Memento Práctico Protección de datos 2022-2023

Cumplir con la normativa sobre protección de datos es un deber para todas las empresas sin excepción -y por tanto para sus asesores- que no deben eludir si quieren evitar sanciones de elevados importes. La gran capacidad y facilidad de comunicación de la que disponen hoy en día ha provocado el almacenamiento masivo por su parte de datos sin el debido control.

Por todo ello editamos el presente Memento, cuyo objetivo es proporcionar a la empresa y a su asesor una referencia de consulta rápida, directa y clarificadora sobre toda la normativa en materia de protección de datos. En él se trata de aportar respuestas claras y concisas sobre dudas tan comunes como:

• Qué datos están protegidos por la normativa actual;

• En qué debo basar la legitimación para poder utilizar y conservar los datos de mis clientes, prospectos o proveedores;

• Qué tipo de consentimiento necesito recabar de ellos;

• Durante cuánto tiempo puedo mantener los datos en soportes físicos o informáticos;

• Cómo inscribir los ficheros en la Agencia de Protección de Datos;

• Qué es un DPD y cómo nombrarlo;

• Qué tipo de actividades e incidencias debo registrar y tener a disposición de las autoridades de control y cómo hacerlo;

• Hasta dónde llega mi responsabilidad, cuáles son las sanciones, cómo puedo recurrirlas;

Todo ello con un riguroso análisis de la normativa vigente, tanto internacional, Reglamento (UE) 2016/679, de protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) de aplicación directa en España desde el 25-5-2018, como interna: la LO 3/2018, de protección de datos y garantía de derechos digitales (LOPD), que no desarrolla el Reglamento, sino que adapta el Derecho español a lo que el mismo regula, así como otras normas que tienen repercusión directa en esta materia, especialmente la LO 7/2021, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

Se incorporan además las numerosas directrices (Guidelines) del Consejo Europeo de Protección de Datos, referidas a cuestiones tan diversas como el ámbito de aplicación del RGPD, el consentimiento, el derecho de acceso, el derecho al olvido, códigos de conducta y organismos de supervisión, la protección de datos desde el diseño y por defecto, el responsable del tratamiento y el encargado del tratamiento y las redes sociales; así como las principales directrices adoptadas por el Grupo de Trabajo del Artículo 29, al que sustituye el actual Consejo.

Asimismo, se tienen en cuenta las guías de la Agencia Española de Protección de Datos sobre gestión del riesgo y evaluación del impacto en tratamientos de datos personales, sobre la notificación de brechas de datos personales y sobre protección de datos en las relaciones laborales.

El memento se completa con las más destacadas sentencias de los tribunales y resoluciones de la AEPD sobre la materia.

ÍNDICE

Capítulo 1. Origen y fundamentos del derecho a la protección de datos

Capítulo 2. Disposiciones generales

Objeto

Ámbito de aplicación

Definiciones

Capítulo 3. Principios

Principios relativos al tratamiento

Licitud del tratamiento

Condiciones para el consentimiento

Consentimiento del niño en relación con los servicios de la sociedad de la información

Categorías especiales de datos personales

Tratamiento de datos personales relativos a condenas e infracciones penales

Tratamiento que no requiere identificación

Capítulo 4. Derechos del interesado

Transparencia de la información, comunicación y modalidades de ejercicio

Información a facilitar cuando los datos personales se obtengan del interesado

Información a facilitar cuando los datos personales no se hayan obtenido del interesado

Derecho de acceso

Derecho de rectificación

Derecho de supresión («derecho al olvido»)

Derecho a la limitación del tratamiento

Notificación sobre la rectificación o supresión de datos personales o la limitación del tratamiento

Derecho a la portabilidad de los datos

Derecho de oposición

Decisiones individuales automatizadas

Limitaciones al ejercicio de los derechos

Capítulo 5. Responsable y encargado del tratamiento

Responsabilidad del responsable y del encargado

Protección de datos desde el diseño y por defecto

Corresponsables del tratamiento

Representantes de responsables o encargados del tratamiento no establecidos en la Unión

Encargado del tratamiento

Tratamiento bajo la autoridad del responsable o del encargado del tratamiento

Registro de las actividades de tratamiento

Cooperación con la autoridad de control

Seguridad del tratamiento

Violación de la seguridad de los datos personales

Evaluación de impacto relativa a la protección de datos

Consulta previa a la autoridad de control

Delegado de protección de datos

Códigos de conducta

Certificación

Organismo de certificación

Capítulo 6. Transferencias de datos personales a terceros países u organizaciones internacionales

Principio general de las transferencias

Transferencias basadas en una decisión de adecuación

Transferencias mediante garantías adecuadas

Normas corporativas vinculantes

Acuerdos de la Unión Europea y acuerdos de los Estados miembros

Transferencias o comunicaciones no autorizadas por el Derecho de la Unión

Excepciones para situaciones específicas

Cooperación internacional

Capítulo 7. Autoridades de control independientes

Independencia

Condiciones generales aplicables a los miembros de la autoridad de control

Competencia

Funciones

Poderes

Informe de actividad

Capítulo 8. Cooperación y coherencia

Cooperación entre la autoridad de control principal y las demás interesadas

Asistencia mutua

Operaciones conjuntas de las autoridades de control

Mecanismo de coherencia

Dictamen del Comité

Resolución de conflictos por el Comité

Procedimiento de urgencia

Intercambio de información

Comité Europeo de Protección de Datos

Capítulo 9. Recursos, responsabilidad y sanciones

Reclamaciones ante una autoridad de control

Derecho a la tutela judicial efectiva contra una autoridad de control

Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento

Representación de los interesados

Suspensión de los procedimientos

Derecho a indemnización y responsabilidad

Imposición de multas administrativas

Otras sanciones

Capítulo 10. Situaciones específicas de tratamiento

Número nacional de identificación

Ámbito laboral

Tratamiento con fines de archivo en interés público, investigación científica o histórica o fines estadísticos

Obligaciones de secreto

Iglesias y asociaciones religiosas

Capítulo 11. Actos delegados y actos de ejecución

Ejercicio de la delegación

Procedimiento de comité

Aplicación práctica de la normativa sobre protección de datos

Guía práctica para la aplicación del RGPD y la LOPD

Modelos

Lista de comprobación (checklist) en materia de protección de datos

Anexos

Directrices del Comité Europeo de Protección de Datos

Listas de tipos de tratamientos de datos que requieren evaluación de impacto