1_9788411139205

PROTECCIÓN DE DATOS

Estudio conforme al Esquema de Certificación de Delegados de Protección de Datos (AEPD-DPD)

Curso de Derecho digital

PROTECCIÓN DE DATOS

Estudio conforme al esquema de certificación de delegados de protección de datos (AEPD-DPD)

COMITÉ CIENTÍFICO DE LA EDITORIAL TIRANT LO BLANCH

María José Añón Roig

Catedrática de Filosofía del Derecho de la Universidad de Valencia

Ana Cañizares Laso

Catedrática de Derecho Civil de la Universidad de Málaga

Jorge A. Cerdio Herrán

Catedrático de Teoría y Filosofía de Derecho.

Instituto Tecnológico Autónomo de México

José Ramón Cossío Díaz

Ministro en retiro de la Suprema

Corte de Justicia de la Nación y miembro de El Colegio Nacional

María Luisa Cuerda Arnau

Catedrática de Derecho Penal de la Universidad Jaume I de Castellón

Carmen Domínguez Hidalgo

Catedrática de Derecho Civil de la Pontificia Universidad Católica de Chile

Eduardo Ferrer Mac-Gregor Poisot

Juez de la Corte Interamericana de Derechos Humanos

Investigador del Instituto de Investigaciones Jurídicas de la UNAM

Owen Fiss

Catedrático emérito de Teoría del Derecho de la Universidad de Yale (EEUU)

José Antonio García-Cruces González

Catedrático de Derecho Mercantil de la UNED

José Luis González Cussac

Catedrático de Derecho Penal de la Universidad de Valencia

Luis López Guerra

Catedrático de Derecho Constitucional de la Universidad Carlos III de Madrid

Ángel M. López y López

Catedrático de Derecho Civil de la Universidad de Sevilla

Marta Lorente Sariñena

Catedrática de Historia del Derecho de la Universidad Autónoma de Madrid

Javier de Lucas Martín

Catedrático de Filosofía del Derecho y Filosofía Política de la Universidad de Valencia

Víctor Moreno Catena

Catedrático de Derecho Procesal de la Universidad Carlos III de Madrid

Francisco Muñoz Conde

Catedrático de Derecho Penal de la Universidad Pablo de Olavide de Sevilla

Angelika Nussberger

Catedrática de Derecho Constitucional e Internacional en la Universidad de Colonia (Alemania)

Miembro de la Comisión de Venecia

Héctor Olasolo Alonso

Catedrático de Derecho Internacional de la Universidad del Rosario (Colombia) y Presidente del Instituto Ibero-Americano de La Haya (Holanda)

Luciano Parejo Alfonso

Catedrático de Derecho Administrativo de la Universidad Carlos III de Madrid

Consuelo Ramón Chornet

Catedrática de Derecho Internacional

Público y Relaciones Internacionales de la Universidad de Valencia

Tomás Sala Franco

Catedrático de Derecho del Trabajo y de la Seguridad Social de la Universidad de Valencia Ignacio Sancho Gargallo Magistrado de la Sala Primera (Civil) del Tribunal Supremo de España

Elisa Speckmann Guerra

Directora del Instituto de Investigaciones

Históricas de la UNAM

Ruth Zimmerling

Catedrática de Ciencia Política de la Universidad de Mainz (Alemania)

Fueron miembros de este Comité:

Emilio Beltrán Sánchez, Rosario Valpuesta Fernández y Tomás S. Vives Antón

Procedimiento de selección de originales, ver página web: www.tirant.net/index.php/editorial/procedimiento-de-seleccion-de-originales

Copyright ® 2023

Todos los derechos reservados. Ni la totalidad ni parte de este libro puede reproducirse o transmitirse por ningún procedimiento electrónico o mecánico, incluyendo fotocopia, grabación magnética, o cualquier almacenamiento de información y sistema de recuperación sin permiso escrito del autor y del editor.

En caso de erratas y actualizaciones, la Editorial Tirant lo Blanch publicará la pertinente corrección en la página web www.tirant.com.

© TIRANT LO BLANCH

EDITA: TIRANT LO BLANCH

C/ Artes Gráficas, 14 - 46010 - Valencia

TELFS.: 96/361 00 48 - 50

FAX: 96/369 41 51

Email: tlb@tirant.com

www.tirant.com

Librería virtual: www.tirant.es

ISBN: 978-84-1113-920-5

Si tiene alguna queja o sugerencia, envíenos un mail a: atencioncliente@tirant.com. En caso de no ser atendida su sugerencia, por favor, lea en www.tirant.net/index.php/empresa/politicasde-empresa nuestro procedimiento de quejas.

