Practicum Protección de Datos

8/10/2019 Practicum Protección de Datos

http://slidepdf.com/reader/full/practicum-proteccion-de-datos 1/32

PRACTICUM PROTECCIÓN DE DATOS



El editor no se hace responsable de las opiniones recogidas, comentarios y manifestaciones

vertidas por los autores. La presente obra recoge exclusivamente la opinión de su autor comomanifestación de su derecho de libertad de expresión.

Cualquier forma de reproducción, distribución, comunicación publica o transformación de estaobra solo puede ser realizada con la autorización de sus titulares, salvo excepción prevista porla ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos) si necesita fotocopiar oescanear algun fragmento de estcea obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 45).

Thomson Reuters y el logotipo de Thomson Reuters son marcas de Thomson Reuters

Aranzadi es una marca de Thomson Reuters (Legal) Limited

© 2014 [Thomson Reuters (Legal) Limited / Javier Álvarez Hernando y Víctor Cazurro Baraho-na]Editorial Aranzadi, SA Camino de Galar, 1531190 Cizur Menor (Navarra)ISBN: 978-84-9059-821-4Depósito Legal: NA 2078/2014Printed in Spain. Impreso en España Fotocomposición: Editorial Aranzadi, SA Impresión: Rodona Industria Gráfica, SLPolígono Agustinos, Calle A, Nave D-1131013 - Pamplona



Presentación

¿Por qué, como profesional, necesita Practicum?

En el desarrollo de su labor cotidiana, el profesional jurídico y de asesoría se enfrentaconstantemente a la necesidad de tener a su alcance la información jurídica y prácticaprecisa para cubrir con éxito las expectativas de su labor legal o las necesidades desu cliente. Pero no siempre se dispone del tiempo necesario para rastrear en toda lanormativa vigente ni, por supuesto, para localizar la sentencia precisa ni el caso prác-tico que se ajuste a la solución buscada.

¿Qué es Practicum? Una solución en papel y electrónica

Practicum es una colección de obras que sirve de ayuda al profesional jurídico parala rápida localización de la información necesaria en cualquier momento y lugar. Paraello, reúne en un único volumen la información legal y práctica imprescindible sobrela materia que versa, elaborada por equipos de prestigiosos autores, que aúnan elprofundo conocimiento legal con una amplia experiencia práctica.

Además, para facilitar su manejo y su permanente actualización, Practicum puede serconsultado en su versión electrónica a través de la plataforma de Thomson Reuters,ProView TM, accesible tanto desde el ordenador, como de la tableta (Ipad o Android).



8 | Presentación

ProView TM



Presentación | 9

¿Cómo accedo a ProView TM?

Siga las instrucciones de las páginas 1 y 2 de esta obra.

Más información sobre ProView TM en

http://www.tienda.aranzadi.es/Aranzadi/Proview/principal.aspx

¿Cómo se estructura Practicum?

Todos los volúmenes de esta nueva colección presentan estructuras similares para queel lector se familiarice con el entorno de consulta, además de establecer una clara

diferenciación entre las explicaciones analíticas, los supuestos prácticos y los formula-rios, junto con gran cantidad de esquemas y cuadros aclaratorios. En cualquier caso,tanto las explicaciones como el contenido práctico realizan constantes remisiones alas resoluciones judiciales y a la doctrina administrativa que pueden servir de muestrade la doctrina jurídica más reciente y significativa.

Información práctica permanentemente actualizada

La versión electrónica de Practicum, visualizable a través de ProView TM, se actualizacada vez que se produce una novedad significativa en cada materia. Renovando anual-

mente el volumen de Practicum papel, el profesional podrá estar permanentementeal tanto de las novedades de cada orden jurídico.

Mucha información en poco espacio, y fácilmente localizable

Para facilitar el rastreo de la información buscada, se han incorporado a la obraexhaustivos índices sistemáticos, tanto generales como de capítulo, e índices analíti-cos, que repasan todas y cada una de las voces características de la materia tratada.

A la facilidad de uso se une la asequible transición e interacción entre las distintaspartes de la obra. Para ello, en los márgenes de cada página se han asignado ítems

numéricos que permitirán una más sencilla localización de las remisiones efectuadasdesde los índices y el propio texto, tanto en la versión Practicum papel como la dela aplicación ProView TM.



