Guía sobre el Reglamento General de Protección de Datos (RGPD) PDF

-4 de mayo 2016 se bpuica en el DOUE 2016, entró en vigor a los 20 días, se aplica desde el 25 de mayo 2018. El Reglamento, que entró en vigor el **24 de mayo de 2016**, se aplica desde el 25 de mayo de 2018. LOPDyGDD se publicó en el boe 6 diciembre 2018 en vigor **el 07/12/2018** -Se deroga LOPD, pero no se deroga el RDLOPD que seguirá siendo aplicable siempre que no se oponga o resulte incomptible con RGPD y LOPDGDD. Pero parece vigente arts. 23 y 24 LOPD que tienen que ver con la obstucalizacion de derechos de acceso ante adminsitracion -Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 fue transpuesta por Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. -Art 8 CArta de los Derechos FUndamentales del a Unión Europea. Derecho fundamental protección de datos. -RGPD: regular el derecho fundamental pero también garantizar la libre circulación de los datos personales -Tratamiento de datos personales realizados por los organismos públicos les aplica Reglamento (UE) **2018/1725** del **Parlamento** Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión -RGPD NO aplica esfera domestica, actividades noc omprendidas en el ámbito de aplicación del derecho de la unión, y prevención, investigación de infracciones penales, fallecidos, materias clasificadas. -Directiva 2016(680 se traspuso mdiatne LO 7/2021. RGPD no aplica a las autoridades competentes con fines de prevención, investigación detección o enjuiciamiento de infracciones penales etc, va por esa norma. -RGPD no aplica a datos de personas jurídicas. -Excepción doméstica, por ejemplo un repertorio de direcciones, redes sociales, etc. -Ejercicio de derechos se contestan en un mes, prorrogable 2 meses, puede tener coste o negarse si fuera excesivo, carga de la prueba corresponde al RT en este caso, si tiene dudas razonables de la identidad deberá pedir que se identifique. Principio de transparencia. Informará de la dilación en el plazo de un mes. Se informará de la posibilidad de presentar reclamación ante autoridad de control -Principio de transparencia exige que toda información dirigida al público sea concisa, accesible, fácil de entender, lenguaje claro, sencillo, se visualice, ojo si va dirigido al niño, posibilidad de remisión al sitio web etc. -Art 13 se informa de RT, dpo, fines, intereses legítimos, destinatarios o categorías de destinatarios, TI incl existencia o ausencia de decisión de adecuación de la comisión. Tambien plazo, derechos acceso, rect supr limit oponers u portabilidad, derecho a retirar el consentimiento, derecho a presentar una reclamación, si la comunicación de datos personales es un requisito legal o ocntractual o un requisito necesario para suscribir un contrato y si el interesado está obligado a facilitar los datos y las consencuencias de no facilitar tales datos, la existen de deicsiones automatizadas incluida elaboración de perfiles, lógica apica, importancia y consecuencias de dicho tratamiento, cuando el RT proyecte el tratamiento de datos para un fin que no sea aquel para el que se recogieron se informará de dicho fin. -Si no se obtienen del interesado, además, se informará de cosas como la fuente de las que prooceden los datos, dentro de un plazo rezaonbel max un mes, tb si está previso comunicarlos a un tercero etc, no si es un esfuerzo desproporcionado, investigación científica, histórica, etc. -Recuerda que según art. 11 la información a dar es mas light, RT, finalidad y derechos -No se aplica a datos de fallecidos, pero personas vinculadas por razones familiare o de hecho así como herederos podrán dirigirse al RT al objeto de solictiar el acceso, recti o supr, salvo cuando la persona fallecida lo hubiese prohibido expresamnete, pero sin afectar al legítimo derecho de los herederos de acceder a los datos de carácter patrimonial. También el causante puede designar personas o instituciones. Caso de menores también MF. Discapacitados: personal de apoyo. -RGPD aplica al tratamiento de un RT si tiene establecimiento en la unión. -RGPD se aplica al tratamietno de datos personales de interesados de la unión por parte de un RT o ET no establecido en la unión si el tratamiento versa sobre oferta de bienes o servicos con independencia de pago o control de su comportamiento, por ejemplo seguimiento internet, analizar, predecir preferencias personales etc. -Definiciones, limitación del tratamietno es el \"marcado\" de los datos para limitar su tratamiento -Decisiones individuales automatizadas incluida la elaboración de perfiles: interesado tiene derecho a no ser objeto de una decisión basada UNICAMENTE en el tratamiento automatizado incluida la elaboración de perfiles que produzca efectos jurídicos. No se aplica si es necesario para contrato, está autorizada por ley o se basa en el consentimiento explícito. Se deben de adoptar como mínimo el derecho a obtener intervención humana por parte del RT, a expresar su punto de vista y a impugnar la decisión. NO se puede hacer con datos del art. 9 salvo que hayan tomado medidas para salvaguardar derechos y libertades -arts. 23 y 24 LOPD siguen vigentes en tanto nos ean expresamente modificadas -Limitacioens para los derechos: se puden limitar con medidas legislativas cuando comprometa seguridad, defensa, seguridad pública, prevención detección de infracciones, protección de independencia judicial, normas deontológicas etc -RGPD aplica igualmente aunque no tenga establecimiento si va dirigido a ciudadanos europeos, aunque no sea oneroso. ( deberá nombrar un representante en la UE, que será un referente ante la autoridad de control e interesados. También aplica aunque no esté establecido en UE pero sí en un lugar en el que el derecho de un estado miembro sea aplicable. -Representante UE: se designa por escrito. No es necesario si es ocaciones, si lo permiten autoridades u organismos públicos, RT encomendará al representante que atienda las consultas. Sin perjicio de las acciones que puedan darse con RT o ET. Medidas coercitivas para el representante si no cumple. Solidaridad en daños y perjuicios. -Consentimiento es una manifestación de voluntad libre, especifica, informada e inequívoca. Se añada el inequívoco. Se tiene que dar a través de una clara acción afirmativa. Acto afirmativo evidente. Consentimiento individualizado. -Interés legítimo existe en mercadotecnia, en transferencias en grupo empresarial, no se aplica administracion, para prevenir fraude -Derecho de supresión, porque los datos personales ya no son necesarios teniendo en cuenta los fines, porque retira el consentimiento 61a o 92a, o porque se oponga al tratamiento por interés legítimo siempre que no se pruebe que son mas importantes los intereses legitimos del rt, o porque los datos hayan sido tratados ilícitamente, o porque deben suprimirse por una obligación legal o por tema de PSSI tipo google, youtube. Cuando se hayan hecho públicos los datos y exista obligación de supresión, el RT teniendo en cuenta la tecnología y coste adoptará medidas razonalbes con miras a informar a los restantes RTs que estén tratando datos del citado derecho de supresión. Derecho de supresión no se aplicará para ejercer el derecho a la libertad de expresión, por obligación legal, por prazones de interés p´bulcios, con fines de archivo en interés público, para defensa reclamaciones. Si se ejercita en relación a mercadotecnia, el RT podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnica directa. También derecho al olvido en búsquedas de internet: derecho a que toda persona ejercite su derecho para eliminar listas de resultados que se obtuvieran tras una búsqueda efectuada a partir de su nombre enlaces publicados que contuviera información relativa a esa persona. STC abre posibilida de aplicar derecho al olvido cuando afecte a cuestiones profesionales. POnderación de derechos entre libertad de expresión e informacíón y este derecho. -Tratamiento con fines distintos solo debe permitirse cuando sea compatibles con los fines de la recogida inicial -Tratamietno con base obligación legal 6.1C será así cuando lo prevea una norma de derecho de la UE o una norma con rango de ley -6.1 E interés público es cuando derive de una competencia atribuida por una norma con rango de ley -Consentimiento, clara acción afirmativa, marcar una casilla, declaración verbal, por escrito, capaz de demostrarlo, escoger parámetros técnicos para la utilización de servicios de la SI. No casillas premarcadas o inacción -Tratamiento transfronterizo no es una TI, es entre estamos miembros -Principios: licitud, lealtad y transparencia, recogidos con fines determinados, explícitos y legítimos, pero tratamiento con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerá incompatible esto es el principio de limitación a la finalidad, también adecuados pertinenes limitados\...minimización de datos, exactos, actualizdos, medidas razonalbes para su exactitud, principio de exactitud, mantenidos de forma que se permita la indentificación de los interesados durante no más tiempo del necesario etc limitación del plazo de conservación, también principios de integridad y confidencialidad (tratados de tal manera que se garantice una seguridad adecuada\...) y principio de responsabilidad proactiva (RT será responsable de lo dispuesto en el apartado 1 y capaz de demostrarlo) -Principio de exactitud tiene limites, no será de aplicación si los datos hubiesen sido obtenidos por el RT directamente del afectado, si uhbiera mediador si fueran obtenidos por otro RT, o registro público. -Según disposición adicional, publicación de un acto administrativo que contuviese datos personales se harán mediante nombre y apellidos añadiendo cuatro cifras numéricas aleatorias del dni, en relación a 29/2015 se hará mediante dni etc. Nunca se debe publicar número dni junto con nombre -Limitación del tratamiento supone el bloqueo, mover los datos a un sistema distinto, o imposibilitar la entrada de usuarios, etc. ARt. 18 RGPD, derecho a limitación del tratamiento. Se puede ejercer porque el interesado impugna la exactitud de datos, porque sea ilícito, porque ya no los necesita, porque se a opuesto. Interesado que haya obtenido la limitación del tratamiento será informado por el RT antes del levantamiento de dicha limitación. Métodos para limitar el tratamiento cabría incluir el trasladar los datos a otros sistema, impedir el acceso a usuarios, por medios técnicos, etc. El hecho de que el tratamiento esté limitado debe constar claramente en el SI. -BCR Binding corporate rules, asóciales a TI grupo empresarial, es como un ´codigo de conducta quese redacta para organizaciones multinacionales y que contienen medidas internas con principios en protección de datos (auditorías, formación, etc) -Tratamiento transfronterizo de datos. TRatamientos en mas de un estado miembro, dentro de la ue -Licitud del tratamietno: únicamente se puede recabar datos personales en la medida en que se ampare en alguna de las bases jurídicas del art. 6 RGPD -Lealtad y transparencia. RT debe adoptar medidas destinadas a iformar, arts. 15 a 22 rgpd y 12 a 18 lopdgdd etc. Principio de lealtad india que debe respetar todos los principios y garantías de la normativa de Protección de Datos. Información debe darse de forma concisa, transparente, inteligible, de fácil acceso, lenguaje sencillo, claro, se puede dar por escrito, verbalmente se deberá demostrar. Objetivo: dominio real sobre sus datos por parte del interesado. -Limitación finalidad. Exigencia que los datos no se pueden destinar a otra función a las que se indican. -Minimización de datos. En función del contexto. Solo para la finalidad declarada. -Exactitud, periódicamente actualizados. Pero no será imputable al RT siempre que haya adoptado medidas razonables si se han obtenido directamente del afectado, en caso de existencia de mediados, o fueses obtenido por registro público -Mantenidos durante no más tiempo de aquel que sea necesario. Pero se pueden conservar en archivos de interés públicos, investigación