qué sucede con las imágenes grabadas que acreditan actos delictivos?

Deben ser entregadas a la autoridad competentes en 72 horas.

¿Qué datos no pueden consultarse en el sistema si se ha ejercido un derecho de limitación?

La mera existencia de la limitación.

¿Cuál es la finalidad del tratamiento de datos personales para los sistemas de exclusión publicitaria?

Evitar el envío de comunicaciones comerciales a quienes se han opuesto.

¿Qué deben hacer las entidades responsables de los sistemas de exclusión publicitaria?

Comunicar su creación a la autoridad de control competente.

¿Qué se requiere para que un afectado impida el tratamiento de sus datos para la remisión de comunicaciones comerciales?

Manifiestar su deseo de que sus datos no sean tratados.

¿Qué deben hacer quienes realicen comunicaciones de mercadotecnia directa según la normativa?

Consultar los sistemas de exclusión publicitaria que pudieran afectar su actuación.

¿Qué limitaciones existen en el acceso a los datos contenidos en los sistemas de información de denuncias internas?

El acceso queda limitado a quienes realizan funciones de control interno y cumplimiento.

¿Cuál es el propósito de las medidas necesarias en los sistemas de información de denuncias internas?

Preservar la identidad y garantizar la confidencialidad de los denunciantes.

¿Cuánto tiempo deben conservarse los datos de quien formule una denuncia en el sistema de denuncias internas?

Durante el tiempo imprescindible, y luego deben ser suprimidos.

¿Qué ocurre con las denuncias a las que no se haya dado curso según la normativa?

Solo podrán constar si están anonimidad.

¿Cuál es la implicación de que un sistema de exclusión publicitaria sea sectorial?

Puede limitar las comunicaciones comerciales a un sector específico.

En el contexto de la ley, ¿qué papel juega la autoridad de control competente?

Recibe notificaciones sobre la creación de sistemas de exclusión y los publica.

¿Qué metodología debe seguir un empleador al usar datos obtenidos a través de sistemas de cámaras o videocámaras?

Seguir las disposiciones del artículo 89 de la ley orgánica.

Cuando un afectado quiere limitar la recepción de comunicaciones comerciales, ¿qué debe hacer?

Incorporarse a sistemas de información de preferencias habilitados.

En el contexto de las advertencias sobre comunicaciones comerciales, ¿qué debe hacer la entidad responsable?

Informar sobre los sistemas de exclusión publicitaria existentes si un afectado lo solicita.

¿Cuál es uno de los principios aplicables a los sistemas de denuncias internas en las Administraciones Públicas?

Las medidas de confidencialidad deben ser implementadas.

¿Qué será considerado repetitivo en el ejercicio del derecho de acceso según el artículo 12.5 del Reglamento (UE) 2016/679?

Realizar múltiples solicitudes en un plazo de seis meses.

Cuando se realiza una solicitud de rectificación, ¿qué debe indicar el afectado?

Los datos que desea corregir y la corrección a realizar.

¿Qué ocurre si un afectado elige un medio para solicitar acceso que suponga un coste desproporcionado?

El afectado asumirá el exceso de costes que eso implique.

Según el artículo 17 del Reglamento (UE) 2016/679, ¿qué derecho se ejerce de acuerdo a su disposición?

Derecho de supresión.

Sobre el derecho a la limitación del tratamiento, ¿qué debe constar en los sistemas de información del responsable?

Que el tratamiento de los datos personales está limitado.

¿Qué se presume lícito en el tratamiento de datos personales por sistemas comunes de información crediticia?

El tratamiento de datos del incumplimiento de obligaciones dinerarias bajo ciertas condiciones.

¿Cuál es la duración máxima durante la cual se pueden mantener datos relativos a incumplimientos en un sistema de información crediticia?

Cinco años desde la fecha de vencimiento de la obligación.

Al ejercer el derecho de oposición, ¿qué artículos del Reglamento (UE) 2016/679 se deben considerar?

Artículos 21 y 22.

¿Qué tipo de datos se pueden tratar bajo la presunción del artículo 6.1.f) del Reglamento (UE) 2016/679?

Datos de contacto de empleados de una persona jurídica.

Cuando se lleva a cabo un tratamiento de datos para marketing directo, ¿qué puede hacer el responsable con los datos del afectado tras un ejercicio del derecho de oposición?

Conservar solo los datos necesarios para impedir tratamientos futuros.

¿Qué requisitos deben cumplirse para considerar el tratamiento de datos personales relativo al incumplimiento de obligaciones dinerarias como lícito?

Que se refiera a deudas no reclamadas administrativamente.

¿Qué debe presentar el afectado al solicitar una rectificación de datos personales?

La documentación que justifique la inexactitud o incompletitud de los datos.

Al ejercer el derecho a la portabilidad de datos, ¿qué proporciona el afectado?