10 | Presentación

Solo queda desear que con el uso de este volumen y de su versión electrónica, elconsultante pueda sacar el mayor partido a Practicum, que, sin duda y hasta el mo-

mento, es la mejor solución a los problemas de necesidad de información legal en eldesarrollo práctico de la profesión jurídica.



Sobre los autores

Javier Á LVAREZ HERNANDO es abogado en ejercicio, especialista en derecho de lasTIC y protección de datos.

Licenciado en Derecho por la Universidad de Valladolid. Posteriormente cursó Más-ter en Derecho de las tecnologías de la información y las comunicaciones en la Uni- versidad Pontificia de Comillas-ICADE en Madrid, en el año 2001, y es diplomadopor la Escuela de Práctica Jurídica de Valladolid en el 2007. Junto a su desempeñoprofesional como abogado, posee amplia experiencia en acciones formativas tantopara empresas como para la Administración Pública. Es autor de más de 100 artículosen revistas de naturaleza jurídica, y cuenta entre sus publicaciones con la monografía"Guía práctica sobre Protección de datos. Cuestiones y formularios" 2011, Lex Nova; es coau-tor de la obra "Comunicación digital eficaz y Legal. Claves jurídicas y de marketing para la empresa del Siglo XXI" 2012. Thomson Reuters; e igualmente es coautor de la obra"Practicum Administración de Fincas" 2014 y 2015. Thomson Reuters.Forma parte del equipo de profesores de la Escuela de Administración Pública deCastilla y León (ECLAP) desde 2007 e actualmente imparte docencia en el Grado deDerecho y ADE en la Universidad Isabel I de Castilla, así como en el Máster de Accesoa la Abogacía de la Universidad de Valladolid. Ha obtenido en los años 2011 y 2013el primer premio en la I y III Edición del Premio de Artículos Jurídicos de la Agrupa-ción de Abogados Jóvenes de Valladolid organizado por el Iltre. Colegio de Abogadosde Valladolid / Fundación Camilo de la Red; e igualmente fue ganador en 2012 dela IV Edición de los Premios Buscando El Norte Digital, en la categoría Mejor Inicia-tiva Digital, organizado por El Norte de Castilla.

Victor C AZURRO B ARAHONA es Licenciado y Doctor Europeo en Derecho, con Sobre-saliente "Cum Laude", por la Universidad de Valladolid. También es Diplomado porla Escuela de Práctica Jurídica de la misma ciudad. Abogado en ejercicio desde el2004, especializado en Derecho de la información y protección de datos personales.

Es Decano de la Facultad de Ciencias Jurídicas y Económicas de la Universidad IsabelI y Profesor de Derecho Constitucional y de Derecho de la Información de la mismaUniversidad. Cuenta con una amplia experiencia como docente, tanto en universida-des nacionales, como en internacionales: Universitá Cattolica del Sacro Cuore di Mi-lano. También ha sido colaborador de la Universitá degli Studi di Foggia y la Univer-sitá del Salento. Ha realizado varias estancias de investigación en Italia.



Sumario SPágina

AAbreviaturas ................................................................................................................................ 31

1Introducción a la protección de datos personales .................................................... 35

1. Introducción a la protección de datos. Breve evolución histórica............................... 35

2. Nociones básicas ................................................................................................................... 39

3. Objeto de la LOPD. Ámbito de aplicación....................................................................... 414. Definiciones básicas.............................................................................................................. 47

2Principios cardinales en materia de protección de datos ...................................... 53

1. El principio de consentimiento........................................................................................... 54

1.1. El consentimiento del afectado .................................................................................... 54

1.2. Requisitos del consentimiento del afectado ................................................................. 55

1.3. Excepciones al principio del consentimiento............................................................... 59

1.4. El consentimiento tácito .............................................................................................. 641.5. La prueba del consentimiento...................................................................................... 65

1.6. Revocación del consentimiento .................................................................................... 66

1.7. Datos especialmente protegidos ................................................................................... 69

1.8. Solicitud del consentimiento para finalidades distintas ............................................. 71

1.9. El consentimiento de los menores de edad.................................................................. 73

2. El principio de calidad......................................................................................................... 75

2.1. El principio de finalidad: finalidades determinadas, explícitas, legítimas y compati-bles con aquellas para las que los datos hubieran sido recogidos............................... 75

