Tema 79 – Legislación de Protección de Datos: RGPD y LOPDGDD

TEMA 79

Legislación de Protección de Datos de Carácter Personal

RGPD, LOPDGDD, Evaluación de Impacto y Garantía de Derechos Digitales

📌 Resumen Ejecutivo

La protección de datos personales constituye un derecho fundamental reconocido en el artículo 18.4 de la Constitución Española y desarrollado mediante normativa europea y estatal. El Reglamento General de Protección de Datos (RGPD), en vigor desde mayo de 2018, establece el marco común europeo para garantizar los derechos de las personas sobre sus datos. En España, la Ley Orgánica 3/2018 (LOPDGDD) adapta el RGPD al ordenamiento nacional e incorpora la garantía de derechos digitales. Este tema aborda el marco normativo completo, los principios de protección de datos, los derechos de los interesados, las obligaciones de responsables y encargados, y la Evaluación de Impacto en la Protección de Datos (EIPD) como herramienta preventiva fundamental.

1. Marco Normativo de la Protección de Datos

La protección de datos personales en España se sustenta en un marco normativo multinivel que integra disposiciones constitucionales, normativa europea directamente aplicable y legislación nacional de desarrollo.

1.1. Fundamento Constitucional

El artículo 18.4 de la Constitución Española de 1978 establece: «La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». Esta previsión constitucional ha dado lugar al reconocimiento del derecho fundamental a la protección de datos de carácter personal como derecho autónomo, diferenciado del derecho a la intimidad.

El Tribunal Constitucional, en su Sentencia 292/2000, define la protección de datos como «un derecho fundamental a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean usados para fines distintos de aquel que justificó su obtención».

1.2. Normativa Europea

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos – RGPD). Es directamente aplicable en todos los Estados miembros desde el 25 de mayo de 2018.

El RGPD deroga la anterior Directiva 95/46/CE, estableciendo un marco armonizado que busca equilibrar dos objetivos: garantizar un nivel elevado y coherente de protección de datos en la UE y permitir la libre circulación de datos personales en el mercado interior europeo.

ℹ️ Características del RGPD:

Aplicabilidad directa: No requiere transposición, siendo directamente aplicable en todos los Estados miembros
Ámbito territorial amplio: Efecto extraterritorial para empresas fuera de la UE que traten datos de ciudadanos europeos
Enfoque basado en riesgos: Medidas proporcionales a los riesgos del tratamiento
Responsabilidad proactiva: Obligación de demostrar cumplimiento (accountability)
Sanciones significativas: Multas de hasta 20 millones de euros o 4% de la facturación global anual

1.3. Normativa Estatal Española

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). En vigor desde el 7 de diciembre de 2018, esta ley tiene una doble finalidad:

Adaptación del RGPD: Completa y especifica las disposiciones del Reglamento europeo, haciendo uso de las cláusulas de apertura que este establece
Garantía de derechos digitales: Incorpora un Título X innovador que reconoce y protege nuevos derechos en el entorno digital

La LOPDGDD se estructura en once títulos, noventa y siete artículos, veintidós disposiciones adicionales, seis disposiciones transitorias, una disposición derogatoria y diecisiete disposiciones finales.

1.4. Normativa Complementaria

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI): Regula comunicaciones comerciales por vía electrónica y uso de cookies
Ley 9/2014, de 9 de mayo, General de Telecomunicaciones: Protección de datos en servicios de telecomunicaciones
Real Decreto 1720/2007, de 21 de diciembre: Reglamento de desarrollo de la antigua LOPD, aplicable en lo que no se oponga al RGPD y LOPDGDD
Directrices y recomendaciones del Comité Europeo de Protección de Datos (CEPD): Interpretación uniforme del RGPD

2. El Reglamento General de Protección de Datos (RGPD)

2.1. Ámbito de Aplicación del RGPD

Ámbito material: El RGPD se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero (artículo 2.1).

Definiciones clave:

Datos personales: Toda información sobre una persona física identificada o identificable («interesado»)
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales: recogida, registro, organización, estructuración, conservación, modificación, consulta, utilización, comunicación, difusión, supresión o destrucción
Fichero: Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados

Ámbito territorial: El RGPD se aplica (artículo 3):

Al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o encargado en la UE, independientemente de que el tratamiento tenga lugar dentro o fuera de la UE
Al tratamiento de datos personales de interesados que residan en la UE por parte de un responsable o encargado no establecido en la UE, cuando las actividades de tratamiento estén relacionadas con:
- La oferta de bienes o servicios a dichos interesados en la UE
- El control de su comportamiento, en la medida en que tenga lugar en la UE
Al tratamiento de datos personales por parte de un responsable no establecido en la UE pero en un lugar en que se aplique el Derecho de los Estados miembros en virtud del Derecho internacional público

2.2. Principios Relativos al Tratamiento

El artículo 5 del RGPD establece los principios fundamentales que deben regir todo tratamiento de datos personales. Estos principios constituyen la piedra angular del sistema de protección de datos:

Principio	Descripción	Implicaciones Prácticas
Licitud, lealtad y transparencia	Tratamiento lícito, leal y transparente en relación con el interesado	Información clara y accesible sobre el tratamiento; no inducir a error; base jurídica para el tratamiento
Limitación de la finalidad	Datos recogidos con fines determinados, explícitos y legítimos, y no tratados ulteriormente de manera incompatible	Definir claramente el propósito del tratamiento; no reutilizar datos para fines incompatibles sin nueva legitimación
Minimización de datos	Datos adecuados, pertinentes y limitados a lo necesario para los fines del tratamiento	Recoger únicamente los datos estrictamente necesarios; evitar recopilación excesiva o preventiva
Exactitud	Datos exactos y, si fuera necesario, actualizados; medidas para suprimir o rectificar datos inexactos	Procedimientos de verificación y actualización periódica; atención a solicitudes de rectificación
Limitación del plazo de conservación	Datos mantenidos de forma que permita identificación del interesado durante no más tiempo del necesario	Políticas de retención y supresión; plazos de conservación definidos y justificados; revisiones periódicas
Integridad y confidencialidad	Tratamiento de manera que garantice seguridad adecuada, protección contra tratamiento no autorizado o ilícito y pérdida, destrucción o daño accidental	Medidas técnicas y organizativas de seguridad; control de accesos; cifrado; copias de seguridad; planes de contingencia
Responsabilidad proactiva (accountability)	El responsable debe ser capaz de demostrar el cumplimiento de todos los principios anteriores	Documentación de tratamientos; políticas internas; evaluaciones de impacto; auditorías; registros de actividades

2.3. Bases de Legitimación del Tratamiento

El artículo 6 del RGPD establece que el tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

Consentimiento: El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos
- Debe ser libre, específico, informado e inequívoco
- Manifestación de voluntad mediante declaración o acción afirmativa clara
- Posibilidad de retirada en cualquier momento
- Prohibición del silencio, casillas premarcadas o inacción
Ejecución de un contrato: El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte, o para la aplicación de medidas precontractuales a petición del interesado
Obligación legal: El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento
Protección de intereses vitales: El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física
Misión de interés público o ejercicio de poderes públicos: El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable
Interés legítimo: El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable o por un tercero, siempre que no prevalezcan los intereses o derechos y libertades fundamentales del interesado

⛔ Categorías especiales de datos (artículo 9):

Queda prohibido el tratamiento de datos que revelen origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona, datos relativos a salud, vida sexual u orientación sexual.

Esta prohibición tiene excepciones tasadas, entre ellas: consentimiento explícito, obligación laboral/seguridad social, protección de intereses vitales, tratamiento por fundaciones sin ánimo de lucro, datos manifestados públicamente por el interesado, razones de interés público esencial, fines de medicina preventiva/salud pública, investigación científica.

3. Derechos de los Interesados

El RGPD refuerza y amplía los derechos de las personas físicas sobre sus datos personales, estableciendo un catálogo completo de derechos denominados «derechos ARCO-POL» (Acceso, Rectificación, Cancelación/Supresión, Oposición, Portabilidad, Limitación del tratamiento).

3.1. Derecho de Acceso (Artículo 15)

El interesado tendrá derecho a obtener del responsable confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

Fines del tratamiento
Categorías de datos personales de que se trate
Destinatarios o categorías de destinatarios a los que se comunicaron o serán comunicados los datos
Plazo previsto de conservación o criterios para determinarlo
Existencia de los derechos de rectificación, supresión, limitación y oposición
Derecho a presentar reclamación ante la autoridad de control
Información disponible sobre el origen de los datos cuando no se hayan obtenido del interesado
Existencia de decisiones automatizadas, incluida la elaboración de perfiles
Garantías aplicables en transferencias internacionales

El responsable facilitará una copia de los datos objeto de tratamiento. El primer ejemplar será gratuito; por cualquier copia adicional podrá cobrarse un canon razonable.

3.2. Derecho de Rectificación (Artículo 16)

El interesado tendrá derecho a obtener sin dilación indebida del responsable la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante declaración adicional.

3.3. Derecho de Supresión – «Derecho al Olvido» (Artículo 17)

El interesado tendrá derecho a obtener del responsable la supresión de los datos personales que le conciernan cuando concurra alguna de las circunstancias siguientes:

Los datos ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados
El interesado retire el consentimiento y no exista otra base jurídica para el tratamiento
El interesado se oponga al tratamiento y no prevalezcan otros motivos legítimos
Los datos hayan sido tratados ilícitamente
Los datos deban suprimirse para el cumplimiento de una obligación legal
Los datos se hayan obtenido en relación con la oferta de servicios de la sociedad de la información a menores

Excepciones: No procede la supresión cuando el tratamiento sea necesario para ejercicio de la libertad de expresión, cumplimiento de obligación legal, interés público en salud, fines de archivo en interés público/investigación científica/histórica/estadística o formulación/ejercicio/defensa de reclamaciones.

3.4. Derecho a la Limitación del Tratamiento (Artículo 18)

El interesado tendrá derecho a obtener del responsable la limitación del tratamiento cuando:

El interesado impugne la exactitud de los datos, durante el plazo de verificación
El tratamiento sea ilícito y el interesado se oponga a la supresión solicitando limitación
El responsable ya no necesite los datos pero el interesado los necesite para reclamaciones
El interesado se haya opuesto al tratamiento mientras se verifica si los motivos legítimos del responsable prevalecen

La limitación implica el marcado de los datos conservados con el fin de limitar su tratamiento futuro, permitiendo únicamente su conservación y tratamientos excepcionales (consentimiento, reclamaciones, protección de terceros, razones de interés público).

3.5. Derecho a la Portabilidad de los Datos (Artículo 20)

El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable sin que lo impida el responsable al que se los hubiera facilitado, cuando:

El tratamiento esté basado en el consentimiento o en un contrato
El tratamiento se efectúe por medios automatizados

Este derecho incluye la posibilidad de que los datos se transmitan directamente de responsable a responsable cuando sea técnicamente posible. Es una novedad del RGPD orientada a favorecer la competencia y facilitar el cambio de proveedor de servicios.

3.6. Derecho de Oposición (Artículo 21)

El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en interés legítimo o interés público. El responsable dejará de tratar los datos salvo que acredite motivos legítimos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado, o para la formulación, ejercicio o defensa de reclamaciones.

Oposición a mercadotecnia directa: Derecho incondicional a oponerse al tratamiento de datos personales con fines de mercadotecnia directa, incluida la elaboración de perfiles relacionada. El interesado debe ser informado explícitamente de este derecho en la primera comunicación.

Decisiones automatizadas (artículo 22): Derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o afecte significativamente de modo similar.

4. Figuras en la Protección de Datos

4.1. Responsable del Tratamiento

Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento (artículo 4.7). Es el decisor principal y sobre quien recae la mayor parte de las obligaciones:

Cumplimiento de principios y obligaciones del RGPD
Aplicación de medidas técnicas y organizativas apropiadas
Demostración de cumplimiento (accountability)
Mantenimiento del registro de actividades de tratamiento (si procede)
Realización de evaluaciones de impacto cuando corresponda
Notificación de violaciones de seguridad a la autoridad de control
Designación de Delegado de Protección de Datos (si procede)
Atención de ejercicio de derechos por los interesados

4.2. Encargado del Tratamiento

Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable (artículo 4.8). Actúa siguiendo las instrucciones del responsable.

Relación responsable-encargado: Debe formalizarse mediante contrato u otro acto jurídico que vincule al encargado respecto del responsable y establezca el objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos y categorías de interesados, obligaciones y derechos del responsable (artículo 28).

Contenido mínimo del contrato:

Tratamiento solo siguiendo instrucciones documentadas del responsable
Garantía de confidencialidad de personas autorizadas
Adopción de medidas de seguridad apropiadas
Respeto de condiciones para recurrir a otro encargado (subencargado)
Asistencia al responsable en el ejercicio de derechos de los interesados
Asistencia al responsable en cumplimiento de obligaciones (seguridad, notificación de brechas, EIPD)
Supresión o devolución de datos al término del servicio
Puesta a disposición del responsable de información necesaria para demostrar cumplimiento y auditorías

4.3. Delegado de Protección de Datos (DPD/DPO)

El Delegado de Protección de Datos (Data Protection Officer – DPO) es una figura clave introducida por el RGPD. Su designación es obligatoria cuando (artículo 37):

El tratamiento lo lleve a cabo una autoridad u organismo público (excepto tribunales)
Las actividades principales del responsable o encargado consistan en operaciones de tratamiento que requieran observación habitual y sistemática de interesados a gran escala
Las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos o datos relativos a condenas e infracciones penales

Funciones del DPD (artículo 39):

Informar y asesorar al responsable/encargado y a los empleados sobre obligaciones de protección de datos
Supervisar el cumplimiento del RGPD y otras disposiciones de protección de datos
Ofrecer asesoramiento sobre evaluaciones de impacto y supervisar su aplicación
Cooperar con la autoridad de control
Actuar como punto de contacto de la autoridad de control y de los interesados

Cualificación: Debe tener cualidades profesionales, conocimientos especializados del Derecho y la práctica en materia de protección de datos, y capacidad para desempeñar las funciones.

