Sinopsis

Índice
Abreviaturas 13

Prefacio 17
Capítulo Primero
Normativa general de protección de datos
I. Contexto normativo 21
1. Privacidad y protección de datos en el panorama internacional 21
2. La protección de datos en Europa 23
3. La protección de datos en España 30
4. Estándares y buenas prácticas 32
II. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Fundamentos 34
1. Ámbito de aplicación 35
2. Definiciones 39
a) Datos personales 39
b) Tratamiento 40
c) Fichero 41
d) Responsable del tratamiento 41
e) Encargado del tratamiento 41
f) Destinatario 42
g) Consentimiento del interesado 42
a) Limitación del tratamiento 43
3. Sujetos obligados 51
III. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Principios 51
1. El binomio derecho/deber en la protección de datos 51
2. Licitud del tratamiento 52
3. Lealtad y transparencia 53
4. Limitación de la finalidad 55
5. Minimización de datos 55
6. Exactitud 56
IV. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Legitimación 59
1. El consentimiento: otorgamiento y revocación 59
2. El consentimiento informado: finalidad, transparencia, conservación, información y deber de comunicación al interesado 62
3. Consentimiento de los niños 77
4. Categorías especiales de datos 80
5. Datos relativos a condenas e infracciones penales 83
6. Tratamiento que no requiere identificación 84
7. Bases jurídicas distintas del consentimiento 89
V. Derechos de los individuos 92
1. Transparencia e información 93
2. Acceso, rectificación, supresión (olvido) 93
3. Oposición 107
4. Decisiones individuales automatizadas 111
5. Portabilidad 113
6. Limitación del tratamiento 120
7. Excepciones a los derechos 121
VI. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Medidas de cumplimiento 123
1. Las políticas de protección de datos 123
2. Posición jurídica de los intervinientes. Responsables, co-responsables, encargados, subencargado del tratamiento y sus representantes. Relaciones entre ellos y formalización 125
3. El registro de actividades de tratamiento: identificación y clasificación del tratamiento de datos 135
VII. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Responsabilidad proactiva 136
1. Privacidad desde el diseño y por defecto. Principios fundamentales 139
2. Evaluación de impacto relativa a la protección de datos y consulta previa. Los tratamientos de alto riesgo 144
3. Seguridad de los datos personales. Seguridad técnica y organizativa 154
4. Las violaciones de la seguridad. Notificación de violaciones de seguridad 156
5. El Delegado de Protección de Datos (DPD). Marco normativo 159
6. Códigos de conducta y certificaciones 161
VIII. El reglamento europeo de protección de datos. Delegados de protección de datos (DPD, DPO, o Data Protection Officer) 176
1. Designación. Proceso de toma de decisión. Formalidades en el nombramiento, renovación y cese. Análisis de conflicto de intereses 176
2. Obligaciones y responsabilidades. Independencia. Identificación y reporte a dirección 183
3. Procedimientos. Colaboración, autorizaciones previas, relación con los interesados y gestión de reclamaciones 187
4. Comunicación con la autoridad de protección de datos 187
5. Competencia profesional. Negociación. Comunicación. Presupuestos 188
6. Formación 189
7. Habilidades personales, trabajo en equipo, liderazgo, gestión de equipos 190
IX. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Transferencias internacionales de datos 192
1. El sistema de decisiones de adecuación 194
2. Transferencias mediante garantías adecuadas 200
3. Normas Corporativas Vinculantes 204
4. Excepciones 209
5. Autorización de la autoridad de control 211
6. Suspensión temporal 213
7. Cláusulas contractuales 214
X. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Autoridades de control 214
1. Autoridades de control 216
2. Potestades 227
a) Funciones de naturaleza coercitiva 227
b) Funciones relativas a la prestación y promoción del derecho a la protección de datos 228
c) Funciones orientadas a la cooperación con otras autoridades de control, Administraciones Públicas y otros poderes estatales 230
3. Régimen sancionador 241
4. Comité Europeo de Protección de Datos 250
5. Procedimientos seguidos por la AEPD 255
6. La tutela jurisdiccional 259
7. El derecho de indemnización 262
XI. Directrices de interpretación del RGPD 267
1. Guías del GT artículo 29 267
2. Opiniones del Comité Europeo de Protección de Datos 273
3. Criterios de órganos jurisdiccionales 275
XII. Normativas sectoriales afectadas por la protección de datos 276
1. Sanitaria, Farmacéutica, Investigación 277
2. Protección de los menores 286
3. Solvencia Patrimonial 289
4. Telecomunicaciones 290
5. Videovigilancia 297
6. Seguros 301
7. Publicidad, etc. 301
XIII. Normativa española con implicaciones en protección de datos 304
1. LSSI, Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico 304
2. LGT, Ley 9/2014, de 9 de mayo, General de Telecomunicaciones 306
3. Ley firma-e, Ley 59/2003, de 19 de diciembre, de firma electrónica 307
XIV. Normativa europea con implicaciones en protección de datos 312
1. Directiva e-Privacy: Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre privacidad y las comunicaciones electrónicas) o Reglamento e-Privacy cuando se apruebe 312
2. Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) nº 2006/2004 sobre la cooperación en materia de protección de los consumidores 315
3. Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo 318
Capítulo Segundo
Responsabilidad activa
I. Análisis y gestión de riesgos de los tratamientos de datos personales 319
1. Introducción. Marco general de la evaluación y gestión de riesgos. Conceptos generales 319
2. Evaluación de riesgos. Inventario y valoración de activos. Inventario y valoración de amenazas. Salvaguardas existentes y valoración de su protección. Riesgo resultante 323
3. Gestión de riesgos. Conceptos. Implementación. Selección y asignación de salvaguardas a amenazas. Valoración de la protección. Riesgo residual, riesgo aceptable y riesgo inasumible 327
II. Metodologías de análisis y gestión de riesgos 336
III. Programa de cumplimiento de Protección de Datos y Seguridad en una organización 337
1. El diseño y la implantación del programa de protección de datos en el contexto de la organización 339
2. Objetivos del programa de cumplimiento 341
3. Accountability: la trazabilidad del modelo de cumplimiento 342
IV. Seguridad de la información 344
1. Marco normativo. Esquema Nacional de Seguridad y directiva NIS: Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Ámbito de aplicación, objetivos, elementos principales, principios básicos y requisitos mínimos 345
2. Ciberseguridad y gobierno de la seguridad de la información. Generalidades, Misión, gobierno efectivo de la Seguridad de la Información (SI). Conceptos de SI. Alcance. Métricas del gobierno de la SI. Estado de la SI. Estrategia de SI 356
3. Puesta en práctica de la seguridad de la información. Seguridad desde el diseño y por defecto. El ciclo de vida de los Sistemas de Información. Integración de la seguridad y la privacidad en el ciclo de vida. El control de calidad de los SI 361
V. Evaluación de Impacto de Protección de Datos “EIDP” 362
1. Introducción y fundamentos de las EIPD: Origen, concepto y características de las EIPD. Alcance y necesidad. Estándares 362
2. Realización de una evaluación de impacto. Aspectos preparatorios y organizativos, análisis de la necesidad de llevar a cabo la evaluación y consultas previas 363
Capítulo Tercero
Técnicas para garantizar el cumplimiento de la normativa de protección de datos
I. La auditoría de protección de datos 371
1. El proceso de auditoría. Cuestiones generales y aproximación a la auditoría. Características básicas de la Auditoría 371
2. Elaboración del informe de auditoría. Aspectos básicos e importancia del informe de auditoría 376
a) Fase 1. Organización 377
b) Fase 2. Planificación y obtención de información 377
c) Fase 3. Verificación del cumplimiento 377
d) Fase 4. Elaboración y entrega del informe final 377
3. Ejecución y seguimiento de acciones correctoras 378
II. Auditoría de Sistemas de Información 379
1. La Función de la Auditoría en los Sistemas de Información. Conceptos básicos. Estándares y Directrices de Auditoría de SI 379
2. Control interno y mejora continua. Buenas prácticas. Integración de la auditoria de protección de datos en la auditoria de SI 386
3. Planificación, ejecución y seguimiento 389
III. La gestión de la seguridad de los tratamientos 390
1. Esquema Nacional de Seguridad, ISO/IEC 27001:2013 (UNE ISO/IEC 27001:2014: Requisitos de Sistemas de Gestión de Seguridad de la Información, SGSI) 390
2. Gestión de la Seguridad de los Activos. Seguridad lógica y en los procedimientos. Seguridad aplicada a las TI y a la documentación 397
3. Recuperación de desastres y Continuidad del Negocio. Protección de los activos técnicos y documentales. Planificación y gestión de la Recuperación del Desastres 398
IV. Otros conocimientos 400
1. El cloud computing 400
2. Los Smartphones 403
3. Internet de las Cosas (IoT) 407
4. Big data y elaboración de perfiles 415
5. Redes sociales 419
6. Tecnologías de seguimiento del usuario 419
7. Blockchain y últimas tecnologías 425

Bibliografía 429

Biografía del autor 433