Los datos en un formato estructurado, común y legible.

¿Cuáles son los derechos relacionados que pueden ejercerse junto con el derecho de oposición según el Reglamento (UE) 2016/679?

Derechos relacionados con decisiones automatizadas y perfiles.

Study Notes

### Ejercicio de los derechos

• Los derechos reconocidos en el Reglamento (UE) 2016/679 se pueden ejercer directamente o a través de un representante legal o voluntario.
• El responsable del tratamiento tiene la obligación de informar al afectado sobre cómo ejercer sus derechos.
• El encargado puede procesar las solicitudes de ejercicio de derechos por cuenta del responsable si esto se establece en el contrato o acto jurídico que les vincule.
• La prueba del cumplimiento del deber de respuesta ante una solicitud de ejercicio de derechos recae en el responsable.
• Si existen leyes aplicables a determinados tratamientos que establezcan un régimen especial que afecte al ejercicio de los derechos del Capítulo III del Reglamento (UE) 2016/679, se tendrá en cuenta lo dispuesto en esas leyes.
• Los titulares de la patria potestad pueden ejercer en nombre y representación de los menores de catorce años los derechos a acceder, rectificar, cancelar, oponerse o cualquier otro que les corresponda en el contexto de la Ley Orgánica.

Derecho de acceso

• El derecho de acceso del afectado se ejerce según lo establecido en el artículo 15 del Reglamento (UE) 2016/679.
• Si el responsable trata una gran cantidad de datos relacionados con el afectado y este último ejerce su derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, el responsable puede solicitar, antes de facilitar la información, que el afectado especifique los datos o actividades de tratamiento a los que se refiere la solicitud.
• El derecho de acceso se considera otorgado si el responsable ofrece al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de forma permanente, el acceso a la totalidad de los datos.
• El afectado puede solicitar al responsable la información referida a los extremos del artículo 15.1 del Reglamento (UE) 2016/679 que no se incluya en el sistema de acceso remoto.
• El ejercicio del derecho de acceso se puede considerar repetitivo si se realiza en más de una ocasión durante un plazo de seis meses, a menos que exista una causa legítima para ello.
• Si el afectado elige un medio distinto al ofrecido por el responsable que suponga un coste desproporcionado, la solicitud se considera excesiva.

Derecho de rectificación

• El afectado que ejerza su derecho de rectificación debe indicar en su solicitud a qué datos se refiere y la corrección que se debe realizar.
• Debe acompañar la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento cuando sea necesario.

Derecho de supresión

• El derecho de supresión se ejerce según lo establecido en el artículo 17 del Reglamento (UE) 2016/679.
• Si la supresión deriva del ejercicio del derecho de oposición según el artículo 21.2 del Reglamento (UE) 2016/679, el responsable puede conservar los datos identificativos del afectado para evitar tratamientos futuros con fines de mercadotecnia directa.

Derecho a la limitación del tratamiento

• El derecho a la limitación del tratamiento se ejerce según lo establecido en el artículo 18 del Reglamento (UE) 2016/679.
• El hecho de que el tratamiento de los datos personales esté limitado debe constar claramente en los sistemas de información del responsable.

### Derecho a la portabilidad

• El derecho a la portabilidad se ejerce según lo establecido en el artículo 20 del Reglamento (UE) 2016/679.

Derecho de oposición

• El derecho de oposición, así como los derechos relacionados con las decisiones individuales automatizadas, incluida la realización de perfiles, se ejercen según lo establecido en los artículos 21 y 22 del Reglamento (UE) 2016/679.

Ttratamientos de datos de contacto, de empresarios individuales y de profesionales liberales

• Se presume amparado en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y, en su caso, los relativos a la función o puesto desempeñado por las personas físicas que presten servicios en una persona jurídica, siempre que se cumplan los siguientes requisitos:
  • Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
  • Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
• La misma presunción existe para el tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
• Los responsables o encargados del tratamiento pueden también procesar los datos mencionados anteriormente cuando ello derive de una obligación legal o sea necesario para el ejercicio de sus competencias.

### Sistemas de información crediticia

• Se presume lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los siguientes requisitos:
  • Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta o interés.
  • Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes.
  • Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquellos en los que participe.
  • Que los datos únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de cinco años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito.
  • Que los datos referidos a un deudor determinado solamente puedan ser consultados cuando quien consulte el sistema mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica.
  • Cuando se hubiera ejercitado ante el sistema el derecho a la limitación del tratamiento de los datos impugnando su exactitud, el sistema informará a quienes pudieran consultarlo acerca de la mera existencia de dicha circunstancia, sin facilitar los datos concretos respecto de los que se hubiera ejercitado el derecho, en tanto se resuelve sobre la solicitud del afectado.
  • Que, en el caso de que se denegase la solicitud de celebración del contrato, o éste no llegara a celebrarse, como consecuencia de la consulta efectuada, quien haya consultado el sistema informe al afectado del resultado de dicha consulta.
• Las entidades que mantienen el sistema y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores, tienen la condición de corresponsables del tratamiento de los datos, siendo de aplicación lo establecido por el artículo 26 del Reglamento (UE) 2016/679.
• La presunción no ampara los supuestos en que la información crediticia fuese asociada por la entidad que mantuviera el sistema a informaciones adicionales a las contempladas, relacionadas con el deudor y obtenidas de otras fuentes, a fin de llevar a cabo un perfilado del mismo, en particular mediante la aplicación de técnicas de calificación crediticia.