✅ Garantías del DPD:

Participación adecuada y oportuna en todas las cuestiones de protección de datos
Recursos necesarios y acceso a datos y operaciones de tratamiento
No recibir instrucciones en el desempeño de sus funciones
No ser destituido ni sancionado por desempeñar sus funciones
Reportar directamente al nivel jerárquico más alto

5. La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD)

5.1. Estructura y Objeto de la LOPDGDD

La Ley Orgánica 3/2018, de 5 de diciembre, complementa las disposiciones del RGPD mediante el uso de las cláusulas de apertura que este permite a los Estados miembros. Su objeto es triple:

Adaptar el ordenamiento jurídico español al RGPD
Garantizar los derechos digitales de la ciudadanía conforme al mandato del artículo 18.4 CE
Establecer el régimen jurídico de la Agencia Española de Protección de Datos

La LOPDGDD introduce numerosas especificidades adaptadas al contexto español y amplía el marco de protección mediante el reconocimiento de derechos digitales.

5.2. Disposiciones Específicas de la LOPDGDD

5.2.1. Consentimiento de Menores

La LOPDGDD fija en 14 años la edad a partir de la cual los menores pueden prestar consentimiento para el tratamiento de datos en relación con servicios de la sociedad de la información (artículo 7). Por debajo de esa edad se requiere consentimiento de padres o tutores. El RGPD establecía el mínimo en 16 años, permitiendo que los Estados miembros lo redujeran hasta 13.

5.2.2. Sistemas de Información Crediticia

La LOPDGDD dedica el artículo 20 a regular los sistemas de información crediticia (ficheros de morosos), estableciendo:

Solo pueden incluirse datos de deudas vencidas, exigibles y no satisfechas
Deudas dinerarias, ciertas, vencidas y exigibles
Importe de la deuda no puede ser inferior a 50 euros (salvo excepciones)
El acreedor debe haber requerido pago con 30 días de antelación
Los datos deben cancelarse transcurridos 5 años desde el vencimiento de la obligación (antes eran 6)
No pueden incluirse datos sobre deudas con Administraciones Públicas

5.2.3. Tratamiento en el Ámbito Laboral

El artículo 22 regula el tratamiento de datos en relaciones laborales:

Los empleados deben ser informados de tratamientos por el empleador
Videovigilancia solo cuando sea proporcional, con información previa a trabajadores y representantes
Uso de dispositivos digitales: posibilidad de control del empleador con límites y garantías
Prohibición de tratamiento de datos biométricos salvo excepciones justificadas
Derecho de desconexión digital fuera de horario laboral

5.2.4. Deber de Información

Cuando los datos no se hayan obtenido del interesado, el artículo 11 establece excepciones al deber de información cuando:

El interesado ya disponga de la información
La comunicación de información resulte imposible o exija esfuerzos desproporcionados
La obtención o comunicación esté regulada por ley
Los datos deban permanecer confidenciales por secreto profesional

5.3. Garantía de los Derechos Digitales (Título X)

La LOPDGDD incorpora un catálogo innovador de derechos en el entorno digital:

Derecho	Descripción	Artículo
Neutralidad de Internet	Derecho a acceso a Internet sin discriminación por razones técnicas o económicas	Art. 80
Acceso universal a Internet	Derecho de acceso a Internet independientemente de condición personal, social o geográfica	Art. 81
Seguridad digital	Derecho a seguridad de comunicaciones, dispositivos, servicios y contenidos digitales	Art. 82
Educación digital	Derecho a formación en uso seguro y responsable de medios digitales	Art. 83
Protección de menores	Interés superior del menor en el entorno digital; control parental; privacidad	Art. 84
Rectificación en Internet	Derecho a obtener rectificación sin dilación de informaciones inexactas o erróneas	Art. 85
Actualización de información	Derecho a que informaciones sean actuales, exactas y veraces	Art. 86
Derecho al olvido en búsquedas de Internet	Derecho a eliminación de enlaces en resultados de búsqueda	Art. 93
Derecho al olvido en redes sociales	Derecho a que se eliminen contenidos difundidos cuando se sea menor	Art. 94
Testamento digital	Derecho a decidir sobre datos personales tras el fallecimiento; instrucciones a prestadores de servicios	Art. 96
Desconexión digital	Derecho laboral a no estar conectado fuera de horario; conciliación vida personal/familiar/laboral	Art. 88

ℹ️ Innovación legislativa: El Título X de la LOPDGDD representa una de las primeras regulaciones integrales de derechos digitales en Europa, anticipándose a regulaciones posteriores como la Ley de Servicios Digitales (DSA) y la Ley de Mercados Digitales (DMA) de la UE.

6. Evaluación de Impacto en la Protección de Datos (EIPD)

6.1. Concepto y Finalidad

La Evaluación de Impacto en la Protección de Datos (EIPD) es una herramienta preventiva y proactiva que permite a los responsables del tratamiento identificar, evaluar y gestionar los riesgos que las actividades de tratamiento pueden suponer para los derechos y libertades de las personas físicas.

El artículo 35 del RGPD establece la obligación de realizar una EIPD cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, entrañe un alto riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento.

Objetivo principal: Determinar el nivel de riesgo que entraña un tratamiento con la finalidad de establecer las medidas de control más adecuadas para reducirlo hasta un nivel considerado aceptable.

6.2. ¿Cuándo es Obligatoria la EIPD?

El RGPD establece que la EIPD será obligatoria en particular cuando (artículo 35.3):

Evaluación sistemática y exhaustiva de aspectos personales basada en tratamiento automatizado, incluida la elaboración de perfiles, sobre la que se basen decisiones que produzcan efectos jurídicos o afecten significativamente de modo similar al interesado
Tratamiento a gran escala de categorías especiales de datos (datos sensibles del artículo 9) o de datos relativos a condenas e infracciones penales (artículo 10)
Observación sistemática a gran escala de una zona de acceso público (videovigilancia masiva, drones, etc.)