científica, histórica, fines estadísticos -Bloqueo de los datos es la identificación y reserva, adoptando medidas para impedir su tratamiento. Si es desproporcionado, se procederá con un copiado seguro de la info con evidencia digital. El RT estará obligado a bloquear los datos cuando proceda a su rectificación o supresión. Quedan a disposición de MF, juces, tribunales, o AAPPs competententes para exigencias de responsabilidades, durante periodo de prescripción, transcurrido plazo se procede a la destrucción, datos bloqueados no podrán ser tratados para ninguna otra finalida. -Principios de integridad y confidencialidad -Limitación en el plazo de conservación de los datos -Medidas tendentes a garatnizar la seguridad, art. 32 -En general, responsabilidad proactiva, art. 5.2, principio nuclear en relación al resto. Accountability. Tiene que estar en condiciones de acreditar el cumplimiento de la norma, que ha evaluado el tratamiento, medidas de seguridad, que aplica una política interna de privacidad, etc. -Según AEPD guía del deber de informar, solo será posible acudir al consumimiento como base jurídica cuando ninguna otra sea aplicable. -Consentimiento es libre, especifico, informado, inequívoco, clara acción afirmativa, separado, granular, nominativo (será necesario identificar la organización del RT y cesionarios de los datos, aunque se admite remisión genérica de dichos cesionarios), demostrable, documentado, revocable debe ser igual prestar el consentimiento que revocarlo. Si es el consentimiento la base jurídica, tienen derechos adicionales, como el derecho a la portabilidad de los datos. Hay que documentar quién consintió, identificar al titular de los datos por su nombre o identificador, cuándo consintió, online es necesario sello de tiempo, qué información recibió, cómo consintió, si ha revocado el consetnimiento. La vigencia del consentimiento depende de su objeto -Contrato o consentimiento: derecho a la portabilidad. Se debe hacer por medios automatizados. Lectura mecánica, sistema interoperable, de uso común, transmitir a otro RT, dee alentarse a crear formatos interoperables. No procede cuando base legal ley, interés publico, interés legítmo. -Video vigilancia. aRt. 89. DEber de informar. Art. 20.3 ET. Información previa, expresa, clara, concisa, empleadores públicos. Dispositivo cartel es OK. No en zonas de descanso, pero posible únicamente cuando resulten relevantes en relación a los riesgos para la seguridad de las instalaciones bienes y personas. No sonidos pero también posible con la misma excepción. Cumplimiento deber público 6.1 E, no es interés legítimo recuerda aunque un RT tb podría argumentar el interés legítimo. -Niños lopdgdd reduce edad mínima a 14 recuerda. -Deber de información del art. 13 es más amplio en el 14, es lógico, aquí los datos no han sido obtenidos directamente del interesado, el momento para dar la información es distinto, el 13 es antes, el 14 depende del contexto. En video vigilancia el deber de información se entenderá cumplico mediante la colocación de dispositivo informativo. indicando existencia tratamiento, identidad rt y posibilidad de ejercitar derechos. posibilidad de conexión o dirección de internet para amplicar info. Pero deberá existir infromación adicional. -Sistemas de información crediticia: se presume lícito el tratamiento por obligaciones dinerarias financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan que hayan sido facilitados por el acreedor, que sean deudas ciertas, vencidas, exigibles, que el acreedor haya informado al afectado, que informe en 30 días, límite 5 años. Solo puede consultarse cuando quien consulte mantenga relación contractual con el afectado que implique abono de una cuantía pecuniaria o haya contrato de financiación, pago aplazado,e tc. Los mantenedores del sistema son Corresponsables. Corresponderá al acreedor garantizar que concurren requisitos para inclusión. No se incorporarán deudas superiores a 50 euros -Recuerda que salvo prueba en contrario se presumirán lícitos los tratamientos de datos incluida su comunicación por temas de operación de modificación estructural de sociedades o aportación o transmisión de negocio o de rama de actividad empresarial siempre que los tratamientos fueran necesario para el buen fin de la operación y garanticen la continuidad en la prestación de los servicios, en el caso de que la operación no llegue a concluirse la entidad cesionaria deberá proceder con carácter inmediato a la supresión de los datos. -Recuerda que se debe informar de identidad rt, contacto dpo, finalidades, intereses legitimos, destinatarios, TI, plazo de tiempo, derechos, si se basa en el consentimiento la posibilidad de retirarlo si bien ello no afectará\...si no da curso a una solicitud reclamación ante AEPD, si la comunicación es un requisito imprescindible, tene de decisiones individuales automatizadas elaboración de perfiles lógica aplicada. Interés legítimo implica hablar del fin perseguido. -Art 14 RGPD añadiriamos info sobre categorías de datos persoanles objeto de tratamiento y la fuente de la que proceden. Plazo razonable una vez se hayan recabado y no más tarrde del plazo de un mes. Excepción esfuerzo desproporcionado, cuando sea uan excepción derecho UE etc -Tratamietno de datos de menores solo se puede basar en el consentimiento si es mayor de 14 años, art. 7 LOPDGDD. REcuerda que prevalce interés superior del menor. -art. 92 excepciones a datos de categoría especial son numeros clausus. Consentimiento explicito no basta para levantar la prohibición del tratamiento de datos de ideologia, afiliación sindical, religión orientación sexcul, creencia, origen racial o étnico y será necesario que concurra otra excepción del 9.2. CAtegorias especiales requieren una ley que habilite, por eemplo ley general de sanidad. Excepciones además de consentimiento son las de tratamiento necesario relacionado con derecho laboral, intereses vitales, fundaciones o partidos, cuando los ha hecho manifiestamente públicos, defensa de reclamaciones, interés público, medicina preventiva o laboral -pero con ley habilitante por ejemplo ley 41/2002, que la cita la propia LOPDyPDD-, interés público, fines de archivo en interés público. -Datos de comisión de infracción administrativas o pensales son datos que solo pueden ser tratados por la administración, pero recuerda ley 2/2023 será un aexepción -6.1C norma de derecho comunitario o norma con rango de ley que podrá determinar las condiciones -6.1E interés público es necesario existenica también de norma habilitante que proporcione el interés público de dicha misión como el ejercicio del poder público de tal función. -6.1 F interés legítimo hay que concretar la calificación de interés legitimo, ponderación etc. Es la BJ que cita el art 19 LOPDyPDGG para el tratamiento de datos de contacto y función o puesto desempeñado de las personas físicas que presten servicios a una persona jurídica siempre que únicamente sean su localización, con finalidad mercantil, etc. Lo miso para empresariso individuales y a profesiones liberales cuando se refieran a ellos en dicha condición. También cuando sea una obligación legal o sea necesario para el ejercicio de sus competencias. Existe una prevalencia iuris tantum del IL sobre determinados tratamientos, este es uno de ellos. Hay otros donde se indica que interés legítimo como video vigilancia, ficheros de exclusión publicitaria o sistemas de denuncias internas en los que la legitimidad bien del interés público 6.1 e. -Derecho de acceso contempla el acceso a los datos y ADEMAS a finalidades, categorías, destinatarios, plazo de conservación, existencia de resto de derechos, origen de los datos, tema de decisiones automatizadas y TI garantías adecuadas. Objetio es que el interesado analice el tratamiento para ver que se realiza conforme normativa vigente. Forma libre, proporcionar copia de datos, si lo hace de forma electrónica de forma electrónica.. Gran cantidad de datos sin especificar: que especifique. Sistema de acceso remoto, directo, seguro. **Es REPETITIVO el ejercicio del derecho de acceso en más una ocasión en el plazo de seis meses sin que exista causa legitima**. Si coste desproporcionado, afectado asumirá exceso de costes. No es un derecho absoluto: segurdad del estado, defensa, seguridad pública, fiches de archivo, investigación científica..no podrá afectar de modo negativo a los derechos y libertades de otros. Arts. 15 RGDP y 13 LOPDyPDGG -REctificación redes sociales. Aviso aclaratorio si hay solicitud de rectificación formulada contra ellos, lugar visible. Para el ejercicio de derecho rect se puede acompañar documentación justificativa -Supresión, cuando los datos ya no sean necesarios, cuando retire consentimiento y cuando se oponga el interesado, cuando tratamiento ilicito, por obligación legal etc Hay que ponderar derechos, por ejemplo libertad de expresión o de información también es un DFundam. Si se ejerce supresión, el RT bloquea los datos, identificación y reserva de los mismos, adoptando medidas técnicas tendentes a su no tratamiento, finalmente se suprimen finalizado plazo legal. Si no lo permite se hará un copiado seguro de la info con evidencia digital l RGPD al regular este derecho lo conecta de cierta forma con el denominado "**derecho al olvido**", de manera que este derecho de supresión s**e amplíe de tal forma que la persona responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos**, o las copias o réplicas de tales datos. Como siempre este derecho no es ilimitado: de tal forma que puede ser factible no proceder a la supresión cuando el tratamiento sea necesario para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a la persona responsable, por razones de interés público, en el ámbito de la salud pública, con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones. -Derecho de oposición arts. 21 y 18 LOPDGG oponerse al tratamiento e**n misión de interés público o por interés legítimo** OJO SOLO EN ESTOS CASOS. Pero el RT puede acredtiar interes legitmo imperioso para continuar tratamiento. No es un derecho absoluto. Por ejemplo puede ejercerlo con finalidades de investigación. RT debe demostrar su interés leg´timo. Por ejemplo en mercadotecnia, el derecho habrá de ser comunicado de forma separada al resto de derechos. Este derecho se presentará claramente al margen de cualquier información. Cuando se tratan con fines de investigación científica o histórica o fines estadísticos el interesado tb tendrá derecho por motivos relacioandos con su situación particular, a oponerse. -LSSICE recuerda posibildiad envio comunicados comerciales en relación a productos comprados, auqnue se indica que queda prohibido el envío de comunicaciones comerciales por correo electrónico u otro medio\...hay que indicar el sector en la información\... -Derecho a no ser objeto de decisiones indviduales automatizadas no tiene caracter absoluto tampoco, se permite si es necesaro para poder celebrar contrato, está autorizado por ley, o se base en consetniminto explicito. No podrán afectar a categorías especiales. -Portabilidad: obetención de datos o en su caso transmitirlos a otro RT. Condicionamientos: se debe hacer por medios automatizados. Fromato estructurado, de uso común, lectura mecánica. Y que esté basado en el CONSENTIMIENTO o EN UN CONTRATO no es aplicable para otra base jurídica. Se cita expresamente que este derecho no podrá llevarse a cabo en cumplimiento de obligación legal, interés publico, interés legítimo, intereses vitales\...Debe haber una colaboración proactiva en los dos rts. Como resto de derechos 1 mes a contar desde el momento en el que se recibe solicitud. Gratuito excepto si es infundado y excesivo. Art. 95 LOPDGDD portabilidad en redes sociales. -Limitación del tratamiento: marcado de los datos con el fin de limitar su tratamiento futuro Por ejeplo, tratamiento no lícitod, porque son inexactos, que el interesado indique que el RT ya no precisa de los datos. Este derecho solo es posible con base juridica consetnimiento, por defensa de reclamaciones, proteger derechos que corresponden a tora persona, por interés público. **Realmente implica dos vertientes o posibilidades**: **suspender el tratamiento** de datos al impugnar la exactitud de los datos durante un plazo en el que el RT permite comprobar la verificación de los mismos o cuando se oponga al tratamiento en base a IL mientras se comprueba que los IL del RT no prevalecen sobre el interesado, **o también conservar los datos**, cuando el tratmaiento se ilícito y te has opuesto a la supresión de tus datos y solicitas la limitación de su uso o cuando el RT ya no necesita los datos pero el interesado los necesita para la formulación el ejercicio o defensa de reclamaciones. -RT y ET, mas subcontratistas: recuerda, se precisa autorización previa por parte del ET para los subcontratistas, recuerda que se deben citar en el contrato, debe aprobarlo el RT. Recuerda que la comisión ha elaborador cláusulas tipo, no es obligatorio su uso. También recuerda respeto a relación RT-ET y TI, que el ET tiene la obligación de comprobar que el receptor o importador de datos cuaneta con garantías suficientes. -Recuerda que el RT es exigible a empresas que empleen a 250 personas o mas o si son menos, también lo es para aquellas empresas que \"desarrollen operaciones del tratamiento que impliquen un riesgo para los derechos etc..