Responsabilidad Social Corporativa: http://www.tirant.net/Docs/RSCTirant.pdf

Copyright ® 2023

Todos los derechos reservados. Ni la totalidad ni parte de este libro puede reproducirse o transmitirse por ningún procedimiento electrónico o mecánico, incluyendo fotocopia, grabación magnética, o cualquier almacenamiento de información y sistema de recuperación sin permiso escrito del autor y del editor.

En caso de erratas y actualizaciones, la Editorial Tirant lo Blanch publicará la pertinente corrección en la página web www.tirant.com.

© TIRANT LO BLANCH

EDITA: TIRANT LO BLANCH

C/ Artes Gráficas, 14 - 46010 - Valencia

TELFS.: 96/361 00 48 - 50

FAX: 96/369 41 51

Email: tlb@tirant.com

www.tirant.com

Librería virtual: www.tirant.es

DEPÓSITO LEGAL: V--2023

ISBN: 978-84-1113-919-9

Si tiene alguna queja o sugerencia, envíenos un mail a: atencioncliente@tirant.com. En caso de no ser atendida su sugerencia, por favor, lea en www.tirant.net/index.php/empresa/politicasde-empresa nuestro procedimiento de quejas.

Responsabilidad Social Corporativa: http://www.tirant.net/Docs/RSCTirant.pdf

VII. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Responsabilidad proactiva ............................................................................

1. Privacidad desde el diseño y por defecto. Principios fundamentales ..

2. Evaluación de impacto relativa a la protección de datos y consulta previa. Los tratamientos de alto riesgo

3. Seguridad de los datos personales. Seguridad técnica

XIII. Normativa española con implicaciones en protección de datos

1. LSSI, Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico .................................................

2. LGT, Ley 9/2014, de 9 de mayo, General de Telecomunicaciones ......

3. Ley firma-e, Ley 59/2003, de 19 de diciembre, de firma electrónica

1. Directiva e-Privacy: Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre privacidad y las comunicaciones electrónicas) o Reglamento

2. Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, por la que se modifican la Directiva 2002/22/ CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) nº 2006/2004 sobre la cooperación en materia de protección de los consumidores .....................................

310

3. Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo .............. 312

I. Análisis y gestión de riesgos de los tratamientos de datos personales ........................................................................................

1. Introducción. Marco general de la evaluación y gestión de riesgos. Conceptos generales 313

2. Evaluación de riesgos. Inventario y valoración de activos. Inventario y valoración de amenazas. Salvaguardas existentes y valoración de su protección. Riesgo resultante .................................................................

3. Gestión de riesgos. Conceptos. Implementación. Selección y asignación de salvaguardas a amenazas. Valoración de la protección. Riesgo residual, riesgo aceptable y riesgo inasumible .......................................

II. Metodologías de análisis y gestión de riesgos .......................

1. El diseño y la implantación del programa de protección de datos en el contexto de la organización ................................................................

2. Objetivos del programa de cumplimiento .............................................

3. Accountability: la trazabilidad del modelo de cumplimiento .................

1. Marco normativo. Esquema Nacional de Seguridad y directiva NIS: Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Ámbito de aplicación, objetivos, elementos principales, principios básicos y requisitos mínimos

2. Ciberseguridad y gobierno de la seguridad de la información. Generalidades, Misión, gobierno efectivo de la Seguridad de la Información (SI). Conceptos de SI. Alcance. Métricas del gobierno de la SI. Estado de la SI. Estrategia de SI

3. Puesta en práctica de la seguridad de la información. Seguridad desde el diseño y por defecto. El ciclo de vida de los Sistemas de Información. Integración de la seguridad y la privacidad en el ciclo de vida. El control de calidad de los SI

V. Evaluación de Impacto de Protección de Datos “EIDP” ........

1. Introducción y fundamentos de las EIPD: Origen, concepto y características de las EIPD. Alcance y necesidad. Estándares ...........................

Abreviaturas

AAPD Autoridad/es Autonómica/s de Protección de Datos

AEPD Agencia Española de Protección de Datos

BCR Binding Corporate Rules

BOE Boletín Oficial del Estado

CDFUE Carta de los Derechos Fundamentales de la Unión Europea (DOCE C 364/1, de 18 de diciembre de 2000)

CE Constitución Española (BOE núm. 311, de 29 de diciembre de 1978)

CEDH Instrumento de Ratificación del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales, hecho en Roma el 4 de noviembre de 1950, y enmendado por los Protocolos adicionales números 3 y 5, de 6 de mayo de 1963 y 20 de enero de 1966, respectivamente (BOE núm. 243, de 10 de octubre de 1979)

CEPD Comité Europeo de Protección de Datos

Convenio nº 108 Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981 (BOE núm. 274, de 15 de noviembre de 1985)

CP Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal (BOE núm. 281, de 24 de noviembre de 1995)

DCE Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) (DOCE L 178/1, de 17 de julio de 2000)

DFE Directiva 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999 por la que se establece un marco comunitario para la firma electrónica (DOCE núm. 13, de 19 de enero de 2000)

DMA Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo de 14 de septiembre de 2022 sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828

(Reglamento de Mercados Digitales) (DOUE L 265/1, de 12 de octubre de 2022)

DOCE Diario Oficial de las Comunidades Europeas

DOUE Diario Oficial de la Unión Europea

DPCE Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DOCE L 201/37, de 31 de julio de 2002)

DPD Delegado de Protección de Datos

DPDP Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos (DOCE L 281/31, de 23 de noviembre de 1995)

DPO Data Protection Officer

DSA Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DOUE L 277/1, de 27 de octubre de 2022)

eIDAS Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DOUE L 257/73, de 28 de agosto de 2014)

ENS Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (BOE núm. 106, de 04 de mayo de 2022)

GTA29 Grupo de Trabajo del artículo 29

LAP Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (BOE núm. 274, de 15 de noviembre de 2002)

LFE Ley 59/2003, de 19 de diciembre, de firma electrónica (BOE núm. 304, de 20 de diciembre de 2003)

LGS Ley 14/1986, de 25 de abril, General de Sanidad (BOE núm. 102, de 29 de abril de 1986)

LGSP Ley 33/2011, de 4 de octubre, General de Salud Pública (BOE núm. 240, de 05 de octubre de 2011)

LGT Ley 11/2022, de 28 de junio, General de Telecomunicaciones (BOE núm. 155, de 29 de junio de 2022)

LOPD Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (BOE núm. 298, de 14 de diciembre de 1999)

LOPDGDD Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOE núm. 294, de 06 de diciembre de 2018)

LOPJ Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial (BOE núm. 157, de 02 de julio de 1985)

LOPJM Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor, de modificación parcial del Código Civil y de la Ley de Enjuiciamiento Civil (BOE núm. 15, de 17 de enero de 1996)

LORTAD Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (BOE núm. 262, de 31 de octubre de 1992)

LPH Ley 49/1960 de Propiedad Horizontal (BOE núm. 176, de 23 de julio de 1960

LRJSP Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (BOE núm. 236, de 02 de octubre de 2015)

LSEC Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza (BOE núm. 298, de 12 de noviembre de 2020)

LSSICE Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (BOE núm. 166, de 12 de julio de 2002)

RDLOPD Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (BOE núm. 17, de 19 de enero de 2008)

RGPD Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DOUE L 119/1, de 04 de mayo de 2016)

RGPDPUB Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos (DOUE L 295/39, de 21 de noviembre de 2018)

SEPD Supervisor Europeo de Protección de Datos

SGSI Sistema de Gestión de Seguridad de la Información

STC Sentencia del Tribunal Constitucional

STS Sentencia del Tribunal Supremo

TFUE Tratado de Funcionamiento de la Unión Europea (DOUE C 83/47, de 30 de marzo de 2010)

TJUE Tribunal de Justicia de la Unión Europea

Prefacio

A lo largo de estos últimos años, la concienciación adquirida por la sociedad en torno a la relevancia que ostenta la salvaguarda del derecho fundamental a la protección de sus datos personales ha sido progresivamente creciente. Más aún, con la entrada en vigor del Reglamento General de Protección de Datos, en el seno de la Unión Europea, y de la Ley Orgánica que, en nuestro ordenamiento jurídico interno, le sirve de complemento y desarrollo, se han reforzado los mecanismos e instrumentos con los que cuenta el afectado para garantizar sus derechos y libertades.

Entre estos instrumentos, surge, con especial preponderancia, la figura del Delegado de Protección de Datos o Data Protection Officer, cuyo origen ya se atisba con la Directiva precedente, pero que es con la nueva regulación cuando adquiere decidida obligatoriedad en el conjunto de los Estados miembros. A partir, por tanto, de la entrada en vigor del RGPD y de la LOPDGDD, se introducen los supuestos que, de concurrir, exigen a responsables del tratamiento y encargados del tratamiento, sean de naturaleza pública o privada, el nombramiento de esta figura, interna o externa a la organización, encargada de informar y asesorar de las obligaciones y políticas aplicables, de supervisar el cumplimiento de las mismas, de proporcionar el asesoramiento que resulte conveniente en materia de protección de datos personales, de cooperar con la autoridad de control competente y de actuar como punto de contacto de la organización en cuestiones relativas a este ámbito, todo ello atendiendo a los riesgos inherentes al tratamiento específico en cada caso.

Para ello, resulta primordial dotar al DPO de un estatuto bien definido, que pasa por hacerle partícipe, de forma adecuada y en tiempo oportuno, de todas las cuestiones relativas a la protección de datos personales, además de respaldarle en el desempeño de las mencionadas funciones, proporcionarle los recursos (de todo tipo —personales, económicos, etc.—) que resulten necesarios en cada caso, permitirle el acceso a los datos y a las operaciones de tratamiento en modo apropiado, mantener sus conocimientos especializados o garantizar su independencia. Previamente, y como manifestación por excelencia del principio de responsabilidad proactiva o accountability que impregna el conjunto de la norma, será preciso constatar las cualidades profesionales del DPD y, en especial, sus conocimientos especializados en Derecho y, más específicamente, en la práctica en materia de protección de datos personales, así como la capacidad que

tiene de desempeñar sus funciones atendiendo al sector específico en el que sea nombrado.

Esta labor de comprobación es extraordinariamente importante de cara a procurar, no sólo el cumplimiento legal de una obligación, sino, tanto más, demostrar que el Delegado designado reúne las condiciones, del todo exigentes, para procurar la mejor protección de los interesados. Por este motivo, el mero nombramiento no será suficiente si, a la postre, la persona o entidad escogida carece de la capacidad efectiva de control, supervisión y asesoramiento que fundamentan su existencia.

En este contexto, y con el propósito de proporcionar una mayor seguridad y fiabilidad a los especialistas en materia de protección de datos personales y a las empresas y entidades que, preceptiva o voluntariamente, van a incorporar la figura del Delegado de Protección de Datos a sus organizaciones o que han de contratar los servicios de un profesional cualificado en la materia, la AEPD ha optado por promover un Esquema de Certificación de DPD. Se trata, este Esquema, de un sistema de certificación que posibilita concluir (por medio de certificaciones otorgadas por entidades certificadoras debidamente acreditadas por ENAC —Entidad Nacional de Acreditación—) que tales figuras reúnen la cualificación profesional y los conocimientos requeridos para ejercer la profesión.

Aunque esta certificación no es obligatoria para poder ejercer como tal, la autoridad de control nacional ha estimado necesario (y la experiencia determina que resulta del todo recomendable) implementar un punto de referencia al mercado en torno a los contenidos y elementos de un mecanismo de certificación que sirva como garantía de cara a la acreditación de la cualificación y capacidad profesional de los candidatos. El fin es, en definitiva, generar confianza en torno a la protección de los datos personales de los interesados por parte de cualquier entidad, pública o privada, que deba cumplir cuanto, preceptivamente, exige el RGPD y la LOPDGDD.

La presente obra persigue, precisamente, servir de apoyo a todos aquellos que pretendan obtener la citada certificación como Delegados de Protección de Datos. Por este motivo, incluye, de manera pormenorizada y sistemática, cada uno de los aspectos recogidos en el Esquema de Certificación de Delegados de Protección de Datos de la Agencia Española de Protección de Datos (Esquema AEPD-DPD —Versión 1.4—), estructurándose de idéntica manera que dicho Esquema para servir a este objetivo de la manera didácticamente más adecuada.

Consecuencia de lo anterior, este estudio consta de un total de tres capítulos. El primero de ellos, eminentemente jurídico, indaga en la normativa

general de protección de datos personales, donde se pormenoriza en el análisis del contexto normativo, nacional e internacional; en los fundamentos del RGPD y de la LOPDGDD; en los principios relativos al tratamiento que sirven de sustento; en las bases jurídicas que legitiman el tratamiento; en los derechos específicos con los que cuentan los titulares de los datos; en las medidas de cumplimiento; en el, ya mencionado, principio de responsabilidad proactiva; en las transferencias de datos personales a terceros países u organizaciones internacionales; en las autoridades de control; en las directrices de interpretación; en la normativa sectorial, española y europea, afectada, y, cómo no, en la figura del Delegado de Protección de Datos. El segundo, ciertamente más técnico, se centra en el análisis y gestión de los riesgos de los tratamientos de datos personales, pasando por las metodologías disponibles para efectuar dicho análisis y gestión, el estudio de los programas de cumplimiento en el seno del responsable del tratamiento, el marco normativo y la puesta en práctica de la seguridad de la información en la organización y la descripción de los fundamentos de la evaluación de impacto en materia de protección de datos. El tercero y último, en la misma línea, concluye profundizando en la auditoría de protección de datos y de los sistemas de información como elemento de control, en la gestión de la seguridad de los tratamientos y en el estudio de novedades con implicaciones altamente relevantes, como sucede con el cloud computing, los smartphones, el Internet de las Cosas, el Big data, la elaboración de perfiles, las redes sociales, las tecnologías de seguimiento de usuario o el Blockchain.