RODRÍGUEZ AYUSO, JUAN FRANCISCO
Abreviaturas 13
Prefacio 17
Capítulo Primero
Normativa general de protección de datos
I. Contexto normativo 21
1. Privacidad y protección de datos en el panorama internacional 21
2. La protección de datos en Europa 23
3. La protección de datos en España 29
4. Estándares y buenas prácticas 31
II. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Fundamentos 33
1. Ámbito de aplicación 34
2. Definiciones 37
a) Datos personales 38
b) Tratamiento 39
c) Fichero 39
d) Responsable del tratamiento 39
e) Encargado del tratamiento 40
f) Destinatario 40
g) Consentimiento del interesado 41
a) Limitación del tratamiento 42
3. Sujetos obligados 49
III. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Principios 50
1. El binomio derecho/deber en la protección de datos 50
2. Licitud del tratamiento 51
3. Lealtad y transparencia 52
4. Limitación de la finalidad 53
5. Minimización de datos 53
6. Exactitud 54
IV. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Legitimación 57
1. El consentimiento: otorgamiento y revocación 58
2. El consentimiento informado: finalidad, transparencia, conservación, información y deber de comunicación al interesado 61
3. Consentimiento de los niños 76
4. Categorías especiales de datos 78
5. Datos relativos a condenas e infracciones penales 81
6. Tratamiento que no requiere identificación 83
7. Bases jurídicas distintas del consentimiento 88
V. Derechos de los individuos 90
1. Transparencia e información 91
2. Acceso, rectificación, supresión (olvido) 91
3. Oposición 106
4. Decisiones individuales automatizadas 110
5. Portabilidad 112
6. Limitación del tratamiento 118
7. Excepciones a los derechos 120
VI. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Medidas de cumplimiento 121
1. Las políticas de protección de datos 122
2. Posición jurídica de los intervinientes. Responsables, co-responsables, encargados, subencargado del tratamiento y sus representantes. Relaciones entre ellos y formalización 123
3. El registro de actividades de tratamiento: identificación y clasificación del tratamiento de datos 133
VII. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Responsabilidad proactiva 135
1. Privacidad desde el diseño y por defecto. Principios fundamentales 138
2. Evaluación de impacto relativa a la protección de datos y consulta previa. Los tratamientos de alto riesgo 143
3. Seguridad de los datos personales. Seguridad técnica y organizativa 153
4. Las violaciones de la seguridad. Notificación de violaciones de seguridad 154
5. El Delegado de Protección de Datos (DPD). Marco normativo 157
6. Códigos de conducta y certificaciones 160
VIII. El reglamento europeo de protección de datos. Delegados de protección de datos (DPD, DPO, o Data Protection Officer) 174
1. Designación. Proceso de toma de decisión. Formalidades en el nombramiento, renovación y cese. Análisis de conflicto de intereses 175
2. Obligaciones y responsabilidades. Independencia. Identificación y reporte a dirección 182
3. Procedimientos. Colaboración, autorizaciones previas, relación con los interesados y gestión de reclamaciones 186
4. Comunicación con la autoridad de protección de datos 186
5. Competencia profesional. Negociación. Comunicación. Presupuestos 186
6. Formación 188
7. Habilidades personales, trabajo en equipo, liderazgo, gestión de equipos 189
IX. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Transferencias internacionales de datos 190
1. El sistema de decisiones de adecuación 192
2. Transferencias mediante garantías adecuadas 198
3. Normas Corporativas Vinculantes 202
4. Excepciones 206
5. Autorización de la autoridad de control 209
6. Suspensión temporal 210
7. Cláusulas contractuales 212
X. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Autoridades de control 212
1. Autoridades de control 213
2. Potestades 224
a) Funciones de naturaleza coercitiva 224
b) Funciones relativas a la prestación y promoción del derecho a la protección de datos 226
c) Funciones orientadas a la cooperación con otras autoridades de control, Administraciones Públicas y otros poderes estatales 228
3. Régimen sancionador 239
4. Comité Europeo de Protección de Datos 248
5. Procedimientos seguidos por la AEPD 253
6. La tutela jurisdiccional 257
7. El derecho de indemnización 260
XI. Directrices de interpretación del RGPD 265
1. Guías del GT artículo 29 265
2. Opiniones del Comité Europeo de Protección de Datos 271
3. Criterios de órganos jurisdiccionales 273
XII. Normativas sectoriales afectadas por la protección de datos 274
1. Sanitaria, Farmacéutica, Investigación 274
2. Protección de los menores 284
3. Solvencia Patrimonial 287
4. Telecomunicaciones 288
5. Videovigilancia 294
6. Seguros 299
7. Publicidad, etc. 299
XIII. Normativa española con implicaciones en protección de datos 302
1. LSSI, Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico 302
2. LGT, Ley 9/2014, de 9 de mayo, General de Telecomunicaciones 304
3. Ley firma-e, Ley 59/2003, de 19 de diciembre, de firma electrónica 304
XIV. Normativa europea con implicaciones en protección de datos 310
1. Directiva e-Privacy: Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre privacidad y las comunicaciones electrónicas) o Reglamento e-Privacy cuando se apruebe 310
2. Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) nº 2006/2004 sobre la cooperación en materia de protección de los consumidores 313
3. Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo 315
Capítulo Segundo
Responsabilidad activa
I. Análisis y gestión de riesgos de los tratamientos de datos personales 317
1. Introducción. Marco general de la evaluación y gestión de riesgos. Conceptos generales 317
2. Evaluación de riesgos. Inventario y valoración de activos. Inventario y valoración de amenazas. Salvaguardas existentes y valoración de su protección. Riesgo resultante 321
3. Gestión de riesgos. Conceptos. Implementación. Selección y asignación de salvaguardas a amenazas. Valoración de la protección. Riesgo residual, riesgo aceptable y riesgo inasumible 325
II. Metodologías de análisis y gestión de riesgos 334
III. Programa de cumplimiento de Protección de Datos y Seguridad en una organización 335
1. El diseño y la implantación del programa de protección de datos en el contexto de la organización 337
2. Objetivos del programa de cumplimiento 339
3. Accountability: la trazabilidad del modelo de cumplimiento 340
IV. Seguridad de la información 342
1. Marco normativo. Esquema Nacional de Seguridad y directiva NIS: Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Ámbito de aplicación, objetivos, elementos principales, principios básicos y requisitos mínimos 343
2. Ciberseguridad y gobierno de la seguridad de la información. Generalidades, Misión, gobierno efectivo de la Seguridad de la Información (SI). Conceptos de SI. Alcance. Métricas del gobierno de la SI. Estado de la SI. Estrategia de SI 354
3. Puesta en práctica de la seguridad de la información. Seguridad desde el diseño y por defecto. El ciclo de vida de los Sistemas de Información. Integración de la seguridad y la privacidad en el ciclo de vida. El control de calidad de los SI 359
V. Evaluación de Impacto de Protección de Datos EIDP 360
1. Introducción y fundamentos de las EIPD: Origen, concepto y características de las EIPD. Alcance y necesidad. Estándares 360
2. Realización de una evaluación de impacto. Aspectos preparatorios y organizativos, análisis de la necesidad de llevar a cabo la evaluación y consultas previas 361
Capítulo Tercero
Técnicas para garantizar el cumplimiento de la normativa de protección de datos
I. La auditoría de protección de datos 369
1. El proceso de auditoría. Cuestiones generales y aproximación a la auditoría. Características básicas de la Auditoría 369
2. Elaboración del informe de auditoría. Aspectos básicos e importancia del informe de auditoría 374
a) Fase 1. Organización 375
b) Fase 2. Planificación y obtención de información 375
c) Fase 3. Verificación del cumplimiento 375
d) Fase 4. Elaboración y entrega del informe final 375
3. Ejecución y seguimiento de acciones correctoras 376
II. Auditoría de Sistemas de Información 377
1. La Función de la Auditoría en los Sistemas de Información. Conceptos básicos. Estándares y Directrices de Auditoría de SI 377
2. Control interno y mejora continua. Buenas prácticas. Integración de la auditoria de protección de datos en la auditoria de SI 384
3. Planificación, ejecución y seguimiento 387
III. La gestión de la seguridad de los tratamientos 388
1. Esquema Nacional de Seguridad, ISO/IEC 27001:2013 (UNE ISO/IEC 27001:2014: Requisitos de Sistemas de Gestión de Seguridad de la Información, SGSI) 388
2. Gestión de la Seguridad de los Activos. Seguridad lógica y en los procedimientos. Seguridad aplicada a las TI y a la documentación 395
3. Recuperación de desastres y Continuidad del Negocio. Protección de los activos técnicos y documentales. Planificación y gestión de la Recuperación del Desastres 396
IV. Otros conocimientos 398
1. El cloud computing 398
2. Los Smartphones 401
3. Internet de las Cosas (IoT) 405
4. Big data y elaboración de perfiles 413
5. Redes sociales 417
6. Tecnologías de seguimiento del usuario 417
7. Blockchain y últimas tecnologías 423
Bibliografía 427
Biografía del autor 431