\" -Resposnabilidad proactiva: el RT es Responsable, y también debe probar el cumplimiento. art. 5.2 RGPD. RT debe adoptar medidas adecuadas, y existe necesidad de demostrar que ha aplicado dichas medidas. Por eso es exigible procedimientos internos, politica sescritas, formación, seguridad, evaluaciones, análisis de riesgos\... -EIPD, art. 35. \"Con anterioridad\" al tratamiento. Riesgos por su tratamiento, tecnología, contexto o fines. Recuerda que es obligatoria en operaciones de tratamiento a gran escala de categorías especiales de datos, observación sistemática a gran escala de zonas de acceso público, y en aquellos casos de evaluación sistemática y exhaustiva de aspectos personales relativos a elaboración de perfiles, etc. Recuerda que la AEPD ha publicado un listado. Entre dicho listado está biometría, genética, sujetos vulnerables, uso innovador de tecnologías, perfilado, etc. También ha publicado otra lista, lista orientativa de tratamientos que NO requieren EIPD. EIPD debe llevar una descripción de las operaciones de tratamiento, evaluación de la necesidad y de la proporcionalidad, evaluación de riesgos para derechos y libertades de interesados, medidas de seguridad. Consulta previa si entraña riesgo, por parte del RT. El ET coopera con el RT. **OCHO SEMANAS contesta la autoridad de control, prórroga seis semanas más**, en cuyo caso informa en el plazo de un mes, a contar desde la recepción de la solicitud de consulta previa, posibilidad de suspensión hasta que la autoridad de control \"obtenga la información solicitada\". El RT en esta consulta pública debe dar información a la autoridad de control respecto a responsabilidades respectivas del RT, finalidades, medios de tratamiento, medidas, garantías, datos de contacto del DPO, la propia EIPD\... -Comunicación de brecha: 72 horas después de haber tenido constancia, salvo que sea improbable que el incidente comporte riesgo. Si es un riesgo elevado, también a los interesados. Si no se notifica en 72 horas, habrá de indicarse las razones. No si hay escasa probabilidad. Contenido: describir la naturaleza de la violación, datos de contacto, consecuencias, medidas adoptadas, etc. Se puede hacer gradualmente. Herramienta AEPD. Se debe dejar constancia documental. Comunicación a los interesados en lenguaje claro y sencillo, naturaleza del incidente, etc. No si el RT ha adoptado medidas técnicas suficientes. -Recuerda que CEPD reemplaza al GTA29. También existe el SEPD. Códigos de conducta. Voluntario. Elemento para demostrar cumplimiento. Válido para el art. 32. Ventaja para el RT o ET. Asociación de sus organismos. Se presenta un proyecto a la AEPD. Complejidad notoria. Participación de los integrantes. Preparación del proyecto. Participativo. Conversación a diferentes niveles. La Autoridad de Control dictaminará si el código de conducta es aprobado o no. Se registrará y publicará en su caso. Si es a nivel europeo, mecanismo de coherencia, con participación del CEPD. Mecanismos de supervisión y control en el propio código. Inspecciones del código. Auditorías para reparar el daño al interesado. Efecto clarificado, presunción de cumplimiento, circunstancia atenuante de responsabilidad, también tiene que ver con TI siendo una garantía adecuada según 46.2. Son vinculantes para quien se adhiere. Promoción por asociaciones u organismos. También las autonómicas. Se pueden elaborar códigos de conducta para aspectos sectoriales del RGPD, como recogida de datos seudonimizaciones, etc. Papel del CEPD si afecta a varios estados miembros. La supervisión del código de conducta también la puede hacer un organismo que tenga un acreditado nivel de pericia. -Certificacion dpo máximo 3 años. -El RAT. Como RT debe incluir nombre y datos de contacto RT o CT, representatne, Delegado de Protección de Datos, fines, descripción de categorias de interesados y categorias de datos, categorias de dstintarias a quien se comunicaron\...TIs..plazos previstos para supresión, medicas tecnicas. Cada ET llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un RT que contenga: nombre y datos de contacto del ET y cada RT por el que actual, categorias, TIs, descripción de medidas. A disposición de la AC. Inclusivo formato electrónica. No en menos de 250 \"si es un tratamiento ocasional\" y sin inclusión de datos de categoría especial. Entidades públicas como colegios harán público su inventario de Actividades de tratamiento. -DPO. Supervisión y monitorización, independiente. administración publica, gran escala de categorias especial, observación habitual y sistemática de interesados a gran escala, mas supuestos del 34.1 lopdggg, por ejeplo sanitarios, etc. SE comunica en un plazo de 10 días una vez designado. Puede ser un empleado interna o un consultor externo. CUalidades relacionadas con el conocimiento de la prot datos. No responsabilidad, no se le sanciona. No conflicto de intereses. Se integra en la estructura de dirección de la empresa, no recibe instrucciones, está prohibido su cese salvo dolo o negligencia grave, actua como punto de control, comunicación de la AEPD al dpo, El dpo puede comunicarse con una denunica de un interesado plazo máximo 2 meses, tambien la aepd puede ponerse en contacto con el dpo para que indique lo que crea conveniente ante una reclamación en un plazo de 1 mes, no recibe instrucciones, informa asesora, supervisa, coopera con la autoridad de control, punto de contacto. Han de tener dpo colegios profesionales y consejos, centros deocentes, entidades que expltan redes, pssi cuando recaben a gran escala datos, entidades de crédito, aseguradoras y reaseguradoras, inversion, electrica y distribuidores y comercializadoras, entidades responsbles de ficheros comunes para la evaluación de la solvencia patrimonial, publi y prospección comercial, centros sanitarios, emisión de informes comerciales, juego, seguridad privada, federaciones deportivas. Se comunica en 10 días desde su designación. Lista actualizada. -Violacion de sguridad. RT notificará a AC sin dilacion indebida y de ser posible a mas tardar 72 horas después de que haya tenido constancia a menos que se aiprobable que dicha violacion de la seguridad constituya un riesgo para los derechos. Justificar si no se notifica en 72 horas. ET notificará las violaciones d elas que tenga conocimiento. Notificación deberá describir naturaleza, comunicar nombre y datos de contacto del Delegado de Protección de Datos, consecuencia, medidas adoptadas, describir naturalez de la violación de la seguridad de los datos, inclusiva cuando sea posible las categorias y número de interesados. Se puede proporcionar la info de forma gradual. Se documentará. Brecha de confidencialidad, integridad o disponibilidad. Según modelo, se determinará si es probable o no es probable que constituya un riesgo para los derechos y libertades de las personaas físicas. Y si no esun alto riesgo no tiene porqué notificarse a interesados. Contexto, brecha interna o externa malintencionada. A qué datos afecta. Posibles consecuencias. -TI. Principio general: solo se realizan TI si se cumplen las disposiciones del presente capitulo del RGPD. NO SE PRECISA AUTORIZACION PREVIA cuando las trasnferencias se basen en la aportaciónd e garantías adecuadas, PERO SI SERÁ NECESARIA, si las garantías aportas se recogen en un contrato QUE NO SE AJUSTA al clausulado tipo aprobado por la Comsión Europea o adoptado por una AC y aprobado también por Comisión Europea. TI basado en una decisión de adecuación. Por ejemplo EStados Unidos, recuerda. Comisión mediante un acto de ejecución así lo dicta. Mediante otro acto de ejecución le puede quitar lo del nivel de protección. Se hacen consultas con el pais. Publicación en el DOUE y web. Espacio Económico Europeo es además de los estados miembros, Islandia, Lichetenstein y noruega, no lo es Suiza. A efectos de TI también incluimos a estos tres paíeses. Gran bretaña es tercer pais, pero hay reconocimiento como pais equivalente. Decisiones de adecuación las hace la comisión, excluyendo estados miembros. Decsión de adecuacion pueden ser un pais o territorios. Para ello, procedimiento de examen, se evalúan varias cosas del estado. Dictamente también del CEPD. Se valorarán para la decisión de adecuación el marjo jurídico, existencia de autoridades de control, compromisos, etc. REvisión cada cuatros años. Publicac ión en el DOUE y sitio web de la comisión. Suiza, reino unido, argentina, israel\...Transferencias mediante grantías adecuadas. SI NO HAY Decisión de adecuación, solo se podrá hacer la TI SIN NECESIDAD DE AUTORIZACION EXPRESA, si hubiera garantías adecuadas del art. 46: instrumento vinculante, BCR, Cláusulas tipo adoptadas por comisión, por la AC, código de conducta o mecanismo de certificación. Recuerda que en el caso en que se realicen TI en base a garantías adecuadas, el interesado tendrá que se informado de todas aquellas garantías. Son \"instrumentes jurídicamente vinculantes\" entre organismos públcios, normas corporativas vinculantes, clásuulas tipo aprobadas por la comisión. También clásuulas tipo, códigos de conducta, mecanismos de certifficción etc. Y con AUTORIZACION: Cláusulas contractuales, disposición que se incorporen en acuerdos administrativos entre las autoridades,Normas corporativas vinculantes son politicad de protección de datos asumidas por un RT para transferencias entre un RT y un ET dentro de un grupo empresarial. Es una declaración unilateral de voluntad. Las BCR deben tener un contenido mínimo, como una descripción de la estructura del grupo empresarial, derechos, funciones del dpd, etc. La AEPD y las AAPDD podrán aprobar BCR en un procedimiento que dura máximo 9 meses. Requiere autorización previa una transferencia que pretenda fundamentarse en aportación de garantías adecuadas mediante cláusulas contractuales QUE NO CORRESPONDAN a las del 46.2 letras c y d. También si es entidad pública y se funde en diposición incorporadas a acuerdos internacionales NO NORMATIVOS. Procedimiento máximo de 6 meses.Excepcione spara situaciones específicas del art. 49 RGP. Consentimiento del interesado, interés vital etc. 49.1 permite realización de Ti si no son repetitivas, afectan a un número reducido de interesados, y sean imprescindibles para el objeto y deberá informar a la autoridad de control. Art. 42, hay supuestos de TI que requieren autorización de la autoridad de control. Si no hay nada, debe autorizarlo la AEPD en base a aportación de garantías, etc, en un procedimiento de 6 mese. Autoridad de control puede aprobar normas corporativas vinculantes, serán juídicamente vinculantes, conferira´n derechos a interesados, tendrán aspectos formales como los datos de contacto del grupo