⛔ Listas de la AEPD:

La Agencia Española de Protección de Datos ha elaborado:

Lista de tipos de tratamiento que requieren EIPD: Incluye tratamientos con datos biométricos, genéticos, geolocalización, scoring crediticio, elaboración de perfiles a gran escala, videovigilancia sistemática, tratamientos innovadores con nuevas tecnologías, etc.
Lista de tipos de tratamiento que NO requieren EIPD: Tratamientos de bajo riesgo habituales en actividades ordinarias

Consultar en: https://www.aepd.es

6.3. Contenido de la EIPD

Según el artículo 35.7 del RGPD, la EIPD deberá incluir como mínimo:

Descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento
Evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad
Evaluación de los riesgos para los derechos y libertades de los interesados
Medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas

6.4. Metodología de la EIPD

La AEPD proporciona una metodología estructurada en la guía «Gestión del riesgo y evaluación de impacto en tratamientos de datos personales»:

Fase 1: Descripción del Tratamiento

Identificación del tratamiento: finalidad, contexto, ámbito
Descripción de flujos de datos
Identificación de activos (datos, sistemas, personal)
Medidas existentes de cumplimiento normativo y seguridad

Fase 2: Evaluación de Necesidad y Proporcionalidad

Análisis de adecuación a los fines del tratamiento
Evaluación de la pertinencia y minimización de datos
Valoración de la limitación del plazo de conservación
Justificación de la base de legitimación

Fase 3: Análisis de Riesgos

Identificación de amenazas y vulnerabilidades:

Accesos no autorizados
Modificaciones no autorizadas
Pérdida de disponibilidad
Pérdida de integridad
Pérdida de confidencialidad

Evaluación del riesgo: Probabilidad x Impacto = Nivel de Riesgo

Nivel de Riesgo	Criterio	Acción Requerida
Despreciable	Impacto y probabilidad muy bajos	Aceptable – Monitorización
Limitado	Impacto o probabilidad bajos	Aceptable – Control periódico
Significativo	Impacto o probabilidad medios	Requiere medidas adicionales
Alto	Impacto o probabilidad altos	Plan de tratamiento obligatorio

Fase 4: Plan de Tratamiento del Riesgo

Para cada riesgo significativo o alto identificado, se deben establecer medidas de tratamiento:

Evitar el riesgo: Eliminar la causa del riesgo
Mitigar el riesgo: Reducir probabilidad o impacto mediante controles
Transferir el riesgo: Contratar seguros, externalizar responsabilidad
Aceptar el riesgo: Cuando es bajo y asumir su coste es razonable (decisión documentada)

Fase 5: Consulta al DPD y a los Interesados

Recabar opinión del Delegado de Protección de Datos (si existe)
Consultar a interesados o sus representantes cuando proceda
Documentar dictámenes y observaciones

6.5. Consulta Previa a la Autoridad de Control

Según el artículo 36 del RGPD, el responsable consultará a la autoridad de control (AEPD) con carácter previo al tratamiento cuando de una EIPD resulte que el tratamiento entrañaría un alto riesgo si el responsable no aplicase medidas para mitigarlo.

La autoridad de control proporcionará asesoramiento por escrito en un plazo máximo de 8 semanas (prorrogable a 14 en casos complejos).

⚠️ Consecuencias del incumplimiento:

No llevar a cabo una EIPD cuando el tratamiento lo requiera, realizarla incorrectamente o no consultar a la autoridad cuando sea necesario, puede dar lugar a multas administrativas de hasta 10 millones de euros o 2% del volumen de negocio total anual global (artículo 83.4 RGPD).

6.6. Revisión y Actualización

La EIPD no es un documento estático. El artículo 35.11 del RGPD establece que el responsable deberá evaluar la necesidad de revisar y actualizar la EIPD:

Cuando se produzcan cambios en el riesgo del tratamiento
Cuando cambien las operaciones de tratamiento
Cuando se incorporen nuevas tecnologías
Cuando cambien las finalidades del tratamiento
Periódicamente como buena práctica (recomendado cada 2-3 años)

7. Seguridad del Tratamiento

El artículo 32 del RGPD establece que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta:

Estado de la técnica
Costes de aplicación
Naturaleza, alcance, contexto y fines del tratamiento
Riesgos de probabilidad y gravedad variable para los derechos y libertades

Medidas específicas recomendadas:

Seudonimización y cifrado de datos personales
Capacidad de garantizar confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
Capacidad de restaurar disponibilidad y acceso a datos de forma rápida en caso de incidente físico o técnico
Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas

7.1. Violaciones de Seguridad de los Datos

El artículo 33 del RGPD establece la obligación de notificar a la autoridad de control las violaciones de seguridad de los datos personales (data breaches) en un plazo de 72 horas desde que se tuvo constancia de ella, salvo que sea improbable que entrañe un riesgo para los derechos y libertades.

Contenido de la notificación:

Naturaleza de la violación (categorías y número aproximado de interesados y registros afectados)
Nombre y datos de contacto del DPD o punto de contacto
Descripción de posibles consecuencias
Descripción de medidas adoptadas o propuestas para remediar la violación y mitigar sus efectos

Comunicación al interesado (artículo 34): Cuando la violación entrañe un alto riesgo para los derechos y libertades, el responsable debe comunicarla al interesado sin dilación indebida, salvo excepciones (medidas de protección técnica aplicadas, medidas posteriores que eliminen el alto riesgo, o que suponga un esfuerzo desproporcionado).

8. Infracciones y Sanciones

El régimen sancionador del RGPD se caracteriza por su severidad y proporcionalidad. Las multas administrativas pueden ascender hasta importes muy significativos.

8.1. Categorías de Infracciones

Tipo	Infracciones	Multa Máxima
Infracciones Graves (Art. 83.5)	– Incumplimiento de principios básicos del tratamiento – Incumplimiento de bases de legitimación – Incumplimiento de derechos de los interesados – Transferencias internacionales no autorizadas – Incumplimiento de resoluciones de autoridades	20 millones € o 4% facturación anual global (el mayor)
Infracciones Medias (Art. 83.4)	– Incumplimiento de obligaciones del responsable/encargado – Incumplimiento de obligaciones del organismo de certificación – Incumplimiento de obligaciones del organismo de supervisión – No realizar EIPD cuando sea obligatoria	10 millones € o 2% facturación anual global (el mayor)

8.2. Criterios de Graduación

El artículo 83.2 establece criterios para determinar la cuantía de la multa:

Naturaleza, gravedad y duración de la infracción
Carácter intencional o negligente
Medidas adoptadas para paliar daños sufridos por interesados
Grado de responsabilidad teniendo en cuenta medidas técnicas y organizativas aplicadas
Infracciones anteriores pertinentes
Grado de cooperación con la autoridad de control
Categorías de datos afectadas
Forma en que la autoridad tuvo conocimiento (notificación del responsable o no)
Cumplimiento de medidas ordenadas previamente
Adhesión a códigos de conducta o mecanismos de certificación
Circunstancias agravantes o atenuantes (beneficios financieros obtenidos, daños causados)

8.3. Régimen Sancionador en la LOPDGDD

La LOPDGDD adapta el régimen sancionador del RGPD al ordenamiento español (artículos 70-79), clasificando las infracciones en:

Muy graves (art. 72): Corresponden a infracciones del art. 83.5 RGPD
Graves (art. 73): Corresponden a infracciones del art. 83.4 RGPD
Leves (art. 74): Incumplimientos formales o de menor entidad

Procedimiento sancionador: Competencia de la AEPD, con garantías del procedimiento administrativo común. Posibilidad de recurso en vía administrativa y contencioso-administrativa.

