AENOR - Módulo Protección de Datos

Módulo
Protección de Datos
Colaboran:
Introducción
 AENOR DPD 1 v1 1  2018 Urbetec Abogados

Introducción
Carta de los Derechos Fundamentales de la Unión

Europea
2000/C 364/01
Artículo 8: “Toda persona tiene derecho a la

protección de los datos de carácter personal que
la conciernan”

Introducción
Constitución Española
Capítulo II. De los Derechos y Libertades
Sección I. De los derechos fundamentales y las libertades
públicas
ARTÍCULO 18.4
“La ley limitará el uso de la informática para garantizar el

honor y la intimidad personal y familiar de los ciudadanos
y el pleno ejercicio de sus derechos”

Introducción
¿Cuáles son los objetivos del Reglamento?
 Adaptación a la evolución tecnológica e incremento de la

magnitud del intercambio y la recogida de datos
 Nuevas formas de tratamiento
 Garantizar que el derecho fundamental a la protección de

datos se aplique de forma coherente en toda la UE
 Facilitar los flujos transfronterizos

Introducción
Hasta mayo 2018… A partir de mayo de 2018
DIRECTIVA 95/46/CE DEL

RGPD
PARLAMENTO EUROPEO
Y DEL CONSEJO
LOPD
Ley 15/1999, de 13 de diciembre, de Protección de Datos de
carácter personal
Proyecto LOPD
RLOPD
Real Decreto 1720/2007, de 21 de diciembre, que aprueba el
Reglamento de desarrollo de la LOPD

Introducción
Otra normativa de aplicación:

 Ley 34/2002, de Servicios de la Sociedad de la Información
 Ley 9/2014, General de Telecomunicaciones
 Ley 41/2002, básica reguladora de la autonomía del paciente y de derechos y

obligaciones en materia de información y documentación clínica
 Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones
electrónicas y a las redes públicas de comunicaciones.
Instrucciones de la AEPD: videovigilancia, control de acceso
Jurisprudencia de tribunales: AN, TS, TC y TJUE
Resoluciones e informes de la AEPD (también del Grupo del art. 29)

Introducción
Art. 2 RGPD
Tratamientos de datos manuales y automatizados
Excepciones:
 Actividad no comprendida en el Derecho de la UE
 Instituciones, órganos de la UE (¡Ojo! Administraciones Públicas de los
estados miembros no están exceptuadas – art. 4 7): definición de
responsable)
 Política exterior y seguridad común
 Actividades exclusivamente personales o domésticas
 Fines de prevención, investigación, detección o enjuiciamiento de
infracciones penales, protección y prevención frente a las amenazas a la
seguridad pública
 Persona jurídica (considerando 14 RGPD)
Art. 3 Proyecto: Datos de las personas fallecidas

Introducción
Art. 3 RGPD
 Establecimiento del responsable o encargado en la UE.
 Interesados que residan en la Unión, por parte de un responsable no

establecido en la UE, cuando:
 Oferta de bienes y servicios al interesado,
 Control de su conducta en la medida en que tenga lugar en la UE
 Responsables establecidos en estados miembros a los que sea de

aplicación legislación nacional de estado miembro

Introducción
Art. 4 16) RGPD

¿Qué es establecimiento principal?
Establecimientos en más de un Estado miembro:
- Lugar de administración central
- O, en su defecto:
 Responsables: el establecimiento que decida sobre los fines y

medios del tratamiento
 Encargados: establecimiento en el que se realicen las principales

actividades del tratamiento

Fundamentos

Conceptos
Art. 4 RGPD
Toda información sobre una

persona física identificada o
identificables de forma directa
o indirecta

Conceptos
Cualquier información numérica, alfabética,

fotográfica, acústica o de cualquier otro tipo
concerniente a personas físicas identificadas o
identificables, tanto la relativa a su identidad (como
nombre y apellidos, domicilio, filiación, una fotografía
o video, etc.) como la relativa a su existencia y
ocupaciones (estudios, trabajo, enfermedades, etc.)
Son datos personales:

• Matrículas de vehículos
• Numeros de teléfono
• Número de Finca Registral
• Dirección IP
• Correo electrónico

Conceptos
Algunos conceptos:
Tratamiento (art. 4.1 RGPD)
Cualquier operación o conjunto de operaciones realizadas

sobre datos personales o conjuntos de datos personales, ya
sea por procedimientos automatizados o no, como:
- Recogida
- Registro
- Organización
- Estructuración
- Conservación
- adaptación o modificación,
- Extracción
- Consulta
- Utilización
- comunicación por transmisión, difusión o cualquier otra
forma de habilitación de acceso,
- Cotejo o interconexión
- Limitación
- Supresión o destrucción
Conceptos
¿En qué concepto tratamos los datos?
Responsable del tratamiento (art. 4.7 RGPD):
Persona física o jurídica, autoridad pública, servicio u otro

organismo que, solo o junto con otros, determine los fines y
medios del tratamiento; si el Derecho de la Unión o de los Estados
miembros determina los fines y medios del tratamiento, el
responsable del tratamiento o los criterios específicos para su
nombramiento podrá establecerlos el Derecho de la Unión o de los
Estados miembros.
Corresponsable de tratamiento (art. 26 RGPD):
Cuando dos o más responsables determinen conjuntamente los

objetivos y los medios del tratamiento serán considerados
corresponsables del tratamiento

Conceptos
Algunos conceptos:
Encargado:
Persona física o jurídica, autoridad pública, servicio u otro organismo

que trate datos personales por cuenta del responsable del tratamiento
Subencargado:
Persona física o jurídica que trate datos personales con motivo de la

prestación de un servicio al encargado del tratamiento (definición no
prevista en la normativa)
Autoridad de Control

Principios
ART. 5 RGPD
Principios relativos al tratamiento:

• Licitud, lealtad y transparencia.
• Limitación de la finalidad.
• Minimización de datos.
• Exactitud.
• Limitación del plazo de conservación.
• Integridad y confidencialdiad.
• Responsabilidad proactiva.

Principios
Principio relativos al tratamiento
Cumplimiento de los principios
• Informar
• Limitar la Finalidad
• Revisar los datos solicitados
• Establecer procedimientos para garantizar la exactitud
• Determinar los plazos de conservación
• Establecer medidas para garantizar una seguridad adecuada
• Custodia de las evidencias

Principios
Art. 24 RGPD
Principio de rendición de cuentas
Implantación de medidas técnicas, jurídicas y

organizativas apropiadas para garantizar y
demostrar que el tratamiento de datos es
llevado conforme a la normativa vigente.
Obligación de resultado
GT29 Dictamen
3/2010 sobre el
principio de
responsabilidad
Gestión / Acreditación
 AENOR DPD 1 v1  2018 Urbetec Abogados

Principios
Privacy by design
Art. 25.1 RGPD
Los responsables deberán aplicar las

medidas técnicas y organizativas adecuadas
para la actividad de tratamiento desarrollada
y sus objetivos

Principios
“Pensar antes de actuar”
Incorporada Ciclo de
en el Diseño Vida
Privacidad Visibilidad y
por Defecto Transparencia
Respeto
Proactivo, privacidad
PbDesign
no reactivo interesado

Principios
Privacy by default Art. 25.2 RGPD
Se aplicarán medidas apropiadas para garantizar

que, por defecto, únicamente sean tratados los
datos que sean necesarios para la finalidad que
persigue el tratamiento
Posibilidad de
Certificación (art. 42
RGPD)

Licitud
Licitud del Tratamiento Art. 6.1 RGPD
El tratamiento será lícito cuando:
- El interesado ha dado su consentimiento inequívoco

- Sea necesario para la ejecución de un contrato
- Sea necesario para cumplir una obligación jurídica
- Proteja intereses vitales
- Sea necesario para cumplir una misión de interés público
- Sea necesario para satisfacer un interés legítimo del
Responsable (prevención del fraude, mercadotecnia)

Licitud
Art. 6.2 RGPD
También será lícito el tratamiento con fines de archivo en

interés público o con fines periodísticos, académicos,
artísticos o literarios, siempre que cumpla con el artículo 89
RGPD.
La legislación podrá establecer excepciones en el cumplimiento

de las obligaciones del RGPD para los tratamientos con fines de
archivo en interés público, histórico, estadístico o científico.
Las excepciones no se aplicarán cuando el tratamiento sirva

también para otro fin diferenciado.

Licitud
Consentimiento Considerando 32
“El consentimiento debe darse mediante un acto afirmativo

claro que refleje una manifestación de voluntad libre,
específica, informada, e inequívoca del interesado de aceptar
el tratamiento de datos de carácter personal que le
conciernen.”
Formas de recabar el consentimiento
• Por escrito
• Por medios electrónicos
• Por una declaración verbal.
• Marcando una casilla en un sitio web.

Licitud
Consentimiento explícito:
• El consentimiento para el tratamiento de categorías especiales de

datos personales (art. 9.2.a) RGPD).
• El consentimiento para poder ser objeto de una decisión individual

automatizada que produzca efectos jurídicos en el interesado o le
afecte significativamente de modo similar (art. 22.2.c) RGPD).
• El consentimiento para que puedan producirse transferencias

internacionales de datos a un tercer país u organización internacional
(art. 49.1.a) RGPD).

Licitud
¿Explícito?
El término explícito se refiere a la forma en la que se expresa el

consentimiento, una manera obvia de asegurar el consentimiento
explícito sería que se confirmara de forma expresa mediante una
declaración escrita.
¿Cómo prestar el consentimiento explícito en

medios digitales?
• El envío de una declaración rellenando un formulario electrónico.
• El envío de una declaración vía correo electrónico.
• La subida de un documento firmado escaneado.
• El uso de firma electrónica.

Licitud
Consentimiento
ART. 7 RGPD
El responsable del tratamiento debe poder

demostrar que el interesado ha dado su
consentimiento inequívoco
Datos de categorías especiales  consentimiento explícito
Desaparece el consentimiento tácito

Licitud
Consentimiento
Tratamientos específicos
Tratamiento de Datos de Salud:
• LOPD: Consentimiento expreso

• Ley 41/2002: Consentimiento informado, libre y
voluntario.
• Regla General: Verbal
• Consentimiento escrito para intervenciones
quirúrgicas, procedimientos invasores y que supongan
riesgos o inconvenientes notorios Art 8.2 Ley 41/2002
Ficheros de solvencia:
• No se requiere consentimiento siempre que estemos ante

una deuda cierta, vencida, exigible y respecto de la que
no se haya entablado reclamación judicial

Licitud
Consentimiento
Art. 21 LSSICE. Envío de comunicaciones comerciales por

medios electrónicos
Cuando podrán enviarse:
• Sean previamente solicitadas o expresamente autorizadas
• Exista una relación contractual previa, siempre que:

• Datos obtenidos lícitamente
• Relativos a sus propios productos
• Productos similares a los contratados
• Se posibilite la oposición  Recogida y todas las

comunicaciones
• Se incluya  dirección de correo electrónico u otra dirección
electrónica válida donde pueda ejercitarse este derecho
El Art. 16 del Proyecto regula los Sistema de Exclusión Publicitaria

Información
Regla general:
Informar al titular de los datos

Información
ART. 13 y 14 RGPD
 Identidad del Responsable y Datos de contacto.

 Datos de contacto del DPO
 Finalidad del tratamiento
 Base jurídica del tratamiento
 Destinatarios o categorías de destinatarios
 TID y garantías
 Plazos de conservación
 Derechos del interesado, a retirar el consentimiento,
a reclamar a la autoridad de control
 Existencia de mecanismo de decisión automatizado
No recogidos del interesado: Fuente de la que proceden

Información
Se presentará dentro del campo de

PrimeraDeber
capade Información visión del interesado
Información básica
 Identificación del Responsable
 Finalidad
 Legitimación
 Destinatarios
 Derechos de acceso, rectificación y supresión
 Referencia a la información adicional
¿Dónde ubicamos la
segunda capa?

Información
Segunda capa
Información adicional
 Datos de contacto, identidad y datos de contacto del representante, datos de
contacto del DPO.
 Descripción ampliada de los fines del tratamiento, plazos o criterios de
conservación
 Detalle de la base jurídica del tratamiento, de la obligación de facilitar los
datos y de las consecuencias de no hacerlo.
 Destinatarios o categorías de destinatarios.
 Decisiones de adecuación, BCRs o situaciones para la previsión de
Transferencias a terceros países.
 Como ejercer los derechos de acceso, rectificación, supresión, portabilidad,
limitación u oposición, derecho a retirar el consentimiento y derecho a
reclamar ante la Autoridad de Control.
 AENOR DPD 1 v1 33
33  2018 Urbetec Abogados
Información
ARTS. 13 y 14 RGPD
Excepciones:
Deber de Información
 El interesado disponga de la información
 Resulte imposible o desproporcionada
 Los datos deban permanecer confidenciales

Información
ART. 13.1 RGPD
¿En qué momento?
 Recogidos del interesado:
“En el momento en el que se recojan los datos

personales”

Información
Deber de Información
Art. 14 Proyecto: Sistemas de
información crediticia
• Información previa a la inclusión. 39 RLOPD
• Notificación de la deuda. 30 días. Notificación
individualizada por deuda. 40 RLOPD
Art. 15 Proyecto: Tratamientos con

fines de videovigilancia
Videovigilancia:
• Instrucción 1/2006. Doble mecanismo de
información (cartel + información completa)

Categorías especiales de datos
Categorías especiales de datos ART. 9 RGPD
Queda prohibido el tratamiento de datos
Origen étnico y racial
Opiniones políticas o afiliación sindical
Convicciones religiosas o filosóficas
Datos relativos a la salud o a la vida u orientación sexual
Datos biométricos dirigidos a identificar de manera unívoca a una

persona
Categorías especiales de datos
Se podrán tratar cuando:

 El interesado haya dado su consentimiento explícito
 Es necesario para proteger los intereses vitales, cuando el

interesado no esté capacitado para dar su consentimiento.
 El tratamiento lo realiza legítimamente una organización sin

ánimo de lucro con finalidad política, filosófica, sindical o
religiosa con relación a sus objetivos.
 El interesado ha manifestado públicamente sus datos
 Está fundamentado en la legislación vigente.

Menores
Consentimiento menores de edad ART. 8 RGPD
• Mayores de 16.
• Menores de 16: Siempre el

consentimiento de padres / tutores
Art. 8 del Proyecto acepta el

consentimiento de los mayores de 13
años.
EL RGPD sólo abarca el

consentimiento en el marco de
los Servicios de la Sociedad de
la Información

Registro de actividades del tratamiento
Considerando 82
El registro de actividades
Para demostrar la conformidad y cumplimiento

del mismo, tanto el responsable como el
encargado de tratamiento deben mantener
registros de las actividades de tratamiento
bajo su responsabilidad
• Constar por escrito.

• A disposición de la autoridad de control.
• No es necesaria para empresas de menos de 250 trabajadores.
o Salvo que riesgo para los derechos de los interesados.
o Salvo tratamiento de datos del art. 9 y 10 del RGPD.

Documentación obligatoria:
Art. 30 RGPD
Registro de categorías de datos
Registro del responsable:
- Identificación responsable y DPO

- Finalidades del tratamiento
- Descripción de categorías de interesados y de
datos
- Destinatarios a quienes se han comunicado o van
a comunicarse
- Categorías de TID
- Plazos previstos
- Medidas técnicas y organizativas

Documentación obligatoria: Art. 30 RGPD
Registro de categorías de datos
Registro del encargado:
- Identificación de encargados y del

responsables
- DPO del encargado
- Categorías de tratamiento efectuados
- Categorías de TID efectuadas
- Medidas técnicas y organizativas

Derechos

¿Qué derechos se reconocen
actualmente a los
interesados?