empresarial, aplicación de los principios generales en Protección de Datos, procedimientos de reclamación, funciones del dpo, forma en el que los interesados ejercen los derechos, etc. Aún así, se debe establcer la posibilidad de realizar TI si media el consetnimiento explícito del interesado, si es ocasiones y necesaria, cuando lo requieran razones importantes de interés público, etc. - Autoridad de Control. Independencia. No pueden estar sometidas a ninguna instrucción. Duración mínima cuatro años, máxima no se indica, de los integrantes. Se puede remover del cargo por conducta irregular de carácter grave o en el caso de que deje de cumplir condiciones inherentes al cargo. Incompatibilidad del cargo. Autonomía presupuestaria. AEPD es una autoridad independiente según el artículo 44 de la lopdgdd de las previstas en la lrjsp, personalidad jurídica y plena capacidad pública y privada. Se relaciona con el gobierno a través del ministerio de justicia, es representante común de España en el CEPD. Autoridades autonómicas del sector público. Pueden emitir circulares. Presidencia y adjunto son nombrados por el gobierno a propuesta del ministerio de justicia entre personas de reconocida competencia profesional. El mandato es por 5 años pudiendo ser renovado por otro tanto. Funciones de naturaleza coercitiva: resolver reclamaciones, llevar a cabo investigaciones, autorizar las garantías que se aporten para la TI, aprobar bcr, autorizar cláusulas contractuales. Funciones relativas a la prestación y promoción del derecho a la protección de datos, publicación, promoción de mecanismos de certificación. Funciones orientadas a cooperar con otras autoridades, administraciones públicas, etc. Tiene poderes de investigación. Los funcionarios tienen la consideración de agentes de la autoridad en el ejercicio de sus funciones y estarán obligados a guardar secreto. Puede recabar la ayuda de empresas de telefonía, isp, etc., cesiones de datos previa motivación de la AEPD, quedan excluidos los datos de tráfico. Según la Ley 11/2023 se puede hacer a través de sistemas digitales. Planes de auditoría preventiva a un sector. Poderes correctivos: advertencia, apercibimiento, atender solicitudes de derechos, imponer limitación de carácter temporal al tratamiento, imponer una multa, suspender flujos de datos, retirar una certificación. También poderes de autorización y consultivos. Por ejemplo, facultad de emitir dictámenes al parlamento y al gobierno. -Régimen sancionador. Arts. 70 a 78 lopdgdd. Se sanciona al RT ET, representantes o ETs no establecidos, entidades de certificación, entidades acreditadas de sueprvisión de los códigos de conducta..no al dpo. Sanciones efectivas, proporionadas, disuasorias, en función de las circunstancias concurrentes, teniendo en cuenta cada caso individual, teniendo en cuenta naturaleza, gravedad, dureción, intencionalidad, medidas tomadas por el RT o ET para paliar daños, grado de responsabilidad, infracciones anteriores cometidas por el RT, grado de coperación, adhesión a códigos de conducta, factores agravantes\... leves, graves, muy graves. precriben 3 años muiy graves, 2 y 1. Muy graves\...tratamietno sin garantias, sin validad del consentimiento, tratamiento para finalidades no compatibles, tratamietno de datos personales de categorías especiales sin que concurra alguna de las circunstancias etc. Graves: tratamietno de datos de menores, impedimiento derechos, falta de adoptación de medidas técnicas del art. 32, no disponer del rat, no haber designado un representnate\...leves, 1 año, incumplimiento de principio de transparencia, no atender solicitudes de ejercicio de derechos, no informar al afectado, disponer de un rat incompleto, no comunicar una violación a la autoridad de control, no publicar datos de contacto de un dpo. -CEPD. Personalidad jurídica propia. AEPD le corresponde la acción exterior. Representatne común de todas las autoridades autonómicas en el CEPD es la AEPD. SEcretaría del CEPD es el SEPD. Independencia del SEPD vs CEPD. CEPD presidencia y vicepre 5 años. Decisiones por mayoria simple pero en determinadas situaciones relacionadas con mecanismo de coherencia pej mayoria dos tercios. Informe con caracter anual. Aplicación coherente de la normativa. Asesoramiento, directrices, etc. Decisiones vinculantes. Presidente ostenta la representación. Sustituye al Grupo de Trabajo de la Directiva 95/46/CE. Aplicación coherente del RGPD y asesora a la comisión europea en particular sobre el nivel de protección en terceros países y organizaciones internacionales y comenta la cooperación de las Acs. Independencia. Comisión no tiene voto en las reuniones del CEPD. CEPD supervisa, asesora a la comisión, emite directrices, recomendaciones y buenas prácticas, examina la aplicación del RGPD a petición de alguno de sus miembros, emite directrices recomendaciones y buenas prácticas a fin de especificar los criterios y requisitos. Informe anual público. Mayoria simple se toman las decisiones salvo excepciones. Reglamento interno por mayoria 2 tercios. mandato del presidente y vicepresidnete es de 5 años. Se eligen 2 vicepresidentes. -Acción exterior es de la AEPD pero también de las Autoridades autonómicas en función de sus competencias -Procedimientos AEPD. Forma de iniciación: derechos 15 a 22 acuerdo de admisión a trámite, 6 meses para resolver, transcurrido el plazo silencio positivo. Si estamos ante una posible infracción, acuerdo de inicio por propia iniciativa o por relamación. La AEPD tendrá que decidir admisión a trámite. Admitida a trámite, podrá existir fase de actuaciones previas de investigación, max 12 meses. DEcisión sobre la admisión se noticia al reclamante en 3 meses, si no se dice nada silencio positivo. Actuaciones previas de investigación no superior a 18 meses. Presidencia AEPD dicta acuerdo de inicio de procedimiento para el ejercicio de potestad sancionadora. -Derecho de indemnización RT y ET solidariamente. Necesidad de dolo, culpa o negligencia. -Violación de seguridad: supuestos en que se afectada la confidencialidad, integridad o disponibilidad. -Datos de salud. Conexion Ley 41/2002. Historial clinio. Para fines epidemiologicos, salud pública docencia art. 16 41/2002 exige \"separación\" salvo consentimiento, por lo tanto seudonimización. Excepción investigación autoridad judicial, etc. Si es imprescindible para prevenir riesgo tambien pero solo por profesional sanitario. Base para investigaciones cientificas por tanto es el consentimiento 6.1 a y 92 a. Supuesto de que un RT cuando sea un grupo de investigación sin necesidad de consentimiento con situaciones de gravedad para la salud pública, ej coronavirus, en este caso legitimación interés público. Tb se considera lícita y compatible a los efectos del 6.4 RGPD el tratamietno de datos con fines de investigación en materia de salud. Tratamiento de datos seudonimizados con fines de investigación y biomédica informe previo comité ética investigación, requerirá informe previo dpo -Menores. LOPJM, incluso con consentimiento, \"si afecta a su intimidad, honra o reputación\" puede hacer que actúe MF. Menor de 14 años a efectos LOPDGDD. -Solvencia patrimonial. Se presume en base al interés público el tratamietno de datos de obligaciones dinerarias por sistemas comunes de información con deuda vencida, cierta, exigible, facilitada por el acreedor, con información previa 30 días. Entidades que mantengan sistema son corresponsable. -Telecomunicaciones. Caso de \"riesgo particular\" informar a los abonados sobre el riesgo y medidas a adoptar. Caso de violación, como el régimen general. Derechos de los usuarios según actual lgt son a no recibir llamadas automáticas, a no recibir llamadas no deseas sin consetnimiento, a que se hagan anóminimos los datos de tráfico a que solo se proceda al tratamiento de datos de localización cuando se hayan hecho anónimos, a figurar en las guias de abonados, a ser informados de su inclusión, a no figurar -video. finalidad preservar seguridad bienes e instalaciones. solo via pública en la medida en euqe resulte imprescindible para finalidad anterior. 1 mes dede suc aptación salvo cuando hubieran de ser conservados para comisión de actos, 72 horas, no bloqueo en este caso. Colocación de dipositivo informaivo en lugar visibl con existencia tratamiento identidad RT y ejercicio de derechos 15 a 22. Ojo, tratamiento de imágenes y sonidos obtenidos por fuerzas y cuerpos de seguridad se regirá por 2016/680 o LO 7/21021. 20.3 ET. No sonidos. Sanciones por comedor, etc. SEguridad privada obligacion dpo. -Entidades aseguradores dpo. Conservación de datos en este caso es de 2 años prescripción seguro de daños y 5 años si es seguro de personas -Corresponsabilidad art. 26. necesidad de acuerdo donde de modo transparente se establezcan responsabilidades. Intersados podrán dirigirse a cada uno. Se podnrán a disposición del interesado los aspectos esenciales del acuerdo -Publi. Lssice. Comuhnicaciones identificables, que se identifique en nobmre de quién se hacen, que se detallen con precisión las ofertas. Opti opt out. Recuerda excepción lssice el envío de publi es válido en virtud de una relación contractual previa sobre productos o servicios semejantes.. Derecho de oposición procedimiento sencillo y gratuito. Sistemas de exclusión publicitaria, se pueden crear sistemas de información generales o sectoriales con datos imprescindibles para identificar afectados, pudiendo incluir tb sistemas de preferencia mediante los cuales los afectados limiten la recpeción de comunicaciones a determinadas empresas. Se debe consultar antes por el remitente antes del envio de publi, salvo que el remitente hubiera dado consentimiento.. Quienee haganp ubli deberán previamente consultar los sistemas de exclusión publicitaria. No será necesario realizar la consulta a la que se refiere al párrafo anterior cuando el afectado hubiera prestado su consentimiento para recibir la comunicación. -Se presume lícito el tratamiento de datos personales que tenga por objeto el evitar el envío de comunicaciones comerciales, pudiéndose crear sistemas de información generales o sectoriales en los que sólo se incluirán los datos imprescindibles para identificar a los afectaos, comunicando a la autoridad de control su creación, haciéndolo pública la AC, -2016/680 traspuesta por LO 7/2021, el regpd no debe aplicarse a tratamientos sobre prevencio, investigacion, detección etc -Riesgos: riesgo es probablidad de que se materialice una amenaza. art. 32 RGPD. Enfoque orientado al riesgo. Análisis de riesgos es el estudio de las consecuencias previsibles de un posible incidente de seguridad considerando su impacto en la organización y probabilidad de que ocurra. En protección de datos el riesgo es la probabilidad de que suceda un daño para el interesado y el impacto que este tendría como resultado de la realización de operaciones de tratamiento sobre datos. Problema de que no se proporciona definición de riesgo elevado, hay que tener en cuenta dato sensible, o efectos, etc. Aproximación basada al riesgo. Elemento principal de responsabilidad proactiva. Seudonimización y cifrado, capacidad de garantizar la confidencialidad\...blabla, capacidad de restaurar la disponibilidad\...un proceso de verificación, evaluación\... al evaluar la adecuación del nivel de seguridad se tendrán en cuenta los riesgos que presenta el tratamiento. La adhesión a un código de conducta o a un mecanismo de certificación podrá servir de elemento para demostrar cumplimiento. RD 311/2022 ENS, ambito de administraciones públicas. 