Tratamientos relacionados con la realización de determinadas operaciones mercantiles

• Se presumirá lícito el tratamiento de datos, incluida su comunicación con carácter previo, que pudiera derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios

Tratamientos con fines de videovigilancia

• Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.
• Solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.
• Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.
• El deber de información previsto en el artículo 12 del Reglamento (UE) 2016/679 se entenderá cumplido mediante la colocación de un dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
• El tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio está excluido del ámbito de aplicación del Reglamento (UE) 2016/679.
• El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para el control y vigilancia en los centros penitenciarios y para el control, regulación, vigilancia y disciplina; del tráfico, se regirá por la legislación de transposición de la Directiva (UE) 2016/680, cuando el tratamiento tenga fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.
• El tratamiento por el empleador de datos a obtenidos a través de sistemas de cámaras o videocámaras se somete a lo dispuesto en el artículo 89 de la Ley Orgánica.

### Sistemas de exclusión publicitaria

• Será lícito el tratamiento de datos personales que tenga por objeto evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas.
• Las entidades responsables de los sistemas de exclusión publicitaria comunicarán a la autoridad de control competente la creación, el carácter del sistema (general o sectorial) y el modo en que los afectados pueden incorporarse a los mismos y, cuándo sea necesario, hacer valer sus preferencias.
• Cuando un afectado manifieste a un responsable su deseo de que sus datos no sean tratados para la remisión de comunicaciones comerciales, este deberá informarle de los sistemas de exclusión publicitaria existentes, pudiendo remitirse a la información publicada por la autoridad de control competente.
• Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán consultar previamente los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo.

Sistemas de información de denuncias internas

• Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable.
• El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto.
• Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.
• Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.
• Los principios de los apartados precedentes serán aplicables a los sistemas de denuncias internas que pudieran crearse en las Administraciones Públicas.

Tratamiento de Datos Personales en la Función Estadística Pública

• El tratamiento de datos personales por parte de los organismos públicos encargados de la función estadística se rige por su legislación específica, el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica de Protección de Datos Personales.

• La comunicación de datos a órganos competentes en materia estadística solo se considera amparada por el artículo 6.1 e) del RGPD cuando la estadística requerida esté obligada por una norma de Derecho de la Unión Europea o se encuentre incluida en los instrumentos de programación estadística legalmente previstos.

• Los datos a los que se refieren los artículos 9 y 10 del RGPD (datos sensibles), solo podrán recogerse con el consentimiento expreso de los afectados, de acuerdo con la Ley 12/1989 de la Función Estadística Pública.

• Los organismos competentes para la función estadística pública podrán denegar solicitudes de ejercicio de derechos establecidos en los artículos 15 a 22 del RGPD si los datos se encuentran bajo las garantías del secreto estadístico previstas en la legislación estatal o autonómica.

Tratamiento de Datos con Fines de Archivo en Interés Público

• Las Administraciones Públicas pueden tratar datos con fines de archivo en interés público, cumpliendo con el RGPD y la Ley Orgánica, y aplicando las especialidades de la Ley 16/1985 del Patrimonio Histórico Español, el Real Decreto 1708/2011 del Sistema Español de Archivos, y la legislación autonómica correspondiente.

Tratamiento de Datos relativos a Infracciones y Sanciones Administrativas

• El tratamiento de datos relativos a infracciones y sanciones administrativas, incluyendo los registros relacionados, requiere:

  • Que los responsables del tratamiento sean los órganos competentes para la instrucción del procedimiento sancionador, declaración de infracciones o imposición de sanciones.
  • Que el tratamiento se limite a los datos estrictamente necesarios para la finalidad del tratamiento.

• Si no se cumplen las condiciones anteriores, el tratamiento de datos sobre infracciones y sanciones administrativas debe contar con el consentimiento del interesado o estar autorizado por una ley, incluyendo garantías adicionales para los derechos y libertades de los afectados.

• Solo se permiten tratamientos de datos sobre infracciones y sanciones administrativas, fuera de los mencionados, cuando se realicen por abogados y procuradores y tengan como objetivo recopilar información proporcionada por sus clientes para el ejercicio de sus funciones.