Derechos
¿Cómo atendemos
las solicitudes de
ejercicio de estos
derechos?

Derechos
Derechos de los interesados

Art. 12 a 23 RGPD
Los derechos reconocidos a los titulares de los datos

son:
 Acceso
 Rectificación
 Supresión y olvido
 Limitación del tratamiento
 Portabilidad de los datos
 Oposición
Nuevos derechos reconocidos por el RGPD

Derechos
Atención de las solicitudes de ejercicio de derechos
 Procedimiento visibles, accesibles y sencillos

 Previa identificación de la identidad del interesado
 En casos de gran cantidad de información sobre un

interesado podrá pedir que especifique.
 Plazos
 De forma gratuita
Se podrá cobrar un canon que compense los

costes administrativos de atender la petición
para las solicitudes infundadas o excesivas

Derechos
Art. 15 RGPD
Derecho de Acceso
Derecho a conocer si se están tratado o no datos personales y

que datos se están tratando:
También tiene derecho a obtener:

 Finalidad
 Destinatarios
 Plazo conservación
 Derechos
 Derecho a presentar reclamación ante autoridad de control
 Origen
 Existencia de decisiones automatizadas y elaboración de
perfiles.
 TID Límite de 6 meses

Derechos
Art. 15 RGPD
Derecho de Acceso
El Responsable:
 Facilitará una copia de los datos

 Este derecho no afectará negativamente a otros.
 Preferiblemente en el mismo modo en que se ejercitó el
derecho.
 Se podrá facilitar acceso remoto a un sistema seguro que
ofrezca acceso directo a sus datos personales
Otros derechos de acceso:
• Historia Clínica art.18 Ley 41/2002

• Información Pública art. 12 Ley 19/2013

Derechos
Derecho de Rectificación Art. 16 RGPD
• Derecho a la rectificación de los datos

que le conciernan
• Derecho a que se complementen los
datos personales que le conciernen
¿Cuándo tengo derecho a

rectificar mis datos?

Derechos
Derecho de Supresión Art. 17 RGPD
Los datos se suprimirán cuando:
- Innecesarios
- El interesado retire consentimiento
- Oposición
- Hayan sido tratado ilícitamente
- El cumplimiento de una obligación legal
- Recogidos en virtud de una oferta de servicios de la sociedad de la
información a menores

Derechos
Art. 18 RGPD
Derecho a la Limitación del Tratamiento
Supone que, a petición del interesado, no se aplicarán sus datos

personales a determinadas operaciones de tratamiento.
Cuando se puede solicitar:
 Cuando se ha ejercido derechos de rectificación u oposición que aún no

se han atendido.
 Cuando el interesado se opone al borrado de los datos aunque:
• El tratamiento haya sido ilícito.

• Los datos ya no sean necesarios.

Derechos
Art. 18 RGPD
Derecho a la Limitación del Tratamiento
¿Se pueden tratar los datos durante la limitación

para algo más que su conservación?
Solo podrán ser tratados:

 Con consentimiento del interesado
 Para la formulación, ejercicio o defensa de reclamaciones.
 Para proteger los derechos de otra persona física o jurídica
 Por razones de interés público
¡NO CONFUNDIR CON EL BLOQUEO DE LOS DATOS DE LA LOPD!

Derechos
Art. 20 RGPD
Portabilidad de los datos:

• Derecho a:
 Obtener copia de los datos en formato
 Estructurado
 De uso común
 Lectura mecánica
 Transmitirlos de un responsable a otro.
• La Comisión podrá especificar el formato y las normas técnicas la
transmisión.
Art. 27 Proyecto: El Derecho a la portabilidad no se

extiende a los datos que el responsable haya generado a
partir de los datos obtenidos o facilitados por el afectado

Derechos
Art. 20 RGPD
Portabilidad de los datos:

Requisitos:
 Tratamiento efectuado por medios automatizados
 Tratamiento basado en
 El consentimiento
 En un contrato
No es aplicable:
 Los datos de terceros facilitados por el interesado
 Los datos del interesado facilitados por terceros

Derechos
Art. 21 RGPD
¿Cuándo puedo oponerme al tratamiento de mis datos?
• En cualquier momento cuando el tratamiento se base en
 Cumplimiento de una misión realizada en interés público

 El interés legítimo del Responsable
No prosperará la oposición si el Responsable acredita
motivos legítimos imperiosos o son necesarios para la
formulación, ejercicio o defensa de reclamaciones
- Mercadotécnica directa
- Efectos históricos,
estadísticos o científicos
- Prevención del Fraude

Derechos
Derecho al Olvido
Art. 17 RGPD
Caso Google
Antecedentes: Reclamación (2010)

contra la Vanguardia y Google Spain
por la publicación de un embargo en
un diario de 1998.

Derechos
Derecho al olvido
 No se considera un derecho autónomo.

 Existe solo en el entorno online.
Los responsables que hayan hecho públicos los datos
personales deberán adoptar medidas técnicas para informar a
otros responsables de la solicitud del interesado.
La jurisprudencia del TJUE ha determinado que se puede
ejercer ante el buscador y ante el Responsable del
Tratamiento.
Metaetiqueta “noindex”
Robot TXT.

Derechos
Ejercicio de derechos- Tratamientos específicos
Historia Clínica:
• El acceso a la Historia Clínica debe garantizar el respeto a los
derechos del paciente, de terceros y del personal médico (reserva
de anotaciones subjetivas)
• El paciente tiene derecho de acceso y copia. El centro sanitario
regulará el procedimiento.
Acceso a la información pública:
• Solo afecta a la información pública: Contenidos o documentos que

obren en poder de los sujetos obligados a cumplir con la Ley
19/2013 y que hayan sido elaborados o adquiridos en el ejercicio de
sus funciones.
• Puede contener datos de carácter personal y se deberá ponderar.

Derechos
Ejercicio de derechos
• Si la solicitud se dirige al titular del fichero común, este debe comunicar todos los
datos (evaluaciones y apreciaciones de los 6 últimos meses)
• Si se dirige a otra entidad, se informará sobre todos los datos disponibles y sobre la
identidad del titular del fichero común
• Rectificación o cancelación
• 7 días para respuesta de la entidad (o mod. Cautelar)
• 10 días para resolución si se ejercita ante la entidad
Videovigilancia:
• No afectación a derechos de terceros. Emisión certificado Art. 5.2
Inst.1/2006

Comunicaciones a terceros

Comunicación
Arts. 6 y 14 RGPD
Comunicación de datos
Los datos solo podrán ser comunicados conforme al principio de

licitud (art. 6 RGPD).
El responsable debe informar de:
- Los destinatarios o categorías de destinarios a quienes se les

comunican los datos (art. 14.1 e RGPD)
- Si la comunicación de datos es un requisito legal, contractual o

necesario para suscribir un contrato, y si el interesado está obligado
a facilitar los datos y está informado de las consecuencias de no
hacerlo (art. 14.2 e RGPD).
Encargado del tratamiento
Art. 4 8) RGPD
Encargado del Tratamiento:

Persona física o jurídica, autoridad pública, servicio
o cualquier otro organismo que, solo o
conjuntamente con otros, trate datos personales
por cuenta del responsable del tratamiento
En el sector público pueden atribuirse las competencias de

un Encargado del Tratamiento a un Órgano de la
Administración Pública. Art. 34.5 Proyecto
NO es cesión de datos el acceso a los

mismos por un proveedor que los
necesita para la prestación de sus
servicios

Art. 28 RGPD
Entre Responsable y Encargado debe existir un contrato
En RGPD  contrato o acto jurídico vinculante que fije:

- Objeto, duración, naturaleza
- Finalidad del tratamiento, tipo de datos, interesados
En LOPD  contrato escrito u otra forma que acredite su celebración:

- Sometimiento instrucciones responsable
- Medidas de seguridad
Si el Encargado es una Administración Pública, en vez de

contrato habrá una norma que regule las competencias. Art.
34.5 Proyecto

Art. 28 RGPD
Obligaciones del Encargado de Tratamiento:
• Tratar los datos conforme a las instrucciones del

responsable
• Compromiso de confidencialidad
• Adopción de medidas de seguridad
• Condiciones para la subcontratación

Art. 28 RGPD
Además, según el RGPD el Encargado debe:
- Ayudar a atender las solicitudes de ejercicio de

derechos
- Ayudar a garantizar el cumplimiento
- Facilitar información para acreditar el cumplimiento

de las obligaciones  incluye realización de
auditorías y contribuir a las mismas.
Podrá utilizarse para acreditar

garantías suficientes la adhesión a
un mecanismo de certificación
67  AENOR DPD 1 v1  2018 Urbetec Abogados

Art. 28.1 RGPD
Posibilidad de subcontratación
LOPD/RLOPD: con autorización del

responsable
RGPD: consentimiento previo por

escrito, específico o general, del
responsable

Marco de responsabilidad en caso

de incumplimiento del contrato:
Art. 79 RGPD
En caso de incumplimiento de sus

obligaciones en virtud del RGPD o
actuación al margen del contrato con el
responsable, el encargado responderá de
los daños causados.


Responsabilidades
Responsables:
 Responsabilidad in eligendo
 Responsabilidad in vigilando
Encargados del Tratamiento

 Incumplimiento obligaciones RGPD
 Actuación al margen del contrato
En caso de infracción, los dos pueden responder Art. 79 RGPD

Transferencia Internacional de Datos
Art. 44 RGPD
Principio general:
Las TID solo podrán tener lugar si el responsable o el
encargado cumplen con las condiciones exigidas en el
RGPD
Solo podrán realizarse TID, cuando:
1. Exista una decisión de adecuación

2. Se aporten garantías adecuadas
3. Normas corporativas vinculantes
4. Supuesto comprendido entre las excepciones del art. 49
RGPD

¿Qué considera el RGPD garantías Art. 46 RGPD
adecuadas?
Sin autorización:
• Instrumento jurídicamente vinculante y ejecutivo,
• Normas corporativas vinculantes,
• Clausulas tipo de PD aprobadas por la Comisión,
• Clausulas estándar de PD adoptadas por la autoridad de supervisión y por la
Comisión,
• Código de conducta con compromisos vinculantes,
• Certificación, junto con compromisos vinculantes y ejecutables
Con autorización:
• Cláusulas contractuales entre responsable o encargado e importador
• Disposiciones en acuerdos administrativos
La competencia para autorizar TID a países que no tengan un nivel de protección

adecuada corresponde a la AEPD o a las Autoridades Autonómicas de Protección
de Datos. Art. 43 Proyecto

Art. 49 RGPD
3. Excepciones
 Dispongamos del consentimiento explícito
 Sea necesaria para ejecución de un contrato
 Sea necesaria para la ejecución de contrato, en beneficio del interesado,
entre responsable y tercero
 Sea necesaria por motivos de interés público
 Interés público reconocido por el derecho de la UE (art. 44.5 RGPD)
 Necesaria para procedimiento judicial
 Protección de intereses vitales
 Registro público
 Ni gran escala ni frecuente
La competencia para autorizar TID a países que no tengan un nivel de

protección adecuada corresponde a la AEPD o a las Autoridades
Autonómicas de Protección de Datos. Art. 43 Proyecto

Países con un nivel adecuado de protección
Nivel de Protección adecuado acordado por la AEPD:
Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe,

Andorra, Israel, Uruguay y Nueva Zelanda.
Nivel de Protección adecuado acordado por la Comisión:
Privacy Shield (sustituyó a Safe Harbor)

Acreditación del
cumplimiento

Art. 24 RGPD
“La adhesión a códigos de conducta

aprobados con arreglo al artículo 40 o a un
mecanismo de certificación aprobado con
arreglo al artículo 42 podrán ser utilizados
como elementos para demostrar la
conformidad con las obligaciones por parte
del responsable

Acreditación
ART. 42 RGPD
Finalidad: probar el cumplimiento de lo

dispuesto en el RGPD
 Consejo Europeo de Protección de Datos y la Comisión

promoverán la creación de mecanismos de certificación
No limita la responsabilidad

Acreditación
ART. 42 RGPD
Proceso de certificación
 Expedida por autoridad de control u organismos

autorizados.
 Criterios de certificación aprobados por la autoridad de
control
 Validez máximo tres años, renovables
 Podrá ser retirada
ART. 39 Proyecto: En España las entidades de certificación

serán acreditadas por ENAC.

Códigos de Conducta
Art. 40 RGPD
Finalidad: contribuir a la correcta aplicación de la

normativa
Elaboración y aprobación
• Elaborados por asociaciones y otros organismos representativos de categorías de

responsable o encargados del tratamiento
• Aprobados por la autoridad de control
Pueden adherirse responsables o encargados no sujetos a la normativa de la UE.
Pueden ser vinculantes Son vinculantes
Art. 38 Proyecto: Pueden elaborar Códigos de Conducta las Empresas.

Códigos de Conducta
Los códigos de conducta no son una novedad en Art. 32 LOPD

nuestra legislación.
Similitudes con los Códigos Tipo:
- Se formulan como un código de buenas prácticas

- Su aprobación en la LOPD es menos rígida que la propuesta
por el RGPD
- En la práctica, es un mecanismo poco utilizado por los
responsables
- No se considera garantía para las TID
En el RGPD adquieren relevancia: permite acreditar garantías adecuadas en las TID

El Delegado de Protección de
Datos (DPD)

Delegado de Protección de Datos
Responsable de supervisar y
coordinar el cumplimiento
normativo en Protección de Datos
dentro de la organización

Art. 37 RGPD
Obligación de designar:
• Administraciones Públicas (salvo tribunales en el ejercicio de sus

funciones)
• Las actividades principales del responsable o del encargado que

consistan en tratamientos que requieran una monitorización periódica
y sistemática de los titulares de los datos a gran escala; o
• Las actividades principales del responsable o del encargado que

consistan en el tratamiento a gran escala de categorías especiales
de datos o de datos relativos a condenas penales y delitos.
Lista ampliada en el Art. 34 del Proyecto

El DPD debe ser independiente Art. 38 RGPD
• El responsable velará por que:
 DPO independiente
 Funciones DPO no planteen conflictos de intereses
• El responsable podrá a disposición del DPO:
 Políticas y procedimientos internos

 Recursos necesarios
• El DPO informará directamente a Dirección

¿Qué tareas realiza el DPD? Art. 39 RGPD
• Supervisar
 Cumplimiento del RGPD (coordinar, informar y asesorar)

Auditorías
 Asignación de responsabilidades, concienciación del

personal
“Praia do Tombo” Patricia Melendi, CC BY 2.0

 Evaluaciones de Impacto (Art. 35 RGPD)
Atención a los riesgos, teniendo en cuenta su naturaleza,

alcance, contexto y fines

¿Qué tareas realiza el DPD? Art. 39 RGPD
• Coordinación e Interlocución:
 Información a interesados, atención de ejercicio de derechos
 Información y asesoramiento a la organización
 Conservación de documentación que acredita el cumplimiento
 Interlocución con autoridades de control
- Solicitudes de autorización
- Consulta previas

La selección de un DPD debe considerar
Conocimientos legales
Certificaciones / Acreditaciones
Conocimientos de Sistemas de Gestión y

Auditoría
El proceso de selección deberá
incluir también el análisis de
historial e incompatibilidades Otras capacidades: Comunicación,
(resp. in eligendo)
interlocución, conocimiento del negocio
….

Algunas cuestiones:
¿Ubicación?
¿Externalización?
¿Responsabilidad?

Régimen sancionador

Art. 83 RGPD
Criterios para establecer cuantía:
 Naturaleza, gravedad y duración de la infracción

 Intencionalidad o negligencia
 Medidas adoptadas
 Grado de responsabilidad
 Infracciones anteriores
 Medio por el que la autoridad de control tuvo conocimiento
de la infracción
 Adhesión a códigos de conducta
 Cualquier otro agravante o atenuante
 Cumplimiento de las medidas correctoras indicadas por
la autoridad de control.

Art. 83 RGPD
Cada autoridad de control garantizará la imposición

de multas administrativas
Algunos ejemplos de incumplimientos que dan lugar a sanción:
 Incumplimiento del principio de Accountability,

 Realizar TID contrarias al RGPD
 Incumplir principios de consentimiento
 No atender derechos de los interesados
 …
Efectivas, proporcionadas y disuasorias.

Art. 84 RGPD
Los estados miembros podrán legislar para que

las autoridades de control puedan imponer
sanciones por infracciones no sujetas a multa
administrativa
Cada Estado miembro notificará a la Comisión las sanciones previstas

en su legislación interna (art. 84 2 RGPD)
Efectivas, proporcionadas y disuasorias.

Art. 58 RGPD
Cada autoridad de control dispondrá de poderes

correctivos
Advertencia
 Tratamientos que puedan infringir la normativa
Amonestación
 Tratamientos que hayan infringido la normativa
Además, podrán ordenar la atención de una El Art. 76 Proyecto

solicitud de ejercicio de derechos de interesado, introduce medidas
limitaciones del tratamiento, imposición de correctivas
multas administrativas… (art. 58 RGPD)

RGPD – ART. 83
• Multa hasta 10 millones € o 2% volumen de negocio

• Multa hasta 20 millones € o 4% volumen de negocio
¡Ojo! Art. 77.2 Proyecto

Apercibimiento a las
Los estados miembros podrán Administraciones
establecer más sanciones Públicas

Sistemas de Gestión de
Cumplimiento Normativo

¿Qué es un Sistema de
Gestión?

Sistema de Gestión
Herramienta de gestión, sistemática y

transparente, que permite dirigir, controlar,
evaluar y acreditar el desempeño en el
cumplimiento de una norma o un estándar
Debemos gestionar eficazmente el

cumplimiento de la normativa de protección
de datos
Mejora continua
97  AENOR DPD 1 v1  2018 Urbetec Abogados
Riesgos
Riesgo: “Efecto de la incertidumbre en los objetivos”
 Identificación y definición causas del riesgo

 Determinación de consecuencias (impacto y
Objetivo Análisis de Riesgo probabilidad)
 Conocimiento riesgos de cumplimiento según el alcance
definido
 Actividad de la empresa
 Frecuencia del riesgo (constante, trimestral, anual)
 Procesos externalizados (bajo control)
Valoración PROBABILIDAD
 Volumen de operaciones
Riesgos
 Antecedentes (incidentes previos)
 Cultura de Cumplimiento y apoyo de la dirección
 Medios de evaluación de medidas y controles
 Importe de sanción / Pena aplicable

Valoración IMPACTO  Estimación daño operacional en caso de paralización
 Estimación daño reputacional
ISO/IEC 31010:2009. Gestión de Riesgos y Técnicas

Probabilidad x Impacto
de Evaluación de riesgos
= Riesgo
Guía ISO 73:2009. Gestión de Riesgos. Vocabulario

Riesgos
Valoración Riesgos Tratamiento de Datos

Herramienta de seguimiento de la navegación

Medidas y Controles
- Cumplimiento Principios Calidad de Datos
- Cumplimiento Principios de Información y Consentimiento
- Control contratos con proveedores
Medidas - Supervisión comunicaciones de datos y TID
- Implantación medidas de seguridad
- Atención Derechos de Interesados
- Formación
- Auditorías periódicas, internas o externas

Controles - Registro de Incidencias
- Reportes, documentación
- Empleados a los que se haya impartido formación

Indicadores de - Consultas por departamento
Cumplimiento - No conformidades resultantes de auditorias
- Incidentes de seguridad
- Aprobados examen/curso concienciación y sensibilización
UNE ISO 19600 1. Medir y controlar el nivel de cumplimiento de la norma

Objetivos 2. Identificar la debida diligencia en el cumplimiento
3. Gestionar las evidencias del cumplimiento de las obligaciones

Acreditación y control
de cumplimiento

Control de cumplimiento
Comunicación
¿Cómo garantizamos que la

organización dispone de
canales de comunicación y
reporte para informar sobre
cuestiones de Cumplimento y
protección de datos?

Control de cumplimiento
¿Disponemos de medios eficaces

para gestionar controlar y
acreditar la gestión del
cumplimiento de la normativa?

Gestión preventiva

Accountability

Accountability
Art. 24 RGPD
Principio de rendición de cuentas
Implantación de medidas técnicas, jurídicas y

organizativas apropiadas para garantizar y
demostrar que el tratamiento de datos es
llevado conforme a la normativa vigente.
GT29 Dictamen
3/2010 sobre el
principio de
responsabilidad
Gestión / Acreditación

Accountability
¿Qué deberíamos documentar? Responsables y encargados deben

documentar:
- Medidas de seguridad
Revisadas, actualizadas y auditadas periódicamente.
- Procedimientos y políticas,
- Designación de responsabilidades
- Control de cumplimiento de proveedores
- Evaluaciones de impacto
- Autorización o consulta previa a la autoridad de control
- Nombramiento del delegado de protección de datos
Objetivo General: Garantizar la capacidad de la organización de

ACREDITAR la idoneidad y eficacia de las medidas adoptadas

Accountability
Considerando 82
El registro de actividades
Para demostrar la conformidad y cumplimiento

del mismo, tanto el responsable como el
encargado de tratamiento deben mantener
registros de las actividades de tratamiento
bajo su responsabilidad
• Constar por escrito.

• A disposición de la autoridad de control.
• No es necesaria para empresas de menos de 250 trabajadores.
o Salvo que riesgo para los derechos de los interesados.
o Salvo tratamiento de datos del art. 9 y 10 del RGPD.

Fase de Custodia
Notificación violaciones de
seguridad

Fase de Custodia
Violaciones de ART. 4.12

seguridad RGPD
Toda violación de la seguridad que

ocasione la destrucción, pérdida o
alteración accidental o ilícita de datos
personales transmitidos, conservados
o tratados de otra forma, o la
comunicación o acceso no autorizados
a dichos datos

Fase de Custodia
Notificaciones de violaciones de
ART. 33 RGPD
seguridad
Obligación del responsable de notificar a la Autoridad de Control

competente violaciones de seguridad (máximo 72 horas)
Ejemplos de violaciones de seguridad Objetivos de seguridad

- Hacking - Confidencialidad
- Cracking - Integridad
- Ataque a los sistemas: - Disponibilidad
 Robo de datos - Autenticación
 Indisponibilidad - No repudio
 Destrucción de datos
 Revelación de secretos
 ´Ransomware´

Fase de Custodia
ART. 33 RGPD
seguridad
Contenido mínimo de la notificación
- Naturaleza de la violación
- Categorías de datos
- Número de interesados
- Número aproximado de registros de datos afectados
- Identidad y contacto del DPO
- Consecuencias
- Medidas correctivas adoptadas o propuestas mitigadoras
¡¡Violaciones de seguridad documentadas!!

Fase de Custodia
ART. 34 RGPD
seguridad
Comunicación también al interesado
Contenido mínimo de la notificación
- Naturaleza de la violación
- Identidad DPO
- Medidas adoptadas y/o propuestas
- Indicación de los atenuantes
¿Se pueden
evitar?
Fase de Custodia
Fase de Custodia

Fase de Custodia
Inventario
Tratamiento y Comunicación y
Custodia Accesos a
Datos
Recogida Finalización
¡Gestión CICLO DE VIDA DEL DATO

preventiva!
Accountability
Privacy by Design/Default Sistema de Gestión
Evaluación de Impacto
DPO
Fase de Custodia
El Principio de Seguridad

Fase de Custodia
Seguridad
¿de que?
Seguridad de la Información

Fase de Custodia
Seguridad de la Información
Detección: Identificar los

Prevención: Estrategias eventos en el momento
orientadas a evitar que que éstos suceden. Los
los ataques sucedan. peores ataques duran
Es mucho más fácil meses, incluso años, y
evitar que suceda un nunca son detectados, por
ataque que corregir sus lo que es preciso, para
efectos. poder protegerse, una
correcta detección.
Respuesta:
Desarrollo e implantación de
estrategias para evitar un ataque.
Afectan a multitud de factores.

Fase de Custodia
Impacto de las tecnologías en el

negocio
y en la gestión de datos personales

Fase de Custodia
Ciberseguridad
“Protección de activos de información, a través del tratamiento de amenazas
que ponen en riesgo la información que es procesada, almacenada y
transportada por los sistemas de información que se encuentran
interconectados”. (ISACA)

Fase de Custodia
Ciberdelincuencia
“Actividades delictivas realizadas con ayuda de redes de comunicaciones y
sistemas de información electrónicos o contra tales redes y sistemas”.
Engloba tres tipos de actividades delictivas.
• Las formas tradicionales de delincuencia, como el fraude o la
falsificación, aunque en el contexto cibernético se refiere específicamente a
los delitos cometidos mediante las redes de comunicaciones y los sistemas
de información electrónicos.
• La publicación de contenidos ilegales, a través de medios de
comunicación electrónicos (por ejemplo, imágenes de abuso sexual a
menores o incitaciones al odio racial).
• Los delitos específicos de las redes electrónicas, por ejemplo los
ataques contra los sistemas informáticos, la denegación de servicio y la
piratería.

Fase de Custodia
Cibercriminales: ¿Quiénes son y qué
quieren?
Movimientos sociales e inestabilidad política dan como
resultado organizaciones de hacktivismo,
ciberdelinciencia, ciberterrorismo, ciberespionaje y
ciberguerra.
España es uno de los países más castigados por estas

acciones delictivas.
Objetivos:
 Infraestructuras Críticas (Energía, Alimentación,

Transportes)
 Administraciones públicas
 Empresas (industria, banca, seguros, sanidad y
servicios).
Se detectan nuevas formas de ataque al año, en 2017 se han

producido mas de 80.000 impactos denunciados en empresas
españolas, con consecuencias graves. En los dos primeros
meses del 2018 se han producido mas incidentes que en todo el
2014.
Principales ataques:
 DDoS, robo de datos y ransomware.
 Web defacement y otros realizados por personas cercanas a la
empresa
 En empresas, ataques de robo de datos con fines de
ciberespionaje
Fase de Custodia
Cibercriminales: ¿Qué técnicas emplean?
Las técnicas de hacking son cada vez más efectivas y rentables.
Cada año se duplican los ataques y su gravedad. Ataques como
Heartbleed, o Cryptolocker son sólo dos ejemplos de ésto. Destacan
las botnets, ataques DDoS, ransomware y exploits que buscan,
analizan y explotan las vulnerabilidades.
Estas herramientas son producidas y vendidas en Internet, creando

el denominado “Crime-as-a-service”, donde cualquiera puede
ocasionar graves pérdidas mediante el uso de armas tecnológicas.
El código dañino (Malware) supera los 100 millones de

muestras, por lo que podríamos decir que ya hay mas Malware
que Software. Fundamentalmente los malware más extendidos
en la actualidad son Troyanos y Spyware. El malware en
smartphones y tablets aumenta exponencialmente.
El SPAM sigue siendo el principal camino para la difusión de

este malware, aunque empieza a ser relevado por redes
sociales e Ingeniería social, sobre todo en pornografía infantil
o pederastia.

Fase de Custodia

Fase de Custodia
Ciberdelitos en
números
Fuente: Observatorio Español de Delitos Informáticos www.oedi.es

Fase de Custodia
El País – 15 de mayo de 2017

China descubre una nueva mutación del virus
responsable del ciberataque mundial
Las autoridades chinas han anunciado que han descubierto una nueva
mutación del virus WannaCry, responsable del ciberataque a escala mundial
que ha afectado a más de 179 países y unos 230.000 ordenadores desde el
viernes, según informa el diario oficial Global Times.
Brad Smith, Presidente de Microsoft: ´Es como si al

ejército de Estados Unidos le robaran misiles Tomahawk´
´Los gobiernos del mundo deberían tratar este ataque como una
llamada de atención´

Fase de Custodia
WannaCry
Fragmento de 'software' que 'secuestra' los archivos
de una computadora para posteriormente pedir su
'rescate' a los usuarios a cambio de una suma de
dinero. Varias empresas, hospitales e incluso
entidades gubernamentales paralizaron parcial o
totalmente sus operaciones tras haber sido infectadas

Fase de Custodia

Fase de Custodia

Fase de Custodia
GitHub 125GB/s durante 8 minutos
¿BotNet? MEMCACHED Solo 100.000 Servidores Memcached
El método es muy simple: envían una petición al servidor memcached con la dirección IP de la
víctima, y el servidor automáticamente responde a esa dirección IP. Como estos servidores son
más potentes y usan mejores redes que un ordenador zombie, estos ataques pueden ser
devastadores.

Ejemplo de Ataque
Anonymous
Quizás el caso con más repercusión ha sido el ataque al Banco Central de

Bangladés, que se saldó con un robo de 81 millones de dólares, un robo que se
llevó a cabo en pocas horas.
Este es uno de los golpes con los que Anonymous ha logrado un mayor relumbrón
mediático, y en cuyo intento de esclarecimiento, han participado desde la Interpol al
FBI.
El ataque, se llevó a cabo, utilizando el Sistema SWIFT, sistema de numeración

internacional bancaria, que a raíz del desfalco ha sido revisado y reformulado.

Fase de Custodia
Acceso y violación de la intimidad
Hacking Spoofing Adware Spyware
Rootkits Cracking Phishing
Ciberdelitos contra la Administración Pública

(Arts. 413 a 417 CP)
Infidelidad en la custodia de documentos y revelación de secretos

(Arts. 418 y 442 CP)

Normativa Unión Europea
Seguridad de las ¿Cómo se evita?

redes
Directiva (UE) 2016/1148 relativa a las medidas

destinadas a garantizar un elevado nivel común de
seguridad de las redes y sistemas de información
en la Unión Protección de datos
Entrada en vigor el 7 de agosto de 2016 Personales
Transposición hasta el 9 de mayo de 2018
REGLAMENTO (UE) 2016/679 DEL

PARLAMENTO EUROPEO Y DEL
ePrivacy CONSEJO, relativo a la protección de las
personas físicas en lo que respecta al
tratamiento de datos personales y a la libre
Directiva (UE) 2002/58 relativa al tratamiento de circulación de estos datos y por el que se
los datos personales y la protección de la intimidad deroga la Directiva 95/46/CE
en el sector de las comunicaciones electrónicas Reglamento General de Protección de
(ePrivacy) Datos
Entrada en vigor 31 de julio de 2002 Entrada en vigor el 25 de mayo de 2016
Transposición hasta el 30 de octubre de 2003 Plenamente aplicable el 25 de mayo de
Modificada por Directiva 2009/136/CE 2018

Fase de Custodia
REGLAMENTO (UE) 2016/679 – General de Protección de Datos
 Prospección
de riesgos

Responsabilidad
proactiva
x Sistema
declarativo ACS

Fase de Custodia
¿Qué papel tiene el DPO en la ciberseguridad?

Debe aplicar las medidas necesarias para mantener la confidencialidad,
integridad, disponibilidad y resiliencia de los datos.
Obligación de demostrar la correcta aplicación de las mismas: Necesidad de
tener evidencias.
Riesgos: Malas prácticas, deficiencias en control de las medidas

de seguridad, contraseñas débiles, exposición a virus, mala o
nula concienciación a los empleados.
Art. 31. bis Código Penal

Fase de Custodia
Principios RGPD - Artículo 5
Licitud
Lealtad
Transparencia
INTEGRIDAD Y Limitación de la
CONFIDENCIALIDAD finalidad
Limitación plazo Minimización de

de conservación datos
Exactitud

Fase de Custodia
Principio de Integridad y ART. 5.1.f) RGPD

Confidencialidad
 Garantía seguridad adecuada datos personales, en particular:

- Protección contra tratamiento no autorizado o ilícito
- Protección contra su pérdida, destrucción o daño accidental
- Aplicación medidas técnicas u organizativas apropiadas

Análisis de Riesgos
Riesgo: “Efecto de la incertidumbre en los objetivos”
Objetivo del Análisis:

• La valoración del riesgo permite su identificación, la definición
de sus causas y la determinación de sus consecuencias en
términos de impacto y probabilidad
• Conocer los riesgos de cumplimiento dentro del alcance definido
ISO/IEC 31010:2009. Gestión de

Riesgos y Técnicas de Evaluación
Riesgo= Probabilidad x de riesgos
Impacto Guía ISO 73:2009. Gestión de
Riesgos. Vocabulario

RGPD
Análisis de los riesgos y gestión de los

mismos mediante la adopción de las
medidas que los elimine o mitigue

Fase de Custodia
Seguridad del tratamiento ART. 32 RGPD
El Responsable y el E.T. adoptarán medidas de seguridad adecuadas
Factores a considerar:
 Tecnología disponible
 Costes de aplicación
 Naturaleza
 Alcance
 Contexto
 Finalidades del tratamiento
 Probabilidad y gravedad de los riesgos
para derechos y libertades
Particularidad de cada tratamiento, medidas adaptadas al caso concreto

Para cumplir con el RGPD, es importante

valorar los riesgos
Riesgos
• 32 RGPD. Teniendo en cuenta la tecnología disponible y los costes de

aplicación, así como la naturaleza, el contexto y los fines del tratamiento
y la probabilidad y gravedad de los riesgos
• Considerando 83) Con objeto de mantener la seguridad y evitar que el

tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o
el encargado aplicará medidas para mitigarlos gado deben evaluar los
riesgos (...) inherentes al tratamiento
• 39 RGPD. El DPO desempeñará sus funciones prestando la debida
atención a los riesgos asociados a las operaciones de tratamiento,
teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del
tratamiento
Art. 30 Proyecto: Importancia de valorar los riesgos

¿Qué es?
• Es el estudio de las causas de las posibles amenazas y probables

eventos no deseados y los daños y consecuencias que éstas puedan
producir.
• Es una herramienta, para los que tienen que tomar decisiones, sobre
un particular curso de acción y manejar riesgos en forma objetiva,
repetible y documentada.


Identificación de Riesgos
ACTIVO
ACTIVO
ACTIVO
ACTIVO VALOR
VALOR
VALOR
VALOR VULNERABILIDAD
VULNERABILIDAD
VULNERABILIDADAMENAZA
VULNERABILIDAD AMENAZA
AMENAZA IMPACTO
IMPACTO
IMPACTO PERDIDA
PERDIDA
PERDIDA RIESGO
RIESGO
CASA
CASA
CASA
CASA 100.000€
100.000€
100.000€
100.000€ FUEGO
FUEGO
FUEGO
FUEGO CAMPO
CAMPO
CAMPO CADA
CADA DIEZ
CADA DIEZ AÑOS
DIEZ AÑOS (1/10)
AÑOS (1/10)
(1/10) 30.000€
30.000€
30.000€ 3.000€/Año
3.000€/Año
CASA 100.000€ AGUA TUBERIAS 2 VECES AL AÑO (2) 2.000€ 4.000€/Año

VIEJAS
CASA 100.000€ ROBO LADRONES 1 VECES AL AÑO (1) 3.000€ 3.000€/Año
CASA 100.000€ ROTURAS HABITANTES 3 VECES AL AÑO (3) 500€ 1.500€/Año

Nivel de Riesgo Teórico Nivel de Riesgo de la

Organización, sin tener en
cuenta las medidas
• Valoración de la Probabilidad: implantadas
• Acceso a la información
• Número de personas que acceden
• Forma de tratar los datos
• Cultura de cumplimiento
• Custodia de la información
• Sistemas utilizados (Hardware y Software)
Al interesado
• Valoración Impacto:
• Estado de la información
• Cantidad de datos tratados
• Categoría de datos
• Datos sensibles

Fase de Custodia
¿Qué medidas se aplican?

• Medidas apropiadas para garantizar un nivel de seguridad
adecuado
Entre otras… Análisis de riesgos
• Seudonimización y cifrado
• Confidencialidad, integridad, disponibilidad y resiliencia
permanente de los sistemas y servicios de tratamientos
• Rapidez de restauración de disponibilidad y acceso a datos
• Proceso de verificación, evaluación y valoración regular de la
eficacia (del sistema de gestión)

Nivel de Riesgo Real Nivel de Riesgo de la

Organización teniendo en
cuenta las medidas
• Valoración de la Probabilidad: implantadas
• Acceso a la información
• Número de personas que acceden
• Forma de tratar los datos
• Cultura de cumplimiento
• Custodia de la información
• Sistemas utilizados (Hardware y Software)
Al interesado
• Valoración Impacto:
• Estado de la información
• Cantidad de datos tratados
• Categoría de datos
• Datos sensibles

Fase de Custodia
Medios de acreditación previstos:
- Adhesión de los códigos de conducta (art. 40 RGPD)

- Mecanismos de certificación (art. 42 RGPD)
Otros medios:
- Otros sellos
- Auditorías externas
- Contratación de servicios acreditados
- Evidencias de cumplimiento adecuadamente recogidas
y custodiadas
UNE 71505:2013
Sistema de gestión de evidencias electrónicas

Fase de Custodia
Seudonimización ART. 4.5 RGPD
Tratamiento de datos personales de manera tal que ya no puedan atribuirse

a un interesado sin utilizar información adicional, siempre que dicha
información adicional figure por separado y esté sujeta a medidas técnicas y
organizativas destinadas a garantizar que los datos personales no se
atribuyan a una persona física identificada o identificable.

Indicadores de cumplimiento
UNE ISO 19600
Indicadores, por ejemplo:
% de empleados a los que se haya impartido formación

% de consultas por departamento
% de no conformidades resultantes de auditorias
% de tipo de incidentes de seguridad
% de aprobados en examen de curso de concienciación y sensibilización
Objetivos:
1. Medir y controlar el nivel de cumplimiento de la norma

2. Identificar la debida diligencia en el cumplimiento
3. Gestionar las evidencias del cumplimiento de las obligaciones

Fase de Custodia

¿Cuándo debemos realizar una ART. 35 RGPD
Evaluación de Impacto?
Tratamiento que suponga un alto riesgo para la vulneración de
derechos y libertades de los interesados.
En particular:
 Evaluación sistemática y exhaustiva de aspectos personales en

tratamiento automatizado
 Tratamiento a gran escala de categorías especiales de datos
 Observaciones sistemáticas a gran escala de zonas de acceso público
La AEPD deberá definir tratamientos que deban realizar


Contenido mínimo:
ART. 35 RGPD
- Descripción sistemática de las
operaciones del tratamiento
- Descripción de los fines
- Evaluación de la necesidad y
proporcionalidad de las operaciones con
respecto de la finalidad
- Evaluación de los riesgos
- Medidas previstas
El Responsable del Tratamiento podrá recabara la opinión de los interesados o de

sus representantes en relación con el tratamiento previsto
En determinados casos será necesaria la consulta

previa a la Autoridad de Control (art. 36 RGPD)

Fase de Custodia
Otros estándares de
Seguridad
ISO 27000

Otros estándares
La serie de normas ISO 27000:2013

proporciona un marco (voluntario)
para la implantación y gestión de
Sistemas de Seguridad de la
Información

ISO 27000:2013
Contenido
- Alcance
- Evaluación y tratamiento del riesgo
- Política de seguridad
- Aspectos organizativos Seguridad de la Información - Organización interna terceros
- Gestión de activos - Responsabilidad sobre los activos, clasificación de la información
- Seguridad ligada a RRHH - Antes, durante, en el cese del empleo o cambio de puesto
- Seguridad física y ambiental - Áreas seguras, seguridad de los equipos
- Gestión de comunicaciones y operaciones - Gestión provisión de servicios por
terceros, gestión seguridad de las redes, manipulación de soportes, intercambio de
información, servicios de comercio electrónico
- Control de acceso - Gestión de acceso y responsabilidades de usuario, control de
acceso a la red y al sistema operativo, control de acceso a las aplicaciones y a la
información, ordenadores portátiles y teletrabajo
- Adquisición, desarrollo y mantenimiento de los sistemas de información
Controles criptográficos, seguridad archivos de sistema, seguridad en procesos de
desarrollo y soporte
- Gestión de incidentes de seguridad de la información
- Gestión de la continuidad del negocio - Seguridad de la información ligada a
continuidad
- Cumplimiento - Cumplimiento de los requisitos legales

Otros estándares de
Seguridad
Esquema Nacional de Seguridad

Las Administraciones Públicas están

obligadas a garantizar la aplicación
segura de las tecnologías conforme al

- Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos

a los Servicios Públicos
- Obligación de las AAPP de establecer condiciones necesarias para
garantizar una aplicación segura las tecnologías
- Artículo 42.2 - Esquema Nacional de Seguridad
• Objeto - Establecimiento política de seguridad en la utilización
de medios electrónicos que permita asegurar el acceso,
integridad, disponibilidad, autenticidad, confidencialidad,
trazabilidad y conservación de los datos, informaciones y
servicios que gestione la Administración
• ENS desarrollado por Real Decreto 3/2010, de 8 de enero, en el
que se definen y desarrollan los principios de aplicación

ENS: ¿A quién aplica. A quién afecta? artículo 3 del real derecho 3/2010
No será de aplicación a las Administraciones Públicas en las actividades que desarrollen en régimen de
derecho privado

Contenido
• Anexo I: Criterios de valoración del nivel de seguridad
• Anexo II: Medidas de Seguridad
• Anexo III: Auditoría de Seguridad
Alcance
• Administración General del Estado
• Administraciones de las Comunidades Autónomas
• Entidades que integran la Administración Local
• Entidades de derecho público vinculadas o dependientes de las
AAPP
• Excluidos - Sistemas que manejan información clasificada

Responsabilidad
Responsabilidades derivadas del incumplimiento del ENS - las que correspondan a cada
caso concreto, según dispuesto en la Ley 30/1992, de 26 de noviembre, de Régimen
Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común,
sustituida por la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de
las Administraciones Públicas a partir del 2 de octubre de 2016

27001 como soporte de

cumplimiento ENS
ISO 27001 ENS (RD 3/2015)
Norma jurídica rango

Norma internacional de
Ontología reglamentario – Desarrollo
seguridad, sin rango legal
de la Ley 11/2007
Fuente: Guía de Seguridad CCN-STIC 825

Carácter Certificación Voluntaria Cumplimiento Obligatorio
Cualquier sistema de Sistemas de información de

Ámbito de
gestión de seguridad de la las AAPP en el ámbito de la
Aplicación
información Ley 11/2007
En función del tipo de activo
Modulación de
Según criterio del auditor y niveles de seguridad
las medidas
requeridos
Evidencia de Certificación, expedida por Mediante declaración de
cumplimiento auditor autorizado, previa conformidad legal, previa
conformidad auditoría auditoría

LOPD / RLOPD
- Auditoría Art. 34 RD 3/2010 - NO SE DIRIGE a auditar el cumplimiento de las

medidas de seguridad de la normativa de Protección de Datos
- Si ambas auditorías se llevan a cabo conjuntamente, considerar:
 El RLOPD aplica exclusivamente a datos personales
 Los niveles de seguridad del RLOPD NO son equivalentes a los utilizados
en el ENS (establecidos en función de la categoría del sistema y del impacto
de un posible incidente)

AENOR - Módulo Protección de Datos

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

AENOR - Módulo Protección de Datos

Uploaded by

Copyright:

Available Formats

Módulo

 AENOR DPD 1 v1 1  2018 Urbetec Abogados

Carta de los Derechos Fundamentales de la Unión

Artículo 8: “Toda persona tiene derecho a la

 AENOR DPD 1 v1 2  2018 Urbetec Abogados

“La ley limitará el uso de la informática para garantizar el

 AENOR DPD 1 v1 3  2018 Urbetec Abogados

¿Cuáles son los objetivos del Reglamento?

 Adaptación a la evolución tecnológica e incremento de la

 Nuevas formas de tratamiento

 Garantizar que el derecho fundamental a la protección de

 Facilitar los flujos transfronterizos

 AENOR DPD 1 v1 4  2018 Urbetec Abogados

Hasta mayo 2018… A partir de mayo de 2018

DIRECTIVA 95/46/CE DEL

 AENOR DPD 1 v1 5  2018 Urbetec Abogados

Otra normativa de aplicación:

 Ley 9/2014, General de Telecomunicaciones

 Ley 41/2002, básica reguladora de la autonomía del paciente y de derechos y

Instrucciones de la AEPD: videovigilancia, control de acceso

Jurisprudencia de tribunales: AN, TS, TC y TJUE

Resoluciones e informes de la AEPD (también del Grupo del art. 29)

 AENOR DPD 1 v1 6  2018 Urbetec Abogados

Tratamientos de datos manuales y automatizados

Art. 3 Proyecto: Datos de las personas fallecidas

 AENOR DPD 1 v1 7  2018 Urbetec Abogados

 Establecimiento del responsable o encargado en la UE.

 Interesados que residan en la Unión, por parte de un responsable no

 Oferta de bienes y servicios al interesado,

 Control de su conducta en la medida en que tenga lugar en la UE

 Responsables establecidos en estados miembros a los que sea de

 AENOR DPD 1 v1 8  2018 Urbetec Abogados

Art. 4 16) RGPD

Establecimientos en más de un Estado miembro:

- Lugar de administración central

 Responsables: el establecimiento que decida sobre los fines y

 Encargados: establecimiento en el que se realicen las principales

 AENOR DPD 1 v1 9  2018 Urbetec Abogados

 AENOR DPD 1 v1 10  2018 Urbetec Abogados

Toda información sobre una

 AENOR DPD 1 v1 11  2018 Urbetec Abogados

Cualquier información numérica, alfabética,

Son datos personales:

 AENOR DPD 1 v1 12  2018 Urbetec Abogados

Tratamiento (art. 4.1 RGPD)

Cualquier operación o conjunto de operaciones realizadas

¿En qué concepto tratamos los datos?

Responsable del tratamiento (art. 4.7 RGPD):

Persona física o jurídica, autoridad pública, servicio u otro

Corresponsable de tratamiento (art. 26 RGPD):

Cuando dos o más responsables determinen conjuntamente los

 AENOR DPD 1 v1 14  2018 Urbetec Abogados

Persona física o jurídica, autoridad pública, servicio u otro organismo

Persona física o jurídica que trate datos personales con motivo de la

 AENOR DPD 1 v1 15  2018 Urbetec Abogados

Principios relativos al tratamiento:

 AENOR DPD 1 v1 16  2018 Urbetec Abogados

Principio relativos al tratamiento

Cumplimiento de los principios

 AENOR DPD 1 v1 17  2018 Urbetec Abogados

Principio de rendición de cuentas

Implantación de medidas técnicas, jurídicas y

 AENOR DPD 1 v1  2018 Urbetec Abogados