2.2. Datos adecuados, pertinentes y no excesivos.............................................................. 77

2.3. Adecuación del tratamiento de los datos a la finalidad autorizada («finalidad compa-tible»)............................................................................................................................ 80

2.4. Exactitud de los datos (veracidad) y puesta al día de los mismos............................. 84



14 | Sumario

Página

2.4.1. Deber de actualización y rectificación.................................................... 84

2.4.2. Procedimiento de actualización de los datos........................................ 902.5. La cancelación de los datos.......................................................................................... 90

2.6. Conservación y mantenimiento de los datos............................................................... 922.6.1. La conservación de datos por los operadores de telecomunicaciones 92

2.7. Almacenamiento de la información; la organización del tratamiento........................ 96

2.8. El principio de calidad en la recogida de datos personales ........................................ 97

3. El principio de información................................................................................................ 97

3.1. El principio de información ......................................................................................... 973.1.1. Contenido del deber de información. Requisitos de «calidad de la

información» ............................................................................................... 1033.1.2. El deber de información como obligación de hacer del responsable

del fichero o tratamiento .......................................................................... 1033.2. Exención al deber de informar..................................................................................... 106

3.2.1. Procedimiento de exención del deber de informar ............................. 106

3.3. Modos de practicar el deber de información ............................................................... 108

3.4. El deber de información en el tratamiento de datos personales con fines de vigilanciaa través de sistemas de cámaras o videocámaras ........................................................ 110

3.5. Información a través de una página web cuando se recogen los datos por vía telefó-nica ............................................................................................................................... 110

3.6. Cumplimiento del deber de información de manera posterior a la recogida de datos 110

3.7. Excepciones a la obligación de informar al interesado ............................................... 112

4. Cesiones o comunicaciones de datos ................................................................................ 1134.1. Concepto de cesión o comunicación de datos personales............................................ 113

4.1.1. Características de la cesión de datos...................................................... 1164.1.2. Cesionarios.................................................................................................. 117

4.2. Excepciones a la necesidad de consentimiento para ceder datos a terceros ............... 117

4.3. Cesión de datos y grupos de empresas ........................................................................ 121

4.4. Cesiones de datos a entidades financieras................................................................... 124

4.5. Cesión de los datos personales de atestados en caso de accidente.............................. 1254.5.1. Cesión de datos de atestado a compañía aseguradora....................... 1254.5.2. Cesión de datos de atestado a los interesados o a sus representantes

legales........................................................................................................... 1274.6. Cesión de datos de asociados a una federación ........................................................... 128

4.7. Conservación y posible cesión de datos por parte de los operadores de telecomunica-ciones a los «agentes facultados» ................................................................................ 128

4.8. El hosting no es una cesión o comunicación de datos ............................................... 132

4.9. Otros posibles supuestos de cesión de datos ............................................................... 132

3Obligaciones formales. inscripción, modificación y supresión de ficherosen el Registro General de Protección de Datos ......................................................... 133

1. Obligación formal de notificación de ficheros. Aproximación normativa ................. 133

2. Requisitos para la inscripción de ficheros y los sistemas de control.......................... 136



Sumario | 15

Página

3. Agrupación de ficheros para la inscripción..................................................................... 136

4. Procedimiento de inscripción, modificación o supresión de ficheros de la AEPD... 1375. Creación, modificación y supresión de ficheros de titularidad pública ..................... 139

6. Forma de realizar las notificaciones de inscripción, modificación y supresión deficheros: Formulario NOTA ................................................................................................ 140

7. Operativa de cumplimentación del formulario NOTA.................................................. 144

7.1. Cuestiones iniciales...................................................................................................... 144

7.2. Responsable del fichero y encargado del tratamiento ................................................. 145

7.3. Identificación y finalidad del fichero............................................................................ 147

7.4. Origen y procedencia de los datos............................................................................... 148

7.5. Tipos de datos, estructura y organización del fichero ................................................ 149

7.6. Medidas de seguridad .................................................................................................. 1507.7. Comunicaciones o cesiones de datos............................................................................ 150

7.8. Transferencias internacionales de datos (TID)............................................................ 151

8. Modificación de la inscripción del fichero previamente inscrito en el RGPD........... 152

9. Supresión de los ficheros inscritos en el RGPD.............................................................. 153

4Acceso a datos por cuenta de terceros. El encargado del tratamiento y surégimen jurídico. Servicios de «cloud computing» .................................................. 155

1. Concepto y aproximación normativa................................................................................ 156

2. Consideración de la existencia de una cesión de datos y no de un acceso a datospor cuenta de terceros.......................................................................................................... 158

3. El contrato de acceso a datos por cuenta de terceros.................................................... 160

4. Implicaciones del responsable y del encargado del tratamiento a lo largo del desa-rrollo de la prestación de los servicios que implican un acceso a los datos ............. 167

4.1. Notificación al Registro General de Protección de Datos........................................... 167

4.2. Información al interesado ............................................................................................ 167

4.3. Ejercicio de derechos ante un encargado del tratamiento........................................... 168

4.4. Supuestos de responsabilidad ...................................................................................... 168

4.5. Plazo de conservación de datos por parte de un encargado del tratamiento ............. 170

4.6. Supuestos de subcontratación del servicio por parte del encargado del tratamiento 171

5. El encargado del tratamiento en la «Guía para una Evaluación del Impacto en laProtección de Datos Personales» propuesta por la AEPD ............................................ 173

6. Supuestos específicos de acceso a datos por cuenta de terceros ................................. 175

6.1. Asesoría o gestoría como encargados del tratamiento ................................................ 175

6.2. Empresa dedicada a servicios de geolocalización como encargada del tratamiento ... 176

6.3. Encargados del tratamiento de control de acceso a edificios ...................................... 176

6.4. Empresa de destrucción documental como encargada del tratamiento...................... 177

6.5. Servicios prestados entre entidades que conforman un mismo grupo empresarial ... 1776.6. El cloud computing y sus implicaciones en materia de protección de datos............. 1786.6.1. Antecedentes históricos de la computación en nube y perspectivas 178



16 | Sumario

Página

6.6.2. Concepto y características definidoras del cloud computing............ 179

6.6.3. Tipos y modalidades de servicios de computación en nube............. 1806.6.4. Problemas y riesgos del cloud computing............................................ 1816.6.5. «Cloud computing» y tratamientos de datos personales. El respon-

sable del tratamiento y el encargado del mismo ................................. 1826.6.6. Servicios de computación en nube en supuestos en los que el pro-

veedor del mismo tiene su sede o domicilio en los Estados Unidos 1886.6.7. Estrategias para el cliente de servicios de computación en la nube 189

5Ejercicio de derechos de acceso, rectificación, cancelación y oposición

(ARCO). Derecho al olvido en internet ......................................................................... 1971. Derechos de acceso, rectificación, cancelación y oposición y excepciones al mismo 198

2. Contenido y alcance de la solicitud de ejercicio de derechos ARCO en materia deprotección de datos............................................................................................................... 200

3. Representación para el ejercicio de derechos ARCO ..................................................... 203

4. Ejercicio de derechos ARCO ante un encargado del tratamiento................................ 204

5. El responsable del fichero y encargado del tratamiento ante un ejercicio de dere-chos ARCO............................................................................................................................. 204

6. Reclamaciones a la AEPD por no atención de los derechos ARCO............................ 205

7. Ejercicio del derecho de acceso.......................................................................................... 2087.1. Derecho de acceso: Concepto y alcance ....................................................................... 208

7.2. Respuesta de un responsable ante un ejercicio del derecho de acceso........................ 211

8. El derecho de rectificación .................................................................................................. 214

9. El derecho de cancelación................................................................................................... 217

10. El derecho de oposición....................................................................................................... 223

11. Impugnación de valoraciones............................................................................................. 226

12. Derecho de exclusión de repertorios telefónicos y de los tratamientos con finespublicitarios ........................................................................................................................... 228

13. Derecho de consulta al Registro General de Protección de Datos............................... 23014. Derecho a obtener una indemnización por perjuicios derivados de violaciones en

materia de protección de datos.......................................................................................... 231

15. Supuestos específicos del ejercicio de derechos de acceso, rectificación, cancelacióny oposición............................................................................................................................. 232

15.1. Acceso a los datos de los fallecidos por parte de sus herederos.................................. 232

15.2. Acceso a datos personales del resto de miembros de una asociación ......................... 233

15.3. Ejercicio del derecho de cancelación respecto a los Libros de Bautismo mantenidos por la Iglesia Católica .................................................................................................. 233

15.4. Ejercicios de derechos ARCO frente a ficheros sometidos a la Ley de Prevención y

bloqueo de la financiación del terrorismo .................................................................... 23515.5. Derecho de cancelación u oposición de datos publicados en diarios y boletines oficia-

les.................................................................................................................................. 236



Sumario | 17

Página

15.6. Derecho de oposición y cancelación ante los buscadores de Internet. Derecho alolvido digital ................................................................................................................ 240

15.7. Derecho de oposición y cancelación ante publicaciones contenidas en blogs o sitiosweb de internet............................................................................................................. 253

15.8. Derecho de oposición y cancelación frente a revistas o medios de prensa ................. 254

6Medidas de seguridad............................................................................................................. 257

1. Obligaciones generales en materia de seguridad de la información .......................... 258

1.1. Encaje normativo básico .............................................................................................. 258

1.2. Principios de seguridad e interpretación jurisprudencial........................................... 259

1.3. Plazo de implantación de las medidas de seguridad................................................... 2611.4. Propuesta de Reglamento Europeo de protección de datos (REPD).......................... 261

2. Niveles de seguridad ........................................................................................................... 262

A. Nivel alto. A ficheros o tratamientos con datos (artículo 83.1 RLOPD) .................. 263

B. Nivel medio. A ficheros o tratamientos con datos: ..................................................... 264

C. Nivel básico .................................................................................................................. 266

D. Aplicación de medidas de seguridad de distinto nivel a un mismo fichero ............... 268

E. Derecho de cancelación, bloqueo y medidas de seguridad .......................................... 268

F. Cuadro resumen de medidas de seguridad y niveles aplicables, atendiendo al tipode ficheros o tratamientos ............................................................................................ 269

3. Niveles y medidas de seguridad en ámbitos específicos.............................................. 2693.1. Nivel de seguridad para tratamientos con datos de menores de edad ....................... 269

3.2. Medidas de seguridad en una página web que trata datos con fines publicitarios.Redes sociales ............................................................................................................... 270

3.3. Medidas de seguridad en medios de comunicación audiovisuales ............................. 270

3.4. Medidas de seguridad en una asesoría fiscal .............................................................. 270

3.5. Medidas de seguridad de los operadores de comunicaciones electrónicas. Quiebrasde seguridad y su notificación a la AEPD ................................................................. 2713.5.1. Medidas de seguridad de los operadores ............................................. 2713.5.2. Quiebras de seguridad y su notificación............................................... 272

3.6. Medidas de seguridad en el software de gestión de clientes ...................................... 2753.7. Declaración de prácticas de certificación y sus implicaciones en materia de seguri-

dad de los datos ............................................................................................................ 275

4. Documento de seguridad y su contenido ........................................................................ 276

4.1. El Documento de seguridad (DS) ............................................................................... 276

4.2. Actualización del documento de seguridad................................................................. 278

4.3. Documento de seguridad y grupo de empresas .......................................................... 278

5. El responsable de seguridad............................................................................................... 278

6. Las concretas medidas de seguridad exigidas para ficheros automatizados y noautomatizados ....................................................................................................................... 279

6.1. Esquemas de las medidas de seguridad de obligatoria implantación tanto para fi-cheros automatizados como no automatizados o en soporte papel ............................. 279

6.2. Delegación de la gestión de la seguridad .................................................................... 283



18 | Sumario

Página

6.3. Funciones y obligaciones del personal en seguridad de la información..................... 284

6.4. Deber de secreto y su alcance...................................................................................... 2876.5. Incumplimientos del personal de las medidas de seguridad....................................... 292

6.6. Medidas de seguridad por parte del prestador de un servicio con acceso a datos personales ..................................................................................................................... 292

6.7. Medidas de seguridad por parte de un prestador de un servicio de seguridad o delimpieza, que no tiene acceso a datos personales ........................................................ 294

6.8. Medidas de seguridad en redes de comunicaciones .................................................... 295

6.9. Seguridad cuando se trabaja fuera de los locales del responsable o se almacenandatos en dispositivos portátiles.................................................................................... 296

6.10. Medidas de seguridad en ficheros temporales o copias de documentos ..................... 297

6.11. Identificación y autenticación. Cambio de contraseñas de acceso.............................. 298

6.12. Control de acceso a los ficheros automatizados........................................................... 3006.12.1. Control de acceso para el nivel básico de seguridad.......................... 3006.12.2. Registro de acceso para el nivel alto de seguridad ............................. 3016.12.3. Control de acceso físico ............................................................................ 303

6.13. Gestión de soportes para un nivel básico de seguridad.............................................. 303

6.14. Registro de entrada y salida de soportes..................................................................... 307

6.15. Gestión y distribución de soportes para un nivel alto de seguridad ......................... 307

6.16. Copias de seguridad o backups .................................................................................... 308

6.17. Incidencias en materia de seguridad de la información ............................................. 309

6.18. Registro de incidencias ................................................................................................ 310

6.19. Medidas de seguridad específicas para ficheros en soporte papel............................... 3136.19.1. Criterio de archivo de ficheros manuales.............................................. 3136.19.2. Dispositivos de almacenamiento............................................................. 3146.19.3. Custodia de los soportes .......................................................................... 3146.19.4. Almacenamiento de la información........................................................ 3146.19.5. Copias y destrucción de documentos .................................................... 3146.19.6. Acceso a la documentación por parte del personal autorizado........ 3166.19.7. Protocolo para el traslado de documentos............................................ 316

7. Auditoría de seguridad ....................................................................................................... 316

7.1. Exigencia de auditoría bienal para niveles medios y altos de seguridad ................... 316

7.2. Figura del auditor de seguridad .................................................................................. 3177.3. Informe de auditoría y su contenido ........................................................................... 317

7.4. Listado de comprobación o checklist, para las auditorías de seguridad o para laverificación de cumplimiento normativo ..................................................................... 319

7.5. ¿Qué debe hacer la empresa u organización una vez que disponga de un informede auditoría de seguridad? .......................................................................................... 326

8. Medidas de seguridad en la Evaluación de Impacto en materia de Protección deDatos (EIPD).......................................................................................................................... 328

8.1. ¿Qué es una Evaluación de Impacto y cuál es su encaje normativo?....................... 328

8.2. Guía de la AEPD para una Evaluación del Impacto en la Protección de Datos

Personales..................................................................................................................... 3299. Análisis de riesgos en la propuesta de Reglamento europeo de protección de datos

(REPD) .................................................................................................................................... 330



Sumario | 19

Página

10. Previsión en la propuesta de Reglamento Europeo de obligatoria notificación deviolaciones de datos a la AEPD y a los interesados, para todos los responsablesde tratamientos, con independencia de que sean proveedores de servicios de co-municaciones electrónicas ................................................................................................... 332

10.1. Distinta obligación de comunicación que la exigida a los proveedores de serviciosde comunicaciones electrónicas.................................................................................... 332

10.2. Obligación de notificación a la autoridad de control.................................................. 332

10.3. Obligación de notificación al interesado ..................................................................... 333

11. Anexo. Modelos de documento de seguridad ................................................................ 334

7Transferencias internacionales de datos ........................................................................ 389

1. Transferencias Internacionales de Datos (TID)................................................................ 390

2. Los movimientos internacionales de datos y su marco regulador.............................. 391

3. Mapa conceptual – transferencias internacionales de datos......................................... 392

4. Excepciones a la norma general de transferencias internacionales de datos............. 393

5. Cuándo se considera que se produce una Transferencia Internacional de Datos(TID)........................................................................................................................................ 396

6. Figuras que operan en una transferencia internacional de datos: exportador e im-portador de datos ................................................................................................................. 397

7. Requisitos para realizar una transferencia internacional de datos.............................. 397

8. Estados con nivel adecuado de protección ...................................................................... 399

9. Suspensión temporal de las transferencias internacionales de datos.......................... 403

10. Transferencias internacionales de datos a estados que no proporcionen un niveladecuado de protección....................................................................................................... 404

11. Las transferencias internacionales de datos y el formulario nota ............................... 407

12. La transferencia internacional de datos y los principios de la protección de datos 409

13. Binding Corporate Rules (BCR) o Normas Corporativas Vinculantes (NCV)........... 41013.1. Procedimiento de elaboración de las BