PROTECCIÓN DE

DATOS
PERSONALES

MÁSTER EN ABOGACÍA
Ilustre Colegio de Abogados de Oviedo
Sonia de la Paz Fernández Álvarez
Oviedo, septiembre 2022
 2

Jornada Master Abogacía

Módulo ejercicio profesional

Ilustre Colegio de Abogados de

Oviedo

Obligaciones en materia de
protección de datos personales

23 de septiembre, 2022
 3

Contenido de la jornada
• Introducción a la protección de datos personales
• El reglamento General de Protección de datos y
la Ley Orgánica Protección de Datos
• Novedades introducidas por el Reglamento
General de Protección de Datos
• Etapas a seguir en la adecuación a la nueva
normativa
 4

1 Introducción a la protección de los

datos
 5

1.1. Legislación actual en materia de

Protección de Datos
• Reglamento UE 2016/679 del
Parlamento Europeo y del Consejo,
de 27 de abril de 2016, relativo a la
protección de personas físicas en lo
que respecta al tratamiento de datos personales y a la libre
circulación de esos datos, que deroga la Directiva 95/46/CE

• LEY ORGÁNICA 3/2018, DE 5 DE DICIEMBRE, DE

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y
GARANTÍA DE DERECHOS DIGITALES.

• Instrucción 1/2006, de 8 de noviembre, de la Agencia Española

de Protección de Datos, sobre tratamiento de datos personales con
fines de videovigilancia, a través de sistemas de cámaras o
videocámaras.
 6

1.2. Conceptos importantes en protección de

datos

• Dato personal: cualquier información numérica,

alfabética, fotográfica, acústica o de cualquier otro tipo
concerniente a personas físicas identificadas o identificables
• Tratamiento: Operación o conjunto de operaciones
realizadas sobre datos personales o conjuntos de datos, por
procedimientos automatizados o no: recogida, registro,
organización, estructuración, conservación, adaptación o
modificación, extracción, consulta, utilización,
comunicación por transmisión, difusión
o cualquier otra forma de habilitación
de acceso, cotejo o interconexión,
limitación, supresión o destrucción
 7

1.2. Conceptos importantes en protección de

datos

• Fichero: Conjunto estructurado de datos personales,

accesibles con arreglo a criterios determinados, ya sea
centralizado, descentralizado o repartido de forma funcional
o geográfica
• Responsable del tratamiento o responsable: Persona
física o jurídica, autoridad pública, servicio u otro organismo
que, solo o junto con otros, determine los fines y medios del
tratamiento
• Encargado del tratamiento o encargado: Persona física o
jurídica, autoridad pública, servicio u otro organismo que
trate datos personales por cuenta del responsable del
tratamiento
 8

1.2. Conceptos importantes en protección de

datos

• Sistema de información: Conjunto de ficheros de datos,

equipos, dispositivos, soportes en general, utilizados para
llevar a cabo el tratamiento de datos
• Copia de seguridad: copia de los datos personales, que
permite recuperar los mismos en caso de pérdida, alteración o
suceso que afecte a los datos personales
 9

1.2. Conceptos importantes en protección de

datos

• Usuario: Toda persona que accede a datos personales, a fin

de llevar a cabo un tratamiento con los mismos
• Administrador del sistema: Persona física o jurídica, que
accede a datos personales por cuenta del Responsable del
tratamiento, a fin de realizar mantenimiento y seguridad
física de los datos
• Afectado o interesado: persona física titular de los datos
personales objeto de tratamiento por el responsable
 10

1.2. Conceptos importantes en protección de

datos

• Consentimiento del interesado: Manifestación de

voluntad libre, específica, informada e inequívoca por la que
el interesado acepta, mediante declaración o una clara acción
afirmativa, el tratamiento de datos personales que le
conciernen
• Violación de la seguridad de los datos personales:
Toda violación de la seguridad que ocasione la destrucción,
pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a dichos datos
2 El Reglamento General de
Protección de Datos y la LOPDGDD
 12

2.1. Introducción al Reglamento General de

Protección de Datos

• Se aplica desde 25 de mayo de 2018 a todos

los estados miembros de la UE

• Las multas por incumplimiento

pueden llegar hasta los 20M €
y al 4% de la facturación mundial anual
 13

2.2. Introducción a la LOPDGDD

• En vigor desde 7 de diciembre de 2018

• Complementa al Reglamento Europeo

3 Novedades del Reglamento
General de Protección de Datos y
de la LOPDGDD
 15

3.1. Ámbito de aplicación del Reglamento General

de Protección de Datos
• Hasta ahora: se aplica a los responsables o
encargados de tratamiento establecidos en UE
• Desde RGPD: a responsables o encargados no
establecidos en UE si realizan tratamientos
derivados de una oferta de bienes o servicios
destinados a ciudadanos de la UE o como
consecuencia de una monitorización y
seguimiento de su comportamiento
• Se requiere un representante en UE de
responsables o encargados de tratamientos
 16

3.2. Análisis de riesgos en las empresas

• Todas las entidades deben realizar análisis de

riesgo de sus tratamientos: medidas y modo de
aplicar
▫ Análisis simples: entidades con pocos tratamientos
sencillos y sin realizar operaciones con datos
sensibles
▫ Análisis mas complejos: entidades con muchos
tratamientos, gran cantidad de titulares de datos,
datos sensibles o que precisan valorar los riesgos más
cuidadosamente
• Guía modelo de análisis de riesgos,
proporcionada por la AEPD
 17

3.3. Consentimiento de los titulares de los datos

Más exigencias con el RGPD y LOPDGDD: base del
tratamiento
• Será libre, informado y especifico
• Inequívoco: declaración o acción positiva
• Explicito y expreso en tratamiento de
• datos sensibles
• No podrá ser tácito, no se deberá
deducir del silencio o inactividad de
titulares de datos
• Verificable y revocable
• Expreso en caso de análisis de perfiles
• Si el consentimiento no es necesario para prestar un
servicio, no condiciona la prestación del mismo
 18

3.4. Información en el consentimiento

Proporcionar nueva información en el tratamiento:

• Indicar la base legal o legitimación que permite el mismo

• Los datos del DPO si lo hubiera
• Plazo o criterios de conservación de los datos personales
• Posibilidad de titulares de los datos de dirigir
reclamaciones a autoridad competente
• La previsión de transferencias de datos a países terceros
• La existencia de decisiones automatizas o elaboración de
perfiles
• Lenguaje conciso, fácil de entender y claro
 19

3.5. Tratamiento de datos de menores

• Podrán prestar consentimiento para SSI (RRSS)

mayores de 16 años
• RGPD permite rebajar edad, cada estado decide,
con limite siempre no inferior a 13 años
• España mantiene edad 14 años, recogido en
LOPDGDD
• Por debajo de esa edad, precisa
consentimiento y autorización de
padres o tutores
 20

3.6. Derechos de los titulares de los datos

• Se mantienen derechos anteriores y se

incorporan:
• Derecho de supresión o al olvido
• Derecho a la limitación del tratamiento
(suspensión del tratamiento pero sin borrado
durante tiempo)
• Derecho a la portabilidad de datos
• Derecho a no ser objeto de
decisiones individualizadas
y elaboración de perfiles
 21

3.6. Derechos de los titulares de los datos

• En la LOPDGDD se recogen nuevos derechos

digitales:

▫ Derecho universal de acceso a internet

▫ Derecho a educación digital
▫ Derecho a la seguridad digital
▫ Derecho a desconexión digital de trabajadores
▫ Derecho al testamento digital
▫ Protección de los menores en internet
▫ Derecho de rectificación y del olvido en internet
 22

3.7. Protección de los datos desde el diseño y por

defecto
• Medidas anteriores y durante el tratamiento
• Desde el diseño se tiene
presente la protección
de los datos

• Medidas técnicas y organizativas que

garanticen los principios:
▫ Solo se traten los datos necesarios, la extensión del
tratamiento, los periodos de conservación y la
accesibilidad a los datos
 23

3.7. Protección de los datos desde el diseño y por

defecto
Medidas técnicas

• Utilización de varios perfiles, personal y profesional

en los equipos
• Disponer de perfiles con privilegios de
administración en exclusiva
• Contraseñas de acceso a sistema operativo, mínimo
8 caracteres, letras y números
 24

3.7. Protección de los datos desde el diseño y por

defecto
Medidas técnicas

• Mantener usuario y contraseña por cada persona

con acceso a los datos
• Privacidad de las contraseñas
• Actualización de equipos
• Disponer de antivirus
• Copias de seguridad de los datos
 25

3.7. Protección de los datos desde el diseño y por

defecto
Medidas organizativas

• Confidencialidad y secreto de los datos

• Evitar accesos no autorizados
• Documentos almacenados en lugar seguro
• Pantallas de dispositivos protegidas
 26

3.7. Protección de los datos desde el diseño y por

defecto
Medidas organizativas

• Destrucción eficaz de soportes que contengan datos

• No comunicar datos personales sin autorización de
responsable de tratamiento
• Proporcionar ejercicio de los derechos ARCO
• Actuación ante violaciones de seguridad de los
datos
 27

3.8. Registro de actividades del tratamiento

Responsables y encargados del tratamiento

mantendrán registro que incluya:
• Nombre y datos de contacto del responsable o
corresponsable
• Datos del Delegado de Protección de Datos si
existiese
• Finalidades del tratamiento
• Descripción de categorías de interesados y
categorías de datos personales tratados
• Transferencias internacionales de datos
• Medidas de seguridad aplicables
 28

3.8. Registro de actividades del tratamiento

Exentas empresas con menos de 250 trabajadores salvo:

• Tratamiento entrañe riesgo
• Contenga datos de categorías especiales
• Contenga datos de condenas o infracciones penales

• RECOMENDABLE A TODAS LAS EMPRESAS

 29

3.9. Tipos de datos: Datos de categorías especiales

• Son los datos sensibles de nivel alto (salud,

ideología, vida sexual, origen étnico o racial,
religión …)
• Se incorporan datos biométricos
genéticos y creencias filosóficas
• Se incorporan además datos de
condenas y de infracciones penales, no son
especiales pero si limitados en tratamiento
• Se refuerza el modelo anterior con más obligaciones
 30

3.9. Tipos de datos: Datos de nivel básico

• Datos identificativos: nombre, apellidos, DNI, dirección,

correo mail, imagen, fotografías…
• Datos de circunstancias personales: licencias, permisos,
nacionalidad, estado civil…
• Datos académicos, datos profesionales y de empleo, como
nominas, cv, datos de puesto de trabajo…
• Datos de salud para relación laboral de trabajadores o de
minusvalías para la misma finalidad
• Datos de cuentas bancarias,
financieros y de seguros
 31

3.10. Encargados del tratamiento y Contratos de

prestación de servicios
• Permitirán auditorias por responsable o designado
• Informaran al responsable de incumplimientos legales
• Podrán adherirse a códigos de conducta o
certificaciones

Regulación minuciosa de contratos que indicará:

• Objeto, duración, naturaleza y finalidad del tratamiento
• Tipo de datos y categorías de interesados
• Tratamiento según instrucciones del responsable
• Autorizaciones de subcontratación según condiciones
• Asistencia al responsable en ejercicio de derechos
 32

3.11. Violaciones de seguridad de los datos

• Notificada por responsable a AEPD dentro de 72

horas siguientes sin dilaciones desde su conocimiento
• Excepción: no entrañe riesgo para titulares de datos
• Documentar todas las violaciones de seguridad
• Notificar a titulares si existen riesgos
Contenido de la notificación:
• Naturaleza de la violación
• Categorías de datos y de interesados afectados
• Medidas adoptadas por el responsable
• Medidas correctoras
GUÍA DE LA AEPD SOBRE FUGA DE DATOS EN
DESPACHOS DE ABOGADOS
 33

3.12. DPO, Data Protection Officer

• Nueva figura establecida por el RGPD

• Debe acreditar estudios y experiencia en la materia
• Conocimiento de legislación y capacidad de expresión

Obligatorio en casos siguientes:

• AAPP
• Monitorización regular de afectados
• Tratamiento a gran escala de datos especiales o
infracciones penales o condenas
• Aseguradoras, colegios profesionales, universidades…
 34

3.12. DPO, Data Protection Officer

La LOPDGDD establece nuevos supuestos de

obligatoriedad de nombrar DPO según sector al que
pertenecen:
• Los colegios profesionales y sus consejos generales.
• Los centros docentes que ofrezcan enseñanzas en
cualquiera de los niveles establecidos en la legislación
reguladora del derecho a la educación, así como las
Universidades públicas y privadas.
• Las entidades que exploten redes y presten servicios de
comunicaciones electrónicas conforme a lo dispuesto en
su legislación específica, cuando traten habitual y
sistemáticamente datos personales a gran escala.
 35

3.12. DPO, Data Protection Officer

La LOPDGDD establece nuevos supuestos de

obligatoriedad de nombrar DPO según sector al que
pertenecen:
• Los prestadores de servicios de la sociedad de la
información cuando elaboren a gran escala perfiles de
los usuarios del servicio.
• Las entidades incluidas en el artículo 1 de la Ley
10/2014, de 26 de junio, de ordenación, supervisión y
solvencia de entidades de crédito.
• Los establecimientos financieros de crédito.
• Las entidades aseguradoras y reaseguradoras.
• Las empresas de servicios de inversión, reguladas por la
legislación del Mercado de Valores.
 36

3.12. DPO, Data Protection Officer

• Los distribuidores y comercializadores de energía eléctrica y

los distribuidores y comercializadores de gas natural.
• Las entidades responsables de ficheros comunes para la
evaluación de la solvencia patrimonial y crédito o de los
ficheros comunes para la gestión y prevención del fraude.
• Los responsables de los ficheros regulados por la legislación
de prevención del blanqueo de capitales y de la financiación
del terrorismo.
• Las entidades que desarrollen actividades de publicidad y
prospección comercial, incluyendo las de investigación
comercial y de mercados, cuando lleven a cabo tratamientos
basados en las preferencias de los afectados o realicen
actividades que impliquen la elaboración de perfiles de los
mismos.
 37

3.12. DPO, Data Protection Officer

• Los centros sanitarios legalmente obligados al

mantenimiento de las historias clínicas de los pacientes. Se
exceptúan los profesionales de la salud que, aun estando
legalmente obligados al mantenimiento de las historias
clínicas de los pacientes, ejerzan su actividad a título
individual.
• Las entidades que tengan como uno de sus objetos la
emisión de informes comerciales que puedan referirse a
personas físicas.
• Los operadores que desarrollen la actividad de juego a
través de canales electrónicos, informáticos, telemáticos e
interactivos.
• Las empresas de seguridad privada.
• Las federaciones deportivas cuando traten datos de menores
de edad.
 38

3.13. Transferencias internacionales de

datos
• Mantiene exigencia de TI a países con nivel
adecuado de protección de datos
• No se precisa la notificación o autorización de la
AEPD para las TI
• Proporcionan modelo de clausulas contractuales
• Se incorporan códigos de conductas
• Aparecen las normas corporativas vinculantes
 39

3.14. Sanciones
Tipos de infracciones,
Multas
LOPDGDD establece tres tipos

Infracciones graves: Infracciones leves

• Falta de transparencia en
• 10 M€ o 2% información
facturación mundial • No atender a los ARCO
anual de año anterior Infracciones graves:
Infracciones muy • Incumplimiento
graves: obligaciones del
• 20M€ o 4% encargado o responsable
facturación mundial Infracciones muy graves:
anual de año anterior • Afectan a principios
básicos, derechos, TI…
4 Etapas a seguir en la
adecuación
 41

4.1. Acciones a implantar

• Revisión en las empresas del modo de obtención

del consentimiento según el RGPD
• Identificación de datos que se tratan en
empresas, categoría de los mismos y medidas a
cumplir
• Nueva redacción de clausulas de recogida de
datos
• Indicación de la base jurídica que sustenta el
tratamiento, de las TI y del Delegado de PD
 42

4.1. Acciones a implantar

• Elaboración y firma de nuevos contratos entre

responsables y encargados del tratamiento
• Proporcionar el ejercicio de todos los derechos
reconocidos
• Ejercicio de derechos de modo electrónico
• Valoración del riesgo del tratamiento de datos
• Implementar mecanismos que impidan
violaciones de seguridad en los datos
 43

4.2. Medidas físicas a implementar

• Protección de los datos antes y durante el

tratamiento
• Datos en icloud se protegen antes de ser
transferidos
• Cifrado de datos en los procesos
• Asegurar confidencialidad de la información
• Restauración de datos tras incidencias
• Se llevará un control de las aplicaciones de
las empresas
 44

4.2. Medidas físicas a implementar

• Identificar los dispositivos de las entidades

• Los datos sensibles se monitorizarán y
bloquearán para evitar perdidas o alteraciones
• Las redes estarán seguras, sean servidores,
icloud o telecomunicaciones
• Se implementará un programa de gestión de
riesgos
• Comprobación de medidas de seguridad físicas
• Permitir portabilidad de datos de titulares, de
una entidad a otra
Sonia de la Paz Fernández Álvarez