Ciberdelitos y regulación de la ciberseguridad Prof.ª Dra.

María Loza Corera

PROTECCIÓN DE DATOS (I)

Protección de datos (I) Prof.ª Dra. María Loza Corera

Protección de datos personales (I)

► El derecho a la protección de datos:
• Origen y evolución.
• Marco jurídico

► El Reglamento General de Protección de datos

(RGPD):
• Conceptos generales
• Principios relativos al tratamiento
• Licitud del tratamiento
• Registro de actividades del tratamiento
• Deber de información
Protección de datos (I) Prof.ª Dra. María Loza Corera

► El derecho a la protección de datos:

• Origen y evolución.

• Derecho fundamental: art 18.4 CE

«La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y
familiar de los ciudadanos y el pleno ejercicio de sus derechos».

•Derecho fundamental autónomo e independiente de otros derechos fundamentales.

STC 292/2000: «.. el contenido del derecho fundamental a la protección de datos consiste en un
poder de disposición y de control sobre los datos personales (…)».

• «Privacidad»: traducción literal del término «intimidad». Influencia Derecho Americano.

Protección de datos (I) Prof.ª Dra. María Loza Corera

El derecho a la protección de datos:

► Marco jurídico:

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
[RGPD].

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de

los derechos digitales [LOPDGDD].

Otras normas así como instrucciones, informes de la AEPD, CEPD etc.

Protección de datos (I) Prof.ª Dra. María Loza Corera

► El Reglamento General de Protección de datos (RGPD): (art 4 RGPD).

• Dato de carácter personal: toda información sobre una persona física identificada o
identificable («el interesado»); se considerará persona física identificable toda persona cuya
identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador,
como por ejemplo un nombre, un número de identificación, datos de localización, un identificador
en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona.

• Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales

o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la
recogida, registro, organización, estructuración, conservación, adaptación o modificación,
extracción, consulta, utilización, etc.
Protección de datos (I) Prof.ª Dra. María Loza Corera

• Categorías especiales de datos: datos personales que revelen el origen étnico o racial, las
opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el
tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a
una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación
sexual de una persona física.
Protección de datos (I) Prof.ª Dra. María Loza Corera

• Responsable del tratamiento: persona física o jurídica, autoridad pública, servicio u otro
organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

• Encargado del tratamiento: persona física o jurídica, autoridad pública, servicio u otro
organismo que trate datos personales por cuenta del responsable del tratamiento.

• Diligencia en la elección y supervisión del Encargado: El Responsable de Tratamiento debe

elegir un encargado del tratamiento que ofrezca garantías suficientes respecto a la
implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas.
• Acreditación: códigos de conducta o certificados.
Protección de datos (I) Prof.ª Dra. María Loza Corera

• Firma obligatoria de un contrato entre RT y ET: (art 28.3 RGPD)

• Contenido obligatorio mínimo:
• Objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y
categorías de interesados.
• Instrucciones del Responsable
• Deber de confidencialidad-secreto profesional
• Medidas de seguridad, técnicas y organizativas
• Régimen de subcontratación
• Destino final de los datos (devolución o supresión)
• Colaboración en el cumplimiento de obligaciones del RT:
Comunicación de violaciones de datos.
Atención derechos de los interesados.
Poner a disposición del RT la información necesaria para demostrar el
cumplimiento o realización de auditorías.
Protección de datos (I) Prof.ª Dra. María Loza Corera

• Principios relativos al tratamiento: (art 5 RGPD)

• Licitud, lealtad y transparencia: los datos serán tratados de manera lícita, leal y
transparente en relación con el interesado.
• Limitación de la finalidad: recogidos con fines determinados, explícitos y legítimos, y no
serán tratados ulteriormente de manera incompatible con dichos fines.
• Minimización de datos: adecuados, pertinentes y limitados a lo necesario en relación con
los fines.
• Exactitud: exactos y, si fuera necesario, actualizados.
• Limitación del plazo de conservación: no más tiempo del necesario para los fines del
tratamiento.
• Integridad y confidencialidad: garantizar una seguridad adecuada, mediante la aplicación
de medidas técnicas u organizativas apropiadas.

Responsabilidad proactiva: El RT será responsable del cumplimiento y capaz de demostrarlo.

Protección de datos (I) Prof.ª Dra. María Loza Corera

• Licitud del tratamiento (art 6 RGPD):

• Consentimiento
• Ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de
este de medidas precontractuales
• Cumplimiento de una obligación legal
• Protección de un interés vital
• Cumplimiento de una misión realizada en interés público o en el ejercicio de poderes
públicos.
• Satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por
un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos
y libertades fundamentales del interesado.
Protección de datos (I) Prof.ª Dra. María Loza Corera

• Consentimiento: toda manifestación de voluntad libre, específica, informada e inequívoca

por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa,
el tratamiento de datos personales que le conciernen;

• Responsable del tratamiento: demostrar que el interesado consintió.

• Por escrito: que se distinga claramente de los demás asuntos.

• de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.

• Será tan fácil retirar el consentimiento como darlo.

Protección de datos (I) Prof.ª Dra. María Loza Corera

• Registro de Actividades de Tratamiento (art 30 RGPD):

Responsables del tratamiento obligación e confeccionar un inventario de tratamientos que

contenga:
• nombre y los datos de contacto del responsable y en su caso, del DPD.
• fines del tratamiento
• categorías de interesados y categorías de datos personales
• categorías de destinatarios
• transferencias internacionales de datos
• Cuando sea posible, plazos previstos para la supresión
• Cuando sea posible, descripción general de las medidas técnicas y organizativas de seguridad
Protección de datos (I) Prof.ª Dra. María Loza Corera

• Registro de Actividades de Tratamiento (art 30 RGPD):

Encargados del tratamiento obligación e confeccionar un inventario de tratamientos realizados

por cuenta de un Responsable, que contenga:

• nombre y los datos de contacto del encargado y de cada responsable por cuenta del cual actúe
el encargado y en su caso, del DPD.
• categorías de tratamientos efectuados por cuenta de cada responsable
• transferencias internacionales de datos
• cuando sea posible, descripción general de las medidas técnicas y organizativas de seguridad
Protección de datos (I) Prof.ª Dra. María Loza Corera

• Deber de información: (art 13 y 14 RGPD)

Información que deberá facilitarse cuando los datos personales se obtengan del interesado:

• identidad y los datos de contacto del RT

• datos de contacto del delegado de protección de datos (DPD)
• fines del tratamiento
• Base jurídica (+intereses legítimos)
• destinatarios o las categorías de destinatarios
• Transferencias internacionales
• Plazo de conservación (o criterio)
• derecho a solicitar al RT el acceso, rectificación, supresión, limitación, oposición,
portabilidad de los datos.
• derecho a retirar el consentimiento en cualquier momento
• derecho a presentar una reclamación ante una autoridad de control
• si la comunicación de datos personales es un requisito legal o contractual
• existencia de decisiones automatizadas, incluida la elaboración de perfiles
Protección de datos (I) Prof.ª Dra. María Loza Corera

Información que deberá facilitarse cuando los datos personales no se obtengan del
interesado:

El origen o procedencia de los datos

Las categorías o tipos de datos (identificativos, características personales, etc.)

¿cuándo?
• dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar
dentro de un mes.
• si los datos personales han de utilizarse para comunicación con el interesado, a más tardar
en el momento de la primera comunicación.
• si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los
datos personales sean comunicados por primera vez.
Protección de datos (I) Prof.ª Dra. María Loza Corera

Transparencia:

• en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y

sencillo.
• será facilitada por escrito o por otros medios, incluidos electrónicos. Cuando lo solicite el
interesado, podrá facilitarse verbalmente siempre que se demuestre la identidad del
interesado por otros medios.
• En combinación con iconos
Protección de datos (I) Prof.ª Dra. María Loza Corera

Derechos de los interesados: Acceso, Rectificación, Supresión, Oposición, Portabilidad,

Limitación.

• Gratuidad: no obstante, se establecen los supuestos en los que el Responsable puede cobrar
una tasa o canon razonable o incluso negarse a responder. Ej. solicitudes abusivas que
manifiestamente infundadas, excesivas, o aquellas que tengan un carácter repetitivo.

• Plazos: se establece un plazo de 1 MES para hacer efectivo el derecho del interesado, el cual
puede ser prorrogado por 2 meses más en supuestos de complejidad o número de solicitudes
recibidas.

• Medios Electrónicos: Se debe proporcionar medios para que las solicitudes se presenten por
medios electrónicos.
Protección de datos (I) Prof.ª Dra. María Loza Corera

• Negativa a la solicitud: en los supuestos en los que no se le conceda el ejercicio de derechos

deberá ser informado en el mismo plazo de un mes de los motivos y la posibilidad de presentar
la correspondiente reclamación ante la Autoridad competente.

• Información adicional: en aquellos casos en los que existan dudas razonables sobre la
identidad de la persona física que realiza la solicitud.

Derecho de Acceso: derecho a obtener del RT confirmación de si se están tratando o no datos

personales y, en tal caso, derecho de acceso a los datos personales y a la siguiente información
Fines del tratamiento Derecho reclamar Autoridad de control
Categorías datos personales Origen
Destinatarios o categorías de destinatarios Decisiones automatizadas
Plazo de conservación
Derecho a solicitar supresión, rectificación, limitación, oposición
 Prof.ª Dra. María Loza Corera
Protección de datos (I)

Derecho de Rectificación: derecho a obtener sin dilación indebida del responsable del tratamiento
la rectificación de los datos personales inexactos que le conciernan.

Derecho de Supresión: derecho a obtener sin dilación indebida del responsable del tratamiento la
supresión de los datos personales.

Derecho de Oposición: derecho a oponerse en cualquier momento, por motivos relacionados con su
situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado
en interés legítimo o misión realizada en interés público (art 6.1 e) y f)).
Protección de datos en España, Europa y Latinoamérica (I) Prof.ª Dra. María Loza Corera

Derecho de Limitación del tratamiento: derecho a obtener la limitación del tratamiento de los datos
cuando se cumpla alguna de las condiciones siguientes:

• el interesado impugne la exactitud de los datos, durante un plazo que permita al

responsable verificar su exactitud.
• el tratamiento sea ilícito y no se solicite la supresión
• el RT ya no necesite los datos personales, pero el interesado los necesite para la
formulación, el ejercicio o la defensa de reclamaciones.
• el interesado se haya opuesto al tratamiento, mientras se verifica si los motivos legítimos del
RT prevalecen sobre los del interesado.
Protección de datos (I) Prof.ª Dra. María Loza Corera

Derecho de Portabilidad: derecho a recibir los datos personales en un formato estructurado, de uso
común y lectura mecánica, y a transmitirlos a otro RT sin que lo impida el responsable al que se los
hubiera facilitado:

• el tratamiento se base en el consentimiento o ejecución de un contrato.

• el tratamiento se efectúe por medios automatizados

Quiero que me den los

datos en archivo
informático
Protección de datos (I) Prof.ª Dra. María Loza Corera

Muchas gracias por tu

atención