⛔ Casos recientes en España (2024):

La AEPD ha impuesto sanciones significativas en 2024, destacando multas por:

Tratamiento ilícito de datos sin base de legitimación adecuada
Incumplimiento del derecho de supresión
Ausencia de medidas de seguridad adecuadas con brechas de seguridad
Cesión de datos sin consentimiento
Videovigilancia sin cumplimiento de requisitos legales

9. Agencia Española de Protección de Datos (AEPD)

9.1. Naturaleza y Funciones

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control independiente responsable de velar por el cumplimiento de la normativa de protección de datos en España. Creada por la Ley Orgánica 15/1999 y mantenida por la LOPDGDD actual, actúa con plena independencia de las Administraciones Públicas.

Funciones principales (artículo 57 RGPD y Título VI LOPDGDD):

Supervisión y control: Vigilar y hacer cumplir la aplicación del RGPD y LOPDGDD
Tramitación de reclamaciones: Recibir y resolver reclamaciones de interesados
Investigación: Realizar investigaciones sobre aplicación del RGPD
Potestad sancionadora: Imponer sanciones administrativas por infracciones
Información y asesoramiento: Sensibilizar y facilitar comprensión de riesgos, normas y garantías
Emisión de dictámenes: Asesorar al Gobierno, Parlamento y otras instituciones sobre medidas legislativas
Autorización: Autorizar transferencias internacionales cuando proceda
Códigos de conducta: Promover elaboración y fomentar adhesión
Certificación: Acreditar organismos de certificación
Cooperación internacional: Colaborar con autoridades de otros Estados miembros y terceros países

9.2. Organización

La AEPD se estructura en:

Presidencia: Máxima responsabilidad, designada por el Gobierno por 5 años
Consejo Consultivo: Órgano colegiado de asesoramiento
Secretaría General: Órgano de gestión y apoyo técnico
Subdirecciones: Áreas especializadas (inspección, registros, internacional, etc.)

9.3. Instrumentos de Actuación

Registro de Actividades de Tratamiento: No existe inscripción obligatoria en registro público, pero responsables y encargados deben mantener su propio registro interno de actividades.

Canal prioritario: Herramienta de comunicación directa entre empresas y AEPD para consultas complejas o urgentes.

Guías y herramientas: La AEPD publica guías prácticas, modelos de EIPD, herramientas Facilita (autoevaluación), videoguías y recursos formativos en su portal web.

10. Mapa Conceptual – Protección de Datos

📊 Estructura Jerárquica de Conceptos en Protección de Datos

PROTECCIÓN DE DATOS PERSONALES

↓

Marco Normativo UE: RGPD

Marco Normativo España: LOPDGDD

Autoridad Control: AEPD

↓

Principios del Tratamiento

Bases de Legitimación

Derechos ARCO-POL

Figuras: Responsable/Encargado/DPD

EIPD

↓

Licitud, lealtad, transparencia

Minimización de datos

Consentimiento

Interés legítimo

Acceso

Rectificación

Supresión

Portabilidad

Obligaciones

Responsabilidad proactiva

↓

Seguridad del Tratamiento

Notificación Brechas

Registro Actividades

Transferencias Internacionales

Infracciones y Sanciones

📱 Derechos Digitales (LOPDGDD Título X)

Neutralidad Internet

Acceso Universal

Desconexión Digital

Derecho al Olvido

Testamento Digital

Protección Menores

📖 Leyenda del Mapa Conceptual

Nivel 1: Derecho fundamental

Nivel 2: Marco regulatorio

Nivel 3: Elementos estructurales

Nivel 4: Componentes específicos

Nivel 5: Operativa práctica

Digital: Derechos digitales específicos

11. Preguntas de Autoevaluación

📝 Test de Conocimientos – 25 Preguntas

Pregunta 1: ¿Cuál es la fecha de entrada en vigor del RGPD en toda la Unión Europea?

A) 25 de mayo de 2016

B) 25 de mayo de 2018

C) 5 de diciembre de 2018

D) 1 de enero de 2019

✓ Respuesta correcta: B) 25 de mayo de 2018

Argumentación: El Reglamento (UE) 2016/679 fue aprobado el 27 de abril de 2016 pero entró en vigor (aplicabilidad) el 25 de mayo de 2018, tras un período de dos años que permitió a organizaciones y Estados miembros adaptarse a las nuevas obligaciones.

Pregunta 2: ¿Qué artículo de la Constitución Española reconoce el derecho fundamental a la protección de datos?

A) Artículo 18.1

B) Artículo 18.4

C) Artículo 20.4

D) Artículo 24.2

✓ Respuesta correcta: B) Artículo 18.4

Argumentación: El artículo 18.4 de la Constitución Española establece: «La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». Este mandato constitucional fundamenta el desarrollo legislativo en protección de datos.

Pregunta 3: ¿Cuál NO es un principio del tratamiento de datos según el artículo 5 del RGPD?

A) Limitación de la finalidad

B) Minimización de datos

C) Maximización de beneficios

D) Responsabilidad proactiva

✓ Respuesta correcta: C) Maximización de beneficios

Argumentación: Los principios del artículo 5 RGPD son: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; y responsabilidad proactiva (accountability). La maximización de beneficios no es un principio de protección de datos.

Pregunta 4: ¿Cuál es la multa máxima que puede imponer la AEPD por infracciones muy graves del RGPD?

A) 10 millones de euros o 2% de la facturación anual global

B) 20 millones de euros o 4% de la facturación anual global

C) 50 millones de euros o 10% de la facturación anual global

D) 5 millones de euros o 1% de la facturación anual global

✓ Respuesta correcta: B) 20 millones de euros o 4% de la facturación anual global

Argumentación: El artículo 83.5 del RGPD establece que las infracciones más graves pueden ser sancionadas con multas administrativas de hasta 20 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Pregunta 5: ¿A partir de qué edad puede un menor prestar consentimiento para el tratamiento de datos según la LOPDGDD?

A) 12 años

B) 14 años

C) 16 años

D) 18 años

✓ Respuesta correcta: B) 14 años

Argumentación: El artículo 7 de la LOPDGDD fija en 14 años la edad a partir de la cual los menores pueden prestar consentimiento para el tratamiento de datos en servicios de la sociedad de la información. Por debajo de esa edad se requiere autorización de padres o tutores. El RGPD establecía 16 años pero permitía a los Estados miembros reducirla hasta 13.

Pregunta 6: ¿Cuál de los siguientes NO es un derecho de los interesados según el RGPD?

A) Derecho de acceso

B) Derecho de portabilidad

C) Derecho de monetización

D) Derecho de supresión

✓ Respuesta correcta: C) Derecho de monetización

Argumentación: Los derechos de los interesados son: acceso, rectificación, supresión («derecho al olvido»), limitación del tratamiento, portabilidad, oposición y a no ser objeto de decisiones automatizadas. No existe un «derecho de monetización» de datos personales en el RGPD.

Pregunta 7: ¿Qué significa el principio de «minimización de datos»?

A) Recoger todos los datos posibles para futuras necesidades

B) Recoger datos adecuados, pertinentes y limitados a lo necesario

C) Minimizar el coste de almacenamiento de datos

D) Reducir el número de empleados con acceso a datos

✓ Respuesta correcta: B) Recoger datos adecuados, pertinentes y limitados a lo necesario

Argumentación: El principio de minimización de datos (artículo 5.1.c RGPD) establece que los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Prohíbe la recopilación excesiva o preventiva «por si acaso».

Pregunta 8: ¿Cuándo es obligatorio designar un Delegado de Protección de Datos (DPD)?

A) Siempre, en cualquier organización que trate datos

B) Solo en autoridades públicas, tratamientos a gran escala de datos sensibles u observación sistemática

C) Únicamente en empresas con más de 250 trabajadores

D) Solo cuando lo solicite la AEPD

✓ Respuesta correcta: B) Solo en autoridades públicas, tratamientos a gran escala de datos sensibles u observación sistemática

Argumentación: El artículo 37 del RGPD establece tres supuestos de designación obligatoria: 1) autoridades u organismos públicos (excepto tribunales); 2) actividades principales que requieran observación habitual y sistemática a gran escala; 3) tratamiento a gran escala de categorías especiales de datos o datos de condenas e infracciones penales.

Pregunta 9: ¿Qué es una Evaluación de Impacto en la Protección de Datos (EIPD)?

A) Un informe financiero sobre los costes de protección de datos

B) Una herramienta preventiva para identificar y gestionar riesgos del tratamiento

C) Un certificado emitido por la AEPD

D) Una auditoría externa obligatoria anual

✓ Respuesta correcta: B) Una herramienta preventiva para identificar y gestionar riesgos del tratamiento

Argumentación: La EIPD (artículo 35 RGPD) es una herramienta preventiva y proactiva que permite identificar, evaluar y gestionar los riesgos que las actividades de tratamiento pueden suponer para los derechos y libertades de las personas, estableciendo medidas de control para reducir el riesgo a niveles aceptables.

Pregunta 10: ¿En qué plazo debe notificarse una violación de seguridad de datos a la autoridad de control?

A) 24 horas

B) 48 horas

C) 72 horas

D) 7 días

✓ Respuesta correcta: C) 72 horas

Argumentación: El artículo 33 del RGPD establece que el responsable debe notificar a la autoridad de control las violaciones de seguridad en un plazo de 72 horas desde que tuvo constancia de ella, salvo que sea improbable que entrañe un riesgo para los derechos y libertades de las personas.

Pregunta 11: ¿Cuál de las siguientes NO es una base de legitimación válida según el artículo 6 del RGPD?

A) Consentimiento del interesado

B) Ejecución de un contrato

C) Beneficio económico del responsable

D) Interés legítimo del responsable

✓ Respuesta correcta: C) Beneficio económico del responsable

Argumentación: Las bases de legitimación del artículo 6 RGPD son: consentimiento, ejecución de contrato, obligación legal, protección de intereses vitales, misión de interés público e interés legítimo. El mero beneficio económico no es una base legítima; debe existir un interés legítimo específico que no prevalezcan los derechos del interesado.

Pregunta 12: ¿Qué categoría de datos tiene una protección especial reforzada en el artículo 9 del RGPD?

A) Datos de contacto profesional

B) Datos sobre origen étnico, salud, opiniones políticas o religión

C) Datos de navegación en internet

D) Datos de consumo de productos

✓ Respuesta correcta: B) Datos sobre origen étnico, salud, opiniones políticas o religión

Argumentación: El artículo 9 RGPD establece una prohibición general de tratamiento de categorías especiales de datos (datos sensibles): origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, datos de salud, vida sexual u orientación sexual. Esta prohibición tiene excepciones tasadas.

Pregunta 13: ¿Qué debe incluir obligatoriamente una EIPD según el artículo 35.7 del RGPD?

A) Solo una descripción del tratamiento

B) Descripción del tratamiento, evaluación de necesidad y proporcionalidad, evaluación de riesgos y medidas de mitigación

C) Únicamente las medidas de seguridad técnicas

D) El presupuesto de inversión en protección de datos

✓ Respuesta correcta: B) Descripción del tratamiento, evaluación de necesidad y proporcionalidad, evaluación de riesgos y medidas de mitigación

Argumentación: El artículo 35.7 RGPD establece cuatro elementos mínimos obligatorios de la EIPD: 1) descripción sistemática del tratamiento y fines; 2) evaluación de necesidad y proporcionalidad; 3) evaluación de los riesgos para derechos y libertades; 4) medidas prev istas para afrontar riesgos.

Pregunta 14: ¿Qué significa «accountability» o responsabilidad proactiva en protección de datos?

A) Contratar un seguro de responsabilidad civil

B) Ser capaz de demostrar el cumplimiento de los principios de protección de datos

C) Responder a todas las reclamaciones en 24 horas

D) Publicar todos los tratamientos en la web corporativa

✓ Respuesta correcta: B) Ser capaz de demostrar el cumplimiento de los principios de protección de datos

Argumentación: El principio de responsabilidad proactiva (accountability) del artículo 5.2 RGPD establece que el responsable no solo debe cumplir los principios de protección de datos, sino que debe ser capaz de demostrarlo mediante documentación, políticas, registros, evaluaciones de impacto y otras medidas técnicas y organizativas.

Pregunta 15: ¿Cuál es el plazo de conservación de datos en sistemas de información crediticia según la LOPDGDD?

A) 3 años desde el vencimiento

B) 5 años desde el vencimiento

C) 6 años desde el vencimiento

D) 10 años desde el vencimiento

✓ Respuesta correcta: B) 5 años desde el vencimiento

Argumentación: El artículo 20 de la LOPDGDD establece que los datos en ficheros de morosos deben cancelarse transcurridos 5 años desde el vencimiento de la obligación o deuda (anteriormente eran 6 años). Además, la deuda debe ser superior a 50 euros y debe haberse requerido el pago con 30 días de antelación.

Pregunta 16: ¿Qué derecho digital reconoce la LOPDGDD relacionado con el fallecimiento del titular?

A) Derecho de herencia digital automática

B) Derecho al testamento digital

C) Derecho de eliminación post-mortem obligatoria

D) Derecho de transferencia a herederos sin restricciones

✓ Respuesta correcta: B) Derecho al testamento digital

Argumentación: El artículo 96 de la LOPDGDD reconoce el derecho al testamento digital, que permite a las personas decidir sobre sus datos personales tras el fallecimiento, pudiendo dar instrucciones a prestadores de servicios sobre acceso, rectificación, supresión o comunicación de datos a terceros designados.

Pregunta 17: ¿Qué debe formalizarse obligatoriamente entre el responsable y el encargado del tratamiento?

A) Un acuerdo verbal de confianza

B) Un contrato u otro acto jurídico vinculante con contenido específico

C) Una certificación ISO 27001

D) Un registro en la AEPD

✓ Respuesta correcta: B) Un contrato u otro acto jurídico vinculante con contenido específico

Argumentación: El artículo 28 del RGPD exige que la relación responsable-encargado se formalice mediante contrato u otro acto jurídico que establezca objeto, duración, naturaleza del tratamiento, obligaciones del encargado (seguir instrucciones, garantizar confidencialidad, adoptar medidas de seguridad, etc.) y derechos del responsable.

Pregunta 18: ¿Cuál es el ámbito territorial de aplicación del RGPD?

A) Solo tratamientos realizados físicamente en territorio de la UE

B) Tratamientos en la UE y tratamientos fuera de la UE que afecten a residentes europeos

C) Exclusivamente países de la Unión Europea

D) Solo empresas con sede social en Europa

✓ Respuesta correcta: B) Tratamientos en la UE y tratamientos fuera de la UE que afecten a residentes europeos

Argumentación: El artículo 3 del RGPD establece un ámbito territorial amplio: se aplica a tratamientos en contexto de establecimiento en la UE (independientemente de dónde ocurra el tratamiento) y a tratamientos fuera de la UE cuando se ofrezcan bienes/servicios o se controle el comportamiento de residentes en la UE (efecto extraterritorial).

Pregunta 19: ¿Qué características debe tener el consentimiento según el RGPD?

A) Puede ser implícito mediante el silencio

B) Debe ser libre, específico, informado e inequívoco

C) Basta con casillas premarcadas

D) No puede retirarse una vez prestado

✓ Respuesta correcta: B) Debe ser libre, específico, informado e inequívoco

Argumentación: El artículo 4.11 y considerando 32 del RGPD establecen que el consentimiento debe ser libre (sin coacción), específico (para finalidades concretas), informado (con información previa clara) e inequívoco (acción afirmativa clara). Se prohíben el silencio, casillas premarcadas o inacción. Además, debe poder retirarse fácilmente.

Pregunta 20: ¿Qué derecho permite al interesado recibir sus datos en formato estructurado y transmitirlos a otro responsable?

A) Derecho de acceso

B) Derecho de rectificación

C) Derecho de portabilidad

D) Derecho de oposición

✓ Respuesta correcta: C) Derecho de portabilidad

Argumentación: El artículo 20 del RGPD reconoce el derecho de portabilidad: el interesado puede recibir los datos que haya facilitado en formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable, cuando el tratamiento esté basado en consentimiento o contrato y se efectúe por medios automatizados. Es una novedad del RGPD que favorece la competencia.

Pregunta 21: ¿Cuál es la naturaleza jurídica de la Agencia Española de Protección de Datos (AEPD)?

A) Empresa pública dependiente del Ministerio de Justicia

B) Autoridad de control independiente con personalidad jurídica propia

C) Órgano consultivo sin potestad sancionadora

D) Fundación privada de certificación

✓ Respuesta correcta: B) Autoridad de control independiente con personalidad jurídica propia

Argumentación: La AEPD es la autoridad de control independiente responsable de velar por el cumplimiento de la normativa de protección de datos en España. Actúa con plena independencia de las Administraciones Públicas, tiene personalidad jurídica propia y potestad sancionadora. Su independencia está garantizada por el RGPD y la LOPDGDD.

Pregunta 22: ¿Qué derecho laboral digital reconoce la LOPDGDD fuera del horario de trabajo?

A) Derecho a usar dispositivos personales

B) Derecho a la desconexión digital

C) Derecho a borrar correos laborales

D) Derecho a trabajar desde casa

✓ Respuesta correcta: B) Derecho a la desconexión digital

Argumentación: El artículo 88 de la LOPDGDD reconoce el derecho a la desconexión digital en el ámbito laboral: los trabajadores tienen derecho a no estar conectados a dispositivos digitales fuera de su horario laboral, garantizando el descanso y la conciliación de la vida personal, familiar y laboral. Las empresas deben establecer modalidades de ejercicio.

Pregunta 23: ¿Cuándo debe consultarse a la autoridad de control con carácter previo al tratamiento?

A) Siempre antes de iniciar cualquier tratamiento

B) Cuando la EIPD indique alto riesgo sin medidas de mitigación suficientes

C) Solo cuando lo solicite el DPD

D) Nunca, la consulta es voluntaria

✓ Respuesta correcta: B) Cuando la EIPD indique alto riesgo sin medidas de mitigación suficientes

Argumentación: El artículo 36 del RGPD establece que el responsable consultará a la autoridad de control con carácter previo cuando de una EIPD resulte que el tratamiento entrañaría un alto riesgo si el responsable no aplicase medidas para mitigarlo. La autoridad proporcionará asesoramiento en un plazo máximo de 8 semanas (prorrogable a 14).

Pregunta 24: ¿Qué medida de seguridad específica menciona el artículo 32 del RGPD para proteger datos personales?

A) Contratar vigilancia física 24/7

B) Seudonimización y cifrado de datos personales

C) Imprimir todos los datos en papel

D) Almacenar datos en dispositivos no conectados a internet exclusivamente

✓ Respuesta correcta: B) Seudonimización y cifrado de datos personales

Argumentación: El artículo 32 del RGPD menciona específicamente como medidas de seguridad: la seudonimización y el cifrado de datos personales, la capacidad de garantizar confidencialidad, integridad, disponibilidad y resiliencia, la capacidad de restaurar datos tras incidentes, y procesos de verificación regular. Las medidas deben ser apropiadas al riesgo.

Pregunta 25: ¿Cuál es el objeto principal de la Ley Orgánica 3/2018 (LOPDGDD)?

A) Sustituir completamente al RGPD en España

B) Adaptar el RGPD al ordenamiento español y garantizar derechos digitales

C) Regular exclusivamente el comercio electrónico

D) Derogar toda la normativa anterior sin establecer nuevas reglas

✓ Respuesta correcta: B) Adaptar el RGPD al ordenamiento español y garantizar derechos digitales

Argumentación: La LOPDGDD tiene un triple objeto: 1) adaptar el ordenamiento jurídico español al RGPD utilizando sus cláusulas de apertura; 2) garantizar los derechos digitales de la ciudadanía conforme al mandato constitucional del artículo 18.4; 3) establecer el régimen jurídico de la AEPD. No sustituye al RGPD, que es directamente aplicable, sino que lo complementa.

12. Referencias Bibliográficas

📚 Normativa Fundamental

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD). DOUE L 119/1, de 4 de mayo de 2016.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). BOE núm. 294, de 6 de diciembre de 2018.
Constitución Española de 1978. Artículo 18.4. BOE núm. 311, de 29 de diciembre de 1978.
Carta de los Derechos Fundamentales de la Unión Europea (2012/C 326/02). Artículos 7 y 8.
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI). BOE núm. 166, de 12 de julio de 2002.

🏛️ Jurisprudencia

Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre (FJ 6). Reconocimiento del derecho fundamental a la protección de datos como derecho autónomo.
Sentencia del Tribunal de Justicia de la UE (Gran Sala) de 13 de mayo de 2014, Asunto C-131/12 (Google Spain). Derecho al olvido en buscadores de internet.
Sentencia del Tribunal de Justicia de la UE de 6 de octubre de 2015, Asunto C-362/14 (Schrems I). Invalidación del Safe Harbor.
Sentencia del Tribunal de Justicia de la UE de 16 de julio de 2020, Asunto C-311/18 (Schrems II). Invalidación del Privacy Shield.
Sentencia del Tribunal Supremo 4053/2018, de 4 de octubre. Interpretación de derechos de los interesados.

📖 Documentación Oficial AEPD

Agencia Española de Protección de Datos (2024). Guía práctica de Evaluaciones de Impacto en la Protección de los Datos sujetas al RGPD. Madrid: AEPD.
AEPD (2024). Guía para el cumplimiento del deber de informar. Madrid: AEPD.
AEPD (2024). Guía práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD. Madrid: AEPD.
AEPD (2023). Directrices para la designación del Delegado de Protección de Datos. Madrid: AEPD.
AEPD (2023). Lista de tipos de tratamiento que requieren evaluación de impacto. Actualización disponible en: https://www.aepd.es
AEPD (2024). Guía sobre el uso de las cookies. Madrid: AEPD.
AEPD (2024). Herramienta Facilita: Autoevaluación del nivel de adecuación al RGPD. Recurso online en portal AEPD.

🇪🇺 Documentación del Comité Europeo de Protección de Datos (CEPD)

Comité Europeo de Protección de Datos (2019). Directrices 3/2019 sobre el tratamiento de datos personales mediante dispositivos de vídeo. Versión 2.0.
CEPD (2020). Directrices 4/2019 sobre el artículo 25 – Protección de datos desde el diseño y por defecto. Versión 2.0.
CEPD (2020). Directrices 07/2020 sobre conceptos de responsable y encargado del tratamiento. Versión 1.0.
CEPD (2021). Directrices 01/2021 sobre ejemplos de violación de la seguridad de los datos personales. Versión 1.0.
CEPD (2022). Directrices 04/2022 sobre el cálculo de las multas administrativas. Versión 1.0.
CEPD (2023). Recomendaciones 01/2023 sobre transferencias internacionales de datos. Herramientas prácticas.

📚 Manuales y Monografías Especializadas

Rallo Lombarte, A., & Martínez Martínez, R. (Coords.) (2019). Derecho y Big Data. Cizur Menor: Thomson Reuters Aranzadi.
Piñar Mañas, J. L. (Dir.) (2020). Reglamento General de Protección de Datos: Hacia un nuevo modelo europeo de privacidad. Madrid: Reus.
Recio Gayo, M. (2020). Protección de Datos y Garantía de los Derechos Digitales. Madrid: La Ley.
Troncoso Reigada, A. (2020). Comentario a la Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales. Cizur Menor: Thomson Reuters Civitas.
Davara Rodríguez, M. Á. (2021). Manual de Derecho Informático (13ª ed.). Cizur Menor: Thomson Reuters Aranzadi.
Grupo de Trabajo del Artículo 29 (2018). Dictamen 3/2018 sobre evaluaciones de impacto relativas a la protección de datos. Bruselas.

🎓 Artículos Doctrinales y Científicos

Boix Palop, A. (2019). «Los derechos digitales en la Ley Orgánica 3/2018: una aproximación crítica». Revista de Derecho Político, (104), 143-174.
Martínez Martínez, R. (2020). «Inteligencia Artificial, Protección de Datos y discriminación». Revista de Estudios Políticos, (190), 13-44.
Álvarez Caro, M. (2019). «El delegado de protección de datos: Análisis del artículo 37 del RGPD». Revista General de Derecho Administrativo, (50), 1-29.
Heredero Higueras, M. (2020). «La evaluación de impacto en la protección de datos: aspectos prácticos». Revista CESCO de Derecho de Consumo, (33), 180-203.
González Murua, I. (2021). «El consentimiento en el RGPD: especial referencia a menores». IDP. Revista de Internet, Derecho y Política, (33), 1-15.

🌐 Recursos Online y Formación

Agencia Española de Protección de Datos. Portal oficial: https://www.aepd.es – Acceso a guías, herramientas, formularios y normativa actualizada.
Comité Europeo de Protección de Datos. Portal oficial: https://edpb.europa.eu – Directrices, dictámenes y jurisprudencia europea.
EUR-Lex. Portal de Derecho de la Unión Europea: https://eur-lex.europa.eu – Acceso al RGPD y normativa relacionada en todas las lenguas oficiales.
BOE. Boletín Oficial del Estado: https://www.boe.es – Acceso a LOPDGDD y normativa española actualizada.
INCIBE (Instituto Nacional de Ciberseguridad). Recursos sobre seguridad de datos y ciberseguridad: https://www.incibe.es
Observatorio de la LOPD. Blog especializado con análisis y actualidad: https://www.observatoriolopd.com

📊 Estudios e Informes Sectoriales

AEPD (2024). Memoria Anual 2023. Estadísticas de reclamaciones, sanciones y actividad de la autoridad.
Comisión Europea (2024). Data Protection Report 2024. Informe sobre aplicación del RGPD en la UE.
International Association of Privacy Professionals (IAPP) (2024). Global Privacy Developments Report.
Deloitte (2024). GDPR Compliance Survey: Five Years After Implementation. Análisis de cumplimiento empresarial.

🏢 Estándares y Certificaciones

ISO/IEC 27001:2022 – Sistemas de gestión de la seguridad de la información.
ISO/IEC 27701:2019 – Extensión de ISO 27001 para gestión de privacidad.
ISO/IEC 29134:2017 – Directrices para evaluación de impacto en privacidad.
Esquema Nacional de Seguridad (ENS) – RD 311/2022 para administraciones públicas españolas.
AENOR. Certificación en protección de datos personales según normativa española y europea.