771.1 lopdgdd obligados colegios profesionales, ayuntamiento, banco de españa, corporaciones de derecho público, universidades públicas, encomienda de gestión o contraro idem. Evalúa riesgo rgpd identifica factores de riesgo. FAcilita rgpd es una herramienta de ayuda para empresas. Amenazas pueden afectar a la integraida, confidencialidad, y disponibilidad. Para ello se evaluan los riesgos. Identificación de amenazas, como empleo de técnicas maliciosas, etc. Si hay riesgo elevado habrá que bajarlo o requerirá de evaluación de impacto para que se concreten las medidas y garantías. Riesgos que menciona el 75RGPD, daño reputacion, perdida de confidencialid de datos sujetos al secreto profesional, reversión de la seudonimización, etc. Listas de tratamietno de datos que requieren eipd y lista que no. Riesgo inherente es el que se obtiene de la evaluación del nievel de riesgo con carácter previo a la implantación de medidas y garantías para minorar el riesgo derivado de cada uno de los factores de riesgo, no confundir con riesgo residual que será aquel que resulta de la evaluación del nivel de riesgo tras la adoptación de medidas. Una vez identificados y evaluados los riesgo, debemos gestionarlos, que tiene como base disminuir el nivel de exposición a los riesgos por medio de la aplicación de medidas de control que hagan posible la reducción de la probabilidad del impacto etc. Objetio es que el riesgo inherente pueda ser tratado para situar el riesgo residual en un punto se considere adecuado. Por ejemplo se puede impedir, minorar, reducir impacto o trasladar el riesgo a un tercero como un seguro, aceptar un riesgo. No hay una metodología concreta para la gestión de los riesgos. Tampoco impone una exigencia formal. Es necesario tener en consideración a todos aquellos individuos afectados, contexto actual, eficiencia y eficacia. Etapas: analizar los tratamiento, describi el tratamiento, identificar y analizar riesgos, evaluar el nivel de riesgo, tratar el riesgo, seguir y verificar la eficación de las medidas de seguridad. Por ejemplo una medida es implantar las \"oportunas políticas de protección de datos\"., seudonimización, cifrado. Medidas se pueden clasificar atendiendo a diversos criterios: proactivas o preventivas, de detección y reactivas o correctivas - atendiendo a la estrategia, medidas dirigidas a reducirlo o mitigarlo, a eliminarlo o encaminadas a aceptarlo o asumirlo - teniendo en cuenta la naturaleza, legales y técnicas. Los controles a implementar son de 4 tipos: medidas sobre el concepto y diseño del tratamiento, por ejemplo, limitar el número de intervinientes - sobre gobernanza y políticas de protección de datos, por ejemplo nombrar un dpo, - Medidas de seguridad para la protección de los derechos y libertadas y medidas de protección de datos desde el diseños (son 6, seguridad, confidencialidad, integridad, disponibilidad, además de las específicas de desvinculación tranasparecnncias etc. Metodologias iso iec 27005, iso 31000, magerit -metodologia de caracter público interesa en el ámbito de aplicacion ens, octave, nist 800-30, Cramm. -Protección de datos, compliance y derecho penal. Art. 31 CP incluye posibilidad de que la persona jurídica quede exonerada de responsabilidad siempre que reúna los requisitos previstos en el apartado 5. Compliance puede integrar Protección de Datos. -Política de Protección de Datos es válida para demostrar accountability, y debe ser una documentación util, efeciente, completa, dinámica, integrada, comunicada, transmitida al conjunto de la organización, no monolítica, trazable. -Seguridad de la información incluye las dimesiones de la confidencialidad, disponibilidad y la integridad., Iso 27000 2014. Un SGSI consiste en un conjunto de politicas, procedimientos, guías y sus recursos y actividades asociados, es un enfoque sistemático para establecer, implementar, operar la seguridad de la información de una organización -Principios ens: seguridad como proceso integral, gestion de seguridad basada en riesgos, prevencion detección respuesta y conservación, existencia de líneas de dfensa, vigilancia continua y reevaluación periódica y diferenciación de responsabilidad, diferenciando el responsable de información, el de servicio, el responsable de seguridad y el responsable del sistema. Se desarrolla una politica de seguridad, que debe incluir objetivos, marco regulatorio, roles, procedimientos, estructura y composición del comités o comités para la gestión y coordinación de la seguridad, directrices, etc. Cada admon publica y cada organo debe contar con una politica de seguridad formalmente aprobada, en la admon general del estado cada ministerio contará con su política de seguridad, los organismos públicos y entidades pertenecientes al sector público institucional estatal podrán contar con su propia politica, centros directivos, secretaría general de administración digital del ministerio de asuntos económicos y transformación digital, los municipios podrán disponer de una política de seguridad común elaborada por entidad comarcal. ESta política se aplicará y desarrollar teniendo en cuenta los requisitos de organización, análisis y gestión de riesgos, profesioanalidad, registro de la actividad y detección de código dañino, incidentes de seguridad, continuidad de la actividad, etc. -Directivas NIS y NIS 2, enfocadas a ciberseguridad. Aplicable a prestación de servicios esenciales -Para establecer y gestionar un SGSI utilizamos el ciclo plan, do check, act, en el primero de los ciclo se establece un SGSI y definen las métriasc, en el seguro se implementa y opera, tercero se supervisa cuarto se mantiene y mejora. Fase implementación de un SGSI: fase uno situación actual en la que se describe la organización, análisis de actividad, información del tamaño, plasmación de estructura organizacional, objetivos, et, Fase 2 esquema documental, se elabora la política de seguridad, documentación del sgsi, fase 3 análisis de riesgos, tabla de valoración de activos, se valoran amenazas, etc, fase 4 propuesta de proyectos para conseguir una adecuada gestión de seguridad, fase 5 evaluación del nivel de cumplimiento, fase 6 presentación de resultados -EIPD. Art. 35. Casos en los que no esté claro, se recomienda realizarla. Listas de tratamiento que han publicado las autoridades de control son orientativos. Reponsable principal de la seguridad de información CISO puede sugerirlo. Juicio de idoneidad, determinando si el tratamiento es adecuado, de necesidad, si el fin perseguido no puede ser alcanzado de una manera menos lesiva o invasiva, juicio de proporcionalidad, si la gravedad del riesgo es adecuada teniendo en cuenta el fin pretendido. No se seguirá la EIPD si no se supera este triple juicio. Disponible para la AC. Se recabarán la opinión de los interesados o de sus representantes en relación con el tratamiento, el fin es informar a los interesados, haciendo constar riesgos, impactos, etc, informando también de que el riesgo persigue un fin superior. Si riesgo residual del tratamiento previso podría constituir un peligro para derechos y libertades no se debe seguir con el tratamiento y habrá que consultar a la AC. Consulta previa a la AC es previa al tratamiento. -Una auditoría es un proceso sistemático, independiente y documentado para obtener evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de la auditoria. Necesidad de evidencias. Es una de las herramientas mas relevantas a los efectos de comprobación y evaluación del grado de cumplimiento en Protección de Datos. ARt. 32 RGPD existe un proceso de verificación evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. RDLOPD 1720 vigente en la medida en que no se oponga, recuerda que auditorias eran obligatorias a partir de nivel medio. Las auditorías deben inlcuir todos los tratamiento, deben detercatar riesgos, verificarán la adecuación de medidas adoptadas, analizará la situación actual de la organización. Auditoria interna, de primera parte auditoria se encomienda a un tercero que se llevan a cabo por terceros que tienen algún interés es la auditoría de segunda parte, las de tercera parte se hacen por auditores independientes. Fases: organización, planificación y obtención de la información, verificación de cumplimiento y elaboración y entraga de informe final. -Ejecución y seguimiento de acciones correctoras, fases: se identifican incumplimiento, se analizan sus orígenes y causas, se comprueba si son coincidentes o similares, se evalúa la necesidad de implementar una o varias acciones, se autoriza plan de acción, se revisa si las actuaciones han producido el resultado deseado, se informa al interesado de que se han llevado a campo, se monitorizan. -Auditorias de los Sistemas de Informaicón. Proceso sistemático, independiente, y documentado que persigue la obtención de evidencias objetivas y su evaluación objetiva para determinar en qué medida se cumplen los cirerios de auditoría en relación con la idoneidad de los controles de seguridad adoptados (def Anex IV **ENS**). Se definen objetivos, se recopila información, se identifican amenzas, se ven los controles, se analizan hallazgos , se hace un informe de auditoría, finalmente seguimiento y verificación. Art. 31 ENS necesidad de auditoria al menos cada dos años que verifique el cumplimiento del ens. Tb. con carácter extraordinario El plazo puede extenderse 3 meses cuando concurran impedimentos de fuera mayor. La auditoría se realizará en función de la categoría del sistema y en su caso, del perfil de cumplimiento específico, se utilizarán criterios generalmente conocidos, el informe de auditoría dictaminará sobre el grado de cumplimiento de este R.D. Anexo I ENS regula las categoráis de seguridad de los sitemas de información, un sistema de información será de categoría alta si alguna de sus dimensiones de seguridad -**confidencialidad**, **integridad**, **trazabilidad**, **autenticidad** y **disponibilidad**- alcanza el nivel de seguridad alto, si un incidencia puede causar un perjuicio muy grave, enteniendo por perjuicio muy grave p.ej. la anulación efectiva de la capacidad de la organización para desarrollar eficazmente sus funciones y competencias. Auditoria de categoría básica no necesita realizarla, autoevalución, resultado documentado, informes serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del sistema. Auditoría de categoría media o alta, identificando hallazgos de conformidad y no conformidad, criterios metodológicos, hechos, observarios, analizado por el responsable de seguridad competente, que presentará conclusiones al responsable del sistema para que adopte las medidas correctoras. Instrucción Tecnica de Seguridad de Auditoría de la SEguridad de los Sistemas de Información. CCN en el ejercicio de sus competencias elaborará y difundirá gúias de seguridad, gúias ccn-stic, particularmente de la serie 800, importante la 808 de noviembre 22. Conceptos de acitov, categoría de seguridad de un sistema -que es un grado dentro de la escala basica media alta, Ciberseguridad, dominio de seguridad (colección de activos uniformemente protegidos, evento de seguridad, incidente, medidas de seguridad, monitorización coninua, política de seguridad, principios básicos de seguridad, sistema de información (redes, todo dispositivos o grupo de dispositivos interconectados. Iso 27001. Metodologias cobit, nist, itil. Control interno y mejora continua como parte dle PDCA -ENS. Principio de seguridad como un proceso integral. Gestión de la seguridad basada en riesgos. Prevención, detección, respuest ay conservación. Existencia de lineas de defnesa. Vigilancia continua y reevaluación periódica, diferenciación de repsonsabilidades. Minimo privilegio. Política de seguridad y requisitos mínimos de seguridad. Gestión del personal. Profesionalidad. Autorización y control de los accesos. Protecciónd e las instalaciones. Adquisición de productos de seguridad y contrataciónd e servicios de seguridad. Integridad y actualización del sistema. Protección de información almacenada y en tránsito. Prevención ante sistemas interconectados. Registro de actividad y detección de código dañino. Continuidad de la actividad. Mejora continua del proceso de seguridad. Infraestructuras y servicios comunes. Auditoría informe e incidentes de seguridad. Capacidad de repsuesta ante incidentes. Normas de conformidad. Ciclo de vida de servicios y sistemas. CAtegorizaciónd e los sistemas de información, categorias y de seguridad y facultadas. Principio de no causar un prjuicio significativo al medioambiente. Anexos abordan categorías de seguridad de los sistemas, las medidas de seguridad, la auditoría de seguridad y glosario de términos. Seguridad como proceso integral es el princio básico. implicando concienciaciónd e las personas involucradas. Gestión de la seguridad basada en riegos, mantenimiento de un entorno controlado, para reducir riesgos an ivel tolerable a través de aplicación de medidas de seguridad. Principio relacionado con prevención, orientado a suprimir o minimizar la posibilidad de que las amenazas se materialicen, a la detección, encaminada a detectar la presencia de ciberincidentes, a la respuesta, dirigida a restaurar la información y los servicios que se vieran afectados, a la conservación de los datos y de la información. existencia de líneas de defnesa de naturaleza organizativa, física y lógica en el sistema de información, con varias capas de seguridad configuradas de modo que en el supuesto de que una de ella se vea afectada posibilite el desarrollo de una reacción satisfactoria ante incidentes inevitables disminuyendo la probabilidad de que se comprometa el sistema en su totalidad y reduzca el impacto final sobre el mismo, principio de vigilancia continua, evaluación permantente del estado de la seguridad de los activos posibilitando la medición de levlución al detectar vulnerabilidades e identificar deficiencias de configuración y una reevaluación periódica de las medidas de seguridad, principio de diferenciación de responsabilidad entre el responsable de la información, el del servicio, el responsable de seguridad y el del sistema, siendo la política de seguridad de la organización la que plasme las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos. -ISO 27001 es una norma internacional que nace con el fin de proveedr los requisitos necesarios para establecer, implementar, mantener y mejorar continua un sGSI. Al planificar un sgsi, en primer lugar, se determinan las cuestiones que resultan relevantes para el fin perseguido, luego se concretan las partes interesados, se especifican los riesgos y oportunidades, debe haber una proceso de apreciación de riesgos de seguridad que haga posible el establecimiento y mantenimiento de criterios sobre riesgos de seguridad de la información, donde se incluyan los criterios de aceptación de riesgo y los criterios para implementar las apreciaciones de los riesgos de seguridad de la información, etc. Organización deberá llevar a cabo la definición y puesta en marcha de un proceso de tratamiento de riesgos de seguridad de la información que permita una selección de las opciones adecuadas de tratamiento de riesgos de seguridad de la información, comparación de todos los controles, formulación de un plan de tratamiento de riesgos de seguridad de la información, será fundamental establecer los objetivos de seguridad de la información en las funciones y niveles pertinentes. Los objetivos deberán resultar coherentes con la política de seguridad de la información, medibles, se deben tomar en consideración las exigencias de seguridad de la información planificar las medidas de sseguridad, etc. Documentación incluye fecha, titulo, autor, numero de referencia, formato, idioma, versión, medios de soporte, documentación disponible, diestribución, acceso, recuperación uso. La alta dirección deberá revisar el SGSI a intervarlos planificados. Si ha yno coformidad la entidad deberá actuar y aplicar acciones que posibiliten su corrección etc. -Medidas de seguridad lógica incluyen políticas de renovación de contraseñas, de copia de seguridad, existencia de cortafuegos, antivirus, soluciones de seguridad perimetral, filtros contra el spam, sistemas de protección de redes inalámbrias, gestión de cotrol de acceso, de roles o de permisos, controles de acceso, roles en torno a los cuales se agrupan los derechos de acceso, modalidades de acceso etc. -Recuperación de desastres y continuidad. Plan de continuidad de negocio, BCP, Business Continuity Plan. suele incluir evaluaciones de riesgos, análisis de impacto, planes de recuperación de desastres, planes de contingencia, de comunicación y de formación al personal. Metodologia Iso 22301, plasma una serie de exigencias que resultan adecuadas. SE adquiere una adecuada gestión de la continuidad del negocio, prevención de posibles escenarios generados por situaciones críticas, resudicendo el impacto económico, de imagen o de responsabilidad , se evitan sanciones, etc. ENS en relación con ello art. 26 \"los sistemas dispondrán de copias de seguridad y se establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales\". -Cloud computing. Distinción entre nube privada, pública o híbrida. AEPD guía para clientes que contraten servicios de cloud. Software como servicio, infraestructura como servicio, plataforma como servicio. Proveedor de servicios en la nube será ET. Falta de transparencia se puede producir: es el proveedor el que conoce todos los detalles del servicio que ofrece y tenemos que saber qué, quién, cómo y dónde se lleva a cabo el tratamiento. Tener en cuenta también la posibilidad de T.I. -Internet de las cosas: ifnraestructura en la que miles de millones de sensores incorporados a dispositivos comunes y cotidianos registran, someten a tratamiento, almacenan y transfieren datos y al estar asociados a identificadores únicos, interactúan con otros dispositivos o sistemas\". Falta de calidad en el consentimiento principal problema, así como el uso de datos para otras finalidades, revelaciónd e pautas de comportamiento, limitaciones del anonimato, riesgos parala seguridad, etc. Existen recomendaciones para fabricantes, creadores de aplicaciones, plataformas, propietarios de dispositivos de iot. Riesgos de perfilado, riesgos incluso para la salud, riesgos de confiar en exceso en estos dispositivos, riesgos de ausencia de consentimiento. -Big Data.conjunto de tecnologías, algoritmos y sistemas empleados para recolectar datos a una escala y variedad no alcanzada hasta ahora y a la extracción de información de valor mediante sistemas analíticos avanzados oportados por computación en paralelo. Volumen, Variedad y Velocidad. Riesgos de generación de perfiles o profiling, predicciones, discriminación, potencial uso de sujetos vulnerables. Necesario conocer origen de los datos, posible incumplimiento minimización de datos, riesgos de transparencia en la información, transferencias internacionales, calidad de los datos conservación. Recomendable realizar un análisis previo, escoger datos correctos, organizar información, establecer protocolos -Redes sociales. deber de información, gestión de los derechos, realización de un TI. Facebook era corresponsable. -Tecnologías de seguimiento. Cookies. Un servidor web puede saber si el usuario que navega tiene un bloqueador de elementos, cuánta memomria tiene su equpo, que gráfica usa, o cómo mueve el ratón por la pantalla. Fingerprint o huella digital del dispositivo y se puede vincular al usuario. Cookies son cualquier tipo de dispositivo de almacenamiento y recuperación de datos que se utilice en el equipo terminal de un usuario con la finalidade de almacenar información y recuperar la información ya almacenada. Art. 22.1 LSSICE. Consentimiento previo. Ley especial. Guia de la AEPD, cookies propias o de terceros, técnicas, de preferencias, de analisis y de publicidad comportamental, tambien cookies de sesion o persistentes. Elaboración de politica de cookies con definición de cookies, información en torno al tipo de cookies, identificación de quién utiliza las cookies, las aceptación, información sobre las TI, tema de decisiones automatizadas informaciónd e la lógica empleada, plazo de conservación. Lenguaje conciso, transparente, inteligible, lenguaje claro, sencillo, evitando utilización de frases que induzcan a confusión, de fácil acceso, estructurada por capas, primera capa identidad del editor, fines de las cookies, si son propias o de terceros, modos de configurar la aceptación y en segunda capa resto de info. Pero recuerda que según guía de cookies última me parece que no es preciso citar al editor en la primera capa.. Consentir, aceptación, cuidado patrones oscuros, tema colores, scroll. Condiciones del consentimietno en cookies. -Blockchain, cadena de bloques. tecnica de almacenamiento distribuido de información, se forman red de nodos descentralizados. Se posibilita que individuos que no se conocen o no confían los unos en los otros construyan un gran registro digital que permite el cumplimiento del acuerdo asumido por todas las partes implicadas. Política de participación, de almacenamiento, de intercambio de datos, de consenso para validad la nueva información del sistema, de gestión de la integridad de la información. Bitcoin. Se registran y anotan todas las transacciones que se llevan a cabo con la moneda en un libro mayor contable del que existen multitud de copias públicamente disponibles. Seguridad en la moneda la proporciona la existencia de dichas copias. Política de participación no permisionada, personas intervinientes pueden entrar y salir libremente, política de almacenamiento distribuido de elementos de información, politica de intercambio de datos p2p por la que no existen requisitos de acceso a la red, política de consenso para validad la información, política de recompensar para las personas que construyen nuevos bloques, etc. La privacidad queda protegida merced al identificador con el que interviene cada uno de ellos. La relación con la persona solo la conoce el mismo. Dudas sobre el ejercicio del derecho de supresión en un sistema que no permite alterar el libro mayor de transacciones. Necesario ER y EIPDs. Aplicación en smart contracts que es más que un program aun algoritmo, un contrato o conjunto de transacciones susceptibles de ser ejecutidas en el futuro si concurren una serie de condiciones que se configuran en el propio contrato. Problemas con la elaboración de pefiles o privacidad desde el diseño. -Notas sobre la guía de cookies. La base es el art. 22 de la LSSICE, así como rgpd y lopdgdd. Norma especial es la lssice. \"los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales a condición de consentimiento después de información clara ycompleta\...uso de parámetros adecuados del navegador\...no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión\...\". Fingerpinting, técnicas de toma de huella digital del dispositivo. RGPD considerando 30: \"personas físicas pueden ser asociadas a identificadores en línea\...esto puede dejar huellas\...\". Se aplica si hay tratamietno de datos, es decir si identifica, por ejepmlo con un id de publicidad, correo, email\.... Se podrán denegar derechos del art. 12 y ss si no hay datos, excepto si el interesado los proporciona. Excepción cookies que únicamente hacen que se permita la comunicación entre el equipo del usuario y la red o aquellas que se utilizan estrictamente para prestar un servicio expresamente solicitado por el usuario. Cookies exceptuadas: entrada, autenticación,s eguridad, reproducto multimedia, equilibrar la carga, personalización de interfaz, para itnercambiar contenidos sociales. Estas cookies no sería necesario informar ni obtener el consentimiento para resto de cookies tanto de primera como de tercera parte, de sesion o persistentes. Pero por transparecnia se recomienda informar al menos con carácter genérico de las cookies excluidas \"esta web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos..\". Cookies propias, responable del editor, equpo terminal del usuario desde un equipo o dominio gestionado por el propio editor o de terceros, en las que es responsable una entidad distinta del editor que se envían desde un equipo que no es gestionado por el mismo por ejepmlo el tercero las utiliza para finalidades propias por ejemplo publi. Cookies técnicas, pem maquetación, seguridad, videos, sonidos, habilitar contenidos, están exceptuadas 22.2 lssice., cookies de preferencia, idioma hora, también exceptudas, cookies de análisis que permiten el análisis del comportamiento de los usuarios de los sitios web, incluida la cuantificación del impacto de los anuncios, cookies de publicidad comportamental, que almacenan informaicón del comportamiento de los usuairos lo que permite desarrollar un perfil específico para mostrar publi. Cookies de sesión y persistentes. Obligaciones de transparencia y obligaciones de obtención de consentimiento. Para transparencia, en la politica de cookies una definición y función genérica de las cookies, información sobre el tipo de cookies -análsisi y publicitarias-, identificación de quién utiliza cookies, información sobre forma de aceptar, denegar o revoar el consentimiento, info sobre TI, si hay elaboración de perfiles, periodo de conservación. La info debe darse de forma concisa, transparente, inteligible \"debe resultar comprensible al integrante medio de la audiencia objetivo\", lenguaje claro evetando el usod e frases que induzcan a confusión o desvirtúen la claridad del mensaje, de fácil acceso. Accesible y permanente en todo momento. CMP, panel de configuración, etc. Primera capa identificación del editor, pero no es necesario siempre que sus datos figuren en otras secciones o su identidad se pueda desprender del propio sitio web, identificación de finalidades, si son propias o de terceros sin que sea necesario identificar a los terceros, identificación genérica sobre el tipo de datos que se van a recopilar (por ejemplo publi), modo en que el usuario puede aceptar, enlace visible para segunda capa. Aceptar cookies, consentir, etc. Rechazar cookies. Botón de config que invoque panel de configuración. No puede darse al usuario la impresión de que tiene que aceptar las cookies, no se podrá empujar al usuario, color o contraste no podrán ser engañosos, no siendo válido pej. que la opciónd e rechazar las cookies sea un botón con un texto que no contrasta. Cooies deben agruparse por finalidade, también en función del tercero, respecto de las cookeis del tercero se puede citar al tercero. Consentimiento recuerda que es una clara acción afirmativa. Opción de negación deberá ofrecerse en la misma capa. Al solicitar el alta en un servicio sep uede solicitar el consentimiento de cookies siempre que éste esté separado del alta en el serivico. A la hora de elección de servicios. O a través de un CMP. Ojo con menores de 14 años, p ejm en sitios web dirigidos a niños: \"si tiene menos de 14 años, antes de seguir navegando, avise a su padre\...\". 24 meses para actualización del consentimiento. Los usuarios deberán poder retirar el consentimiento en cualquier momento, acceso sencillo y permanente al CMP. El acceso a los servicios y funcionalidades no debe supeditarse a la aceptación por el usuario de los \"muros de cookies\". Pay or okay a día de hoy se indica que según dictamen 8/2024 en la mayoría de los casos no será posible que el consentimiento ha sido válidamente otorgado por los interesados si solo ofrecen a los usuarios una elección binaria entre el consentimiento para el tratamietno de datos y el pago de una tarifa, se precisa alternativa gratuita. -Notas sobre Guía de Gestión del riesgo y EIPD. Riesgo es el efecto de la incertidumbre sobre la consecución de objetivos. Aproximación basa en el riesgo. RGPD establece obligación de gestionar el riesgo que para los derechos y libertades de las personas supone un tratamiento. Una EIPD forma parte de dicha gestión de riesgo, pero la gestión de riesgo es algo más amplio y general. Riesgo es por tratamiento automatizao y procesado manual, por elementos humanos y por los recursos. RGPD deja libertad para que la gestión del riego se integre en los recursos internos de gestión de riesgo de la empresa. Para alto riesgo el RGPD sí establece unos requisitos mínimos, p.ej hacer una eipd. Riesgo para los derechos y libertadoes es cualquier efecto o consecuencia no deseada sobre los interesados o no previstos en el prpio tratmaiento de datos capaz de generar daños o perjuicios sobre sus derechos y libertades, p ej físicos, materiales o inmateriales. Riesgo Cero no existe. Como mínimo, para gestionar un riesgo, se describe el tratamiento, se identifica y se analiza el riesgo, se evalua el nivel de riesgo, se trata el riesgo y hay un proceso de seguimiento y verificación. Norma iso 31000 manifiesta que la gestión del riesgo ha de estar integrada con el resto de los procesos de la entidad, es decir, no puede redactarse de forma aislada, la de los riesgos para derechos y libertades ha de estar integrada en la gobernanza y políticas de la entidad. ETs asisten al RT según art. 28. Debería ampararse en las garantías contractuales correspondientes, pero el RT sigue teniendo la obligación de gestionar su propio riesgo. La EIPD y la gestión del riesgo son actividades integradas. Una vez que se toma la decisión de llevar a abo una EIPD, la EIPD forma parte indivisible de la gestión de riesgos. EIPD es exigible cuando hay un alto riesgo, es especifica del RT, exige un análisis de la necesidad y proporcionalidd, se hace antes, exige el asesoramiento del dpd si está nombrado, requiere recabar opinión de interesados o representantes, tendrá en cuenta códigos de conducta, tendrá en cuenta certificaciones, en función del riesgo residual obliga al RT a realizar una consulta previa. Una buena forma de demostar accountability es la realización de una eipd cuando no sea obligatoria. Para llevar a cabo una correcta gestión del riesgo en primer luegar se han de indetificar y caracterizar los fines del tratamiento, que han de ser últimos, espe´cificos, medibles, alcanzables, realistas, acotados. Se describe el tratamiento, propósito, naturleza, ambito o alcance, contexto. Luego se hace una evaluación del nivel de riesgo, para ver si estamos ante un alto riesgo, arts. 35 y 36. Reisgo inherente es el resultante de evaluar el nievel de riesgo PREVIO a la implantación de medidas. Riesgo residual es el resultante de evaluar el nivel de riesgo DESPUES de tomar las medidas y garantías orientadas a reducir el riesgo. Se identifican altos riesgo algunos ya los señala el propio rgpd y lopd, o listas aprobadas por aepd en base al art. 35.4. El Tratamietno del riesgo supone tomar medidas e implementa garantías que disminuyan el riesgo. Ello supone ejecutar acciones para reducir el riesgo. La smedidas son controles. RGPD ya señala algunas garantías, pej aplicación de políticas de protección de datos. Medidas pueden ser proactivas/preventivas, de detección y reactivas/correctivas, en cómo afrontar el riesgo son medidas enfocadas a reducir/mitigar el riesgo, evitar/eliminar el riesgo o aceptar/asumir el riesgo. Atendiendo a su naturaleza orgnaizativas, legales, tecnicas. ARt 32 habla de seudonimización, cifrado, procesos de verificación evlauación y valoraciones, medidas orientadas a rantizar confidencialidad, integridad y disponibilidad, resiliencia. Para determinar el nivel de riesgo será necesario determinar la probabilidad de que el riesgo se materialice. REsilicencia es la capacidad de adaptación de un organismo, y dependerá de la capacitación de las personas, liderazo, adaptabilidad\...Una política de protección de datos es un medio para reducir un riesgo. La documetnación en el proceso de gestión del riesgo es una herramienta de trabajo, ha de ser eficiente, completa, dinámica, trazable, ha de comunicarse, transmitir información, no es monolítica, ha de estar integrada en la gestión de la organización. La documetnación no es la gestión del riesgo, aunque la gestión de riesgo ha de estar documentada. Se hace un Estudio a Alto Nivel del Tratamiento, con indicación de alcanca, ambito, sujetos, ciclo de vida de los datos, volumen de sujetos, extensión geográfica, duración, naturaleza, etc, se hace un análisis estructura del tratamiento. Se hace una descripción del ciclo de vida de los datos. Se hace un inventario de activos. Para determinar el nivel de riesgo, se tiene en cuenta las probabilidades -alta, baja\...-, el nivel de impacto -significativo\...-la probabilidad de que ocurra- alto my alto..- Luego hay factores de riesgo. SE han de tener en cuenta los tipos de datos, la extensión y alcance del tratamiento, etc. Luego e tiene en cuenta el riesgo dervidado de brechas, análisis básico, en base a varios escenarios que pudieran plantearse..finalmente se llega a saber el nivel de riesgo. Luego se aplican las medidas, que pueden versar sobre el concepto y diseño del tratamiento -eliminar alguna fase del tratmaiento-, en cuanto al ámbito -orientar el tratamiento a un menor número-, en cuanto al contexto -seleccionar otros encargados del tratmaiento-, en cuanto a los fines etc. Tmbién tenemos medidas de protección de datos desde el diseño: minimizar, ocultar, separar, abstraer, informar y controlar, cumplir y demostrar. Si estamos ante necesidad de implementar ENS, hay un concordancia entre el nivel de riesgo para los derechos y libertades -muy alto, alto, medio bajo- y la categoria ens - alto, medio, bajo-. Anexo II del ENS. Varias medidas como identiciación, inventario de acttivos, protección frente a código dañino, registroo de la gestión de incidentes, monitorización del sistema, energía eléctrica, protección frente a incendios, inundaciones, registro de entrada y salida de equipamiento, instalaciones alternativas, areas separadas y con control de acceso, plan de continuidad, gestión de personal, formación, personal alternativa, deberes y obligaciones, puesto de trabajo despejado, bloqueo de puesto de trabajo, protección de equipos portátiles, perímetro seguro, criptografia, custodia, transporte, desarrollo\...Las EIPDs se hacen antes de las actividades del tratamiento, pero si ante sno se ha hecho y cambian situaciones se hará después. No es obligatoria hacer una EIPD cuando no se aprobable que el tratamiento entrañe un alto riesgo. Lista orientativa. Evaluación de la necesidad y proporcionalidad en el tratmiaenot, fase importante. Juicio de idoneidad, necesiad, proporcionalidad en sentido estricto. No se recomienda continuar con la EIPD cuando el tratamiento no supera la evaluación de la necesidad. En idoneidad se define el umbral de efectividad del tratamiento. En juicio de necesiad se determina la relaevancia de los fines, la verificación de la adecuaciónd e las operaciones del tratamiento, se justrifica la configuración actual del tratmaiento. También tener en cuenta las cláusulas de caducidad aquí: circunstancias que puedan acaecer y hacer que el tratamiento devenga innecesario. En el juicio de proporcionalidad en sentido estricto se identifica el grado de impacto, la identificación y descripción de medidas compensataroias, los beneficios del tratamiento, el análisis balance daño-beneficio. Ojo también con recabar la opinión de los interesados, es un requisito de la eipd. SE hará una consulta previa a la AEPD cuando una EIPD muestra que en ausencia de garantías el riesgo no puede mitigarse por medios razonbales. Responde 8 semanas extensión a 14. -Biometria. ARt. 4.14, datos biométricos son datos obtenidos a partir de un tratamiento técnico específico relativos a las características físicas, fisiológics o conductuales de una personas que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos\". Una fotografía no es un dato de categoría especial pero si la tratan con un tratamiento adicional puede serlo. El hecho de que a partir de una plantilla biométrica de reconocimiento facil o dactilar, no se pueda reconstruir el rostro original carece de relevancia, pues es un identificador único que lo singuraliza unívocamente. El tema es que una plantilla biométrica e sun dato \"único\". Para el registro horario, RDLey 8/2019 \"la empresa garantizará el registro diario de jorrnada\...mediante negociación colectiva se organizará\...la empresa conservará los registros durante cuatro años\". Para el control de acceso la fundamentación es el 20.3 del Estatuto de los Trabajadores. \"el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control\...\". Necesidad de aplicar los principios de minimización de datos. El hecho de que una tecnología permita extrar mucha información no significa su utilización. Los datos han de ser adecuados pertienentes y limitados al o necesario. Art. 9.1 \"prohibe\" el tratamietno de datos de categoría especial. Dentro del 9.1 se cita a los datos biométricos dirigdos a identificar de manera unívoca a una persona física. Autenticación biométrica se ha de considerar como un tratamietno de datos de categoría especial. El tema es que en la actual normativa **no se contiene autorización suficientemente específica** alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo. También hay problemas con respecto al juicio de necesidad en relación a laEIPD, porque no superaría dicho juicio si puede optar por otras medidas. En relación a la posibilidad de que el trabajador de un consentimiento explicito y se de vía 9.2. A, tendríamos el problema de que no se un consentimiento libre, es un tratamiento que produce un desequilibrio de poder. NO OBSTANTE, se puede demostrar que no hay desequilibrio y entonces sería OK. Por ejemplo, si dispone de una alternativa de LIBRE elección. Pero claro, si existen alternativas\...es que no supera la EIPD porque habiendo alternativas tenemos el deber de optar por ellas. \"La realidad es que en la argumentación de muchos RTs al fundamentar el levantamiento de la prohibición en el consentimiento libre al proporcionar alternativas a los interesados, han hecho evidente la posibilidad y la viabilidad de dichas alternativas\". Además, debería superar una EIPD. No superación del análisis de necesidad en caso de que haya alternativas libres. -LSSICE en general no se aplica a las administraciones públicas, sin embargo cuando la actividad de una administración sí tenga un carácter económico sí que le será aplicable lssi. Es decir, un portal web de una administración no sería sujeto obligado lssi, pero sí si ofrece un servicio a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario, por ejemplo venta de libros u entradas. Pero actividad económica también entendida en el sentido de servicios de analitica, redes sociales etc que estén \"embebidos\" en la web, entonces sí aplicación tb de la guía de cookies. Tener en cuenta tb que AP están obligadas al RD 1112/2018 sobre accesibilidad. El uso de redes sociales para contratar servicio por parte de la AP en caso de que no se de un medio alternativo no se puede hacer porque consentimiento no es libre al no proporcionar medio alternativo, supone un obstáculo para aquellos ciudadanos que no quieren estar en redes sociales. Ojo aquí con menores de 14 años, ya sabes. Normalmente la entidad ha de disponer de una política de comunicación en redes sociales que ha de reflejar aspectos de la política de Protección de Datos, formación, información, etc. Datos personales de empleados de la administración publicados, expedientes mal anonimizados, datos inferidos\...revisar metadatos como CSV. Evitar que el gestor de la red social tenga acceso a contenido no anonimizado. Ojo: en relacion a cloud y AP, es importante tener en cuenta que la información o documetnos técnicos expuestos no suponen asumir dichas condiciones contractuales y que sean vinculantes para la AP, no es un contrato de adhesión genérico y no debe entenderse como vinculante. Recuerda también que según RDL 14/2019 es establece la obligación de que la empresa adjudicataria antes de la formalización del contrato haga una declaración en la que ponga de manifiesto dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos. Interés legítimo no aplica a la AP. En tratamientos de inteligencia artificial por ejemplo no sería aplicable. REcomendable supervisió humana, realizar auditorías, controles etc en IA. Blockchain y app, dificil identificar al RT en una cadena de bloques, también dificil ejecución del derecho al olvido o rectificación, se conservan de forma ilimitada los datos, seguridad se pueden exponer datos, también se puede vulnerar el principio de información y ademas puede haber TI. Blockchain como cualquier tratamiento debe estar sometido a una EIPD si es de alto riesgo, etc. Una estrategia de seudonimización es limitar la información volcada en la red a compromisos en forma de hashes. -EIPD según 35.3 es si evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se basen en tratamiento automatizado como elaboración de perfiles y sobre cuya base se tomen decisiones que produzcan efectos jurídiocs, tratamiento a gran escala de categorias especiales, o de los dtos personales relativos a condenas e infracciones penales u observación sistemática a gran escala de una zona de acceso público. RGPD dispone que las autoridades deberán pubicar una lista. Lista orientativa. Tratamientos que impliquen perfilado o valoración de sujetos, tratamietnos que impliquen toma de decisiones automatizadas, observación, supervisión geolocalización o control del interesado de forma sistemática y exhusiva, categorais especiales de datos, datos biométricos con el propósito de identificar de una manera única a una persona, tratamientos de datos genéticos, tratmaientos de datos a gran escala, tratamientos que impliquen asociación combinación o enlace de registros de bases de datos, tratamientos de datos de sujetos vulnerables o en riesgo de exclusió social inc menores de 14, discapacitados, etc, uso innovador de nuevas tecnologias, tratamientos que impidan a los interesados ejercer sus derechos. El RGPD dispone también que las autoridades de control PODRAN publicar una lista con los tratamientos que no requieren eipd: tratamientos que se realizan estrictamente bajo las directrices o autorizadas con anterioridad mediante circulares o decisiones emitdas por las autoridades de control, las que se realizan estrictamente bajo directrices de códigos de conducta aprobados por comisión europea, tratameitnos obligatorios por obligación legal o misión realizada en interés público siempre que en el mandato no se obligue a realizar eipd o cuando ya se haya realizado eipd, tratamientos realizados en el ejercicio de su labor profesional por trabajadores o autónomos, en particular médicos, profesionales de la salud o abogados, gestión de pymes contabilidad recursos humanos nominas, tratamientos de comunidades de propietarios, tratamietnos de colegios profesioanles y asociaciones sin ánimo de lucro para la gestión de datos personales de asociacioes colegiados o donantes, -Directiva Nis 2. establece principalmente obligaciones de ciberseguridad para los Estados miembros y medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación. - Análisis de riesgos y políticas de seguridad de la información - Gestión exhaustiva de incidentes - Planificación de crisis y de la continuidad del negocio - Sólida seguridad de la cadena de suministro - Seguridad de red empresarial - Gestión y divulgación de vulnerabilidades - Políticas y procedimientos que evalúan la eficacia de la gestión de riesgos de **ciberseguridad** - Uso de criptografía y cifrado VER [[https://www.ccn.cni.es/es/normativa/directiva-nis2]](https://www.ccn.cni.es/es/normativa/directiva-nis2) **Sujetos Esenciales** (los sujetos de sectores de alta criticidad como por ejemplo, administraciones públicas y empresas que se ocupan de energía, transporte, sector bancario, sector sanitario, infraestructuras digitales, etc.); y **Sujetos Importantes** (todos los sujetos de otros sectores críticos, de tamaño de mediana empresa en adelante, como por ejemplo los servicios postales y de mensajería, gestión de residuos, proveedores de servicios digitales, etc.). **El ámbito de aplicación de la NIS2 se extiende así a otras entidades**, incluyendo sectores como la producción química, fabricación de dispositivos médicos, procesamiento de alimentos y servicios de redes sociales, que no estaban bajo la jurisdicción de la NIS. De acuerdo con los criterios de dimensionamiento, **todas las grandes empresasde los sectores identificados** están automáticamente involucradas, es decir, aquellas con más de 250 empleados o un ingreso anual superior a **50 millones** de euros o un balance total anual superior a **43 millones de euros.** También están involucradas las medianas empresas, **es decir**, aquellas con un número de empleados entre 50 y 250 o un ingreso anual o un balance total anual entre **10 y 50 millones de euros o con un balance** total anual no superior a **43 millones de euros**, que operan en los sectores identificados. los proveedores de servicios esenciales deben incluir las medidas requeridas en los contratos con los proveedores externos. Para garantizar una respuesta rápida, la NIS2 establece que las organizaciones afectadas deben enviar una notificación [**[oportuna al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT),]**](https://www.csirt.gov.it/) o a una autoridad nacional competente, dentro de las 24 horas posteriores a la ocurrencia de un incidente cibernético significativo, es decir, aquel que cause una interrupción grave de los procesos o una pérdida financiera para la organización, o que cause un daño material o inmaterial considerable a otra persona. Si es necesario, las organizaciones también pueden solicitar asistencia para implementar medidas de mitigación. Las autoridades responderán a la notificación, brindarán orientación sobre cómo manejar el incidente e informarán a otros países afectados, si es necesario. Dentro de las 72 horas posteriores a conocer el incidente, la organización afectada debe proporcionar detalles sobre el ataque y una evaluación inicial del daño. Finalmente, dentro de un mes desde la notificación del incidente, la organización afectada debe presentar un informe con una descripción detallada de la gravedad, el impacto, la causa principal y las medidas de mitigación aplicadas por la organización. Según el artículo 41 de la Directiva NIS2, deberá transponerse en todos los Estados miembros, entre ellos España, a más tardar el 17 de octubre de 2024, siendo de aplicación el 18 de octubre de ese mismo año. -Modelado de amenazas. No sustituye a un analisis de riesgos ni una eipd, puede ayudar. El único método de modelado de amenazas para la privacidad de este tipo publicado y ampliamente utilizado es LINDDUN4. LINDDUN es un marco de modelado de amenazas para la privacidad diseñado para ayudar a identificar y mitigar las amenazas para dicha privacidad en los sistemas de software. LINDDUN es un acrónimo que representa los siete tipos de amenazas a la privacidad que aborda5 : Linking: Asociar diferentes datos o actividades de un individuo entre sí para obtener más información sobre el individuo o su grupo. Identifying: Aprender la identidad de un individuo a través de filtraciones, deducciones o inferencias. Non-repudiation: Poder atribuir una actividad a un individuo. Detecting: Deducir la implicación de un individuo en una actividad a través de la observación. Data disclosure: Recoger, almacenar, procesar o compartir datos personales en exceso. Unawareness: Informar, involucrar o empoderar a los individuos en el tratamiento de sus datos personales de manera insuficiente Non-compliance: Desviarse de las mejores prácticas, normas y legislación en materia de seguridad y protección de los datos. LINDDUN se centra principalmente en las amenazas técnicas y puede que no aborde plenamente los aspectos organizativos y procedimentales del cumplimiento del RGPD o los aspectos relativos a los derechos y libertades de los interesados. LINDDUN puede ser una herramienta valiosa para garantizar el cumplimiento del RGPD o para respaldar EIPD eficaces. Sin embargo, adecuar LINDDUN a las necesidades específicas de cumplimiento del RGPD puede requerir una personalización y adaptación significativas. Por este motivo hemos comenzado a trabajar en la propuesta de un nuevo marco, LIINE4DU y a realizar algunas validaciones iniciales7 Linking/ Vinculación Esta amenaza implica relacionar diferentes datos o actividades del interesado para obtener más información sobre el interesado o sobre un grupo de personas

Guía sobre el Reglamento General de Protección de Datos (RGPD) PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue