Memento Práctico Protección de datos 2022-2023
Francis LefebvreCumplir con la normativa sobre protección de datos es un deber para todas las empresas sin excepción -y por tanto para sus asesores- que no deben eludir si quieren evitar sanciones de elevados importes...
Cumplir con la normativa sobre protección de datos es un deber para todas las empresas sin excepción -y por tanto para sus asesores- que no deben eludir si quieren evitar sanciones de elevados importes. La gran capacidad y facilidad de comunicación de la que disponen hoy en día ha provocado el almacenamiento masivo por su parte de datos sin el debido control.
Por todo ello editamos el presente Memento, cuyo objetivo es proporcionar a la empresa y a su asesor una referencia de consulta rápida, directa y clarificadora sobre toda la normativa en materia de protección de datos. En él se trata de aportar respuestas claras y concisas sobre dudas tan comunes como:
• Qué datos están protegidos por la normativa actual;
• En qué debo basar la legitimación para poder utilizar y conservar los datos de mis clientes, prospectos o proveedores;
• Qué tipo de consentimiento necesito recabar de ellos;
• Durante cuánto tiempo puedo mantener los datos en soportes físicos o informáticos;
• Cómo inscribir los ficheros en la Agencia de Protección de Datos;
• Qué es un DPD y cómo nombrarlo;
• Qué tipo de actividades e incidencias debo registrar y tener a disposición de las autoridades de control y cómo hacerlo;
• Hasta dónde llega mi responsabilidad, cuáles son las sanciones, cómo puedo recurrirlas;
Todo ello con un riguroso análisis de la normativa vigente, tanto internacional, Reglamento (UE) 2016/679, de protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) de aplicación directa en España desde el 25-5-2018, como interna: la LO 3/2018, de protección de datos y garantía de derechos digitales (LOPD), que no desarrolla el Reglamento, sino que adapta el Derecho español a lo que el mismo regula, así como otras normas que tienen repercusión directa en esta materia, especialmente la LO 7/2021, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
Se incorporan además las numerosas directrices (Guidelines) del Consejo Europeo de Protección de Datos, referidas a cuestiones tan diversas como el ámbito de aplicación del RGPD, el consentimiento, el derecho de acceso, el derecho al olvido, códigos de conducta y organismos de supervisión, la protección de datos desde el diseño y por defecto, el responsable del tratamiento y el encargado del tratamiento y las redes sociales; así como las principales directrices adoptadas por el Grupo de Trabajo del Artículo 29, al que sustituye el actual Consejo.
Asimismo, se tienen en cuenta las guías de la Agencia Española de Protección de Datos sobre gestión del riesgo y evaluación del impacto en tratamientos de datos personales, sobre la notificación de brechas de datos personales y sobre protección de datos en las relaciones laborales.
El memento se completa con las más destacadas sentencias de los tribunales y resoluciones de la AEPD sobre la materia.
ÍNDICE
Capítulo 1. Origen y fundamentos del derecho a la protección de datos
Capítulo 2. Disposiciones generales
Objeto
Ámbito de aplicación
Definiciones
Capítulo 3. Principios
Principios relativos al tratamiento
Licitud del tratamiento
Condiciones para el consentimiento
Consentimiento del niño en relación con los servicios de la sociedad de la información
Categorías especiales de datos personales
Tratamiento de datos personales relativos a condenas e infracciones penales
Tratamiento que no requiere identificación
Capítulo 4. Derechos del interesado
Transparencia de la información, comunicación y modalidades de ejercicio
Información a facilitar cuando los datos personales se obtengan del interesado
Información a facilitar cuando los datos personales no se hayan obtenido del interesado
Derecho de acceso
Derecho de rectificación
Derecho de supresión («derecho al olvido»)
Derecho a la limitación del tratamiento
Notificación sobre la rectificación o supresión de datos personales o la limitación del tratamiento
Derecho a la portabilidad de los datos
Derecho de oposición
Decisiones individuales automatizadas
Limitaciones al ejercicio de los derechos
Capítulo 5. Responsable y encargado del tratamiento
Responsabilidad del responsable y del encargado
Protección de datos desde el diseño y por defecto
Corresponsables del tratamiento
Representantes de responsables o encargados del tratamiento no establecidos en la Unión
Encargado del tratamiento
Tratamiento bajo la autoridad del responsable o del encargado del tratamiento
Registro de las actividades de tratamiento
Cooperación con la autoridad de control
Seguridad del tratamiento
Violación de la seguridad de los datos personales
Evaluación de impacto relativa a la protección de datos
Consulta previa a la autoridad de control
Delegado de protección de datos
Códigos de conducta
Certificación
Organismo de certificación
Capítulo 6. Transferencias de datos personales a terceros países u organizaciones internacionales
Principio general de las transferencias
Transferencias basadas en una decisión de adecuación
Transferencias mediante garantías adecuadas
Normas corporativas vinculantes
Acuerdos de la Unión Europea y acuerdos de los Estados miembros
Transferencias o comunicaciones no autorizadas por el Derecho de la Unión
Excepciones para situaciones específicas
Cooperación internacional
Capítulo 7. Autoridades de control independientes
Independencia
Condiciones generales aplicables a los miembros de la autoridad de control
Competencia
Funciones
Poderes
Informe de actividad
Capítulo 8. Cooperación y coherencia
Cooperación entre la autoridad de control principal y las demás interesadas
Asistencia mutua
Operaciones conjuntas de las autoridades de control
Mecanismo de coherencia
Dictamen del Comité
Resolución de conflictos por el Comité
Procedimiento de urgencia
Intercambio de información
Comité Europeo de Protección de Datos
Capítulo 9. Recursos, responsabilidad y sanciones
Reclamaciones ante una autoridad de control
Derecho a la tutela judicial efectiva contra una autoridad de control
Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento
Representación de los interesados
Suspensión de los procedimientos
Derecho a indemnización y responsabilidad
Imposición de multas administrativas
Otras sanciones
Capítulo 10. Situaciones específicas de tratamiento
Número nacional de identificación
Ámbito laboral
Tratamiento con fines de archivo en interés público, investigación científica o histórica o fines estadísticos
Obligaciones de secreto
Iglesias y asociaciones religiosas
Capítulo 11. Actos delegados y actos de ejecución
Ejercicio de la delegación
Procedimiento de comité
Aplicación práctica de la normativa sobre protección de datos
Guía práctica para la aplicación del RGPD y la LOPD
Modelos
Lista de comprobación (checklist) en materia de protección de datos
Anexos
Directrices del Comité Europeo de Protección de Datos
Listas de tipos de tratamientos de datos que requieren evaluación de impacto
- Paginas
- 700
- Autor
- Francis Lefebvre
- Fecha de edición
- 1ª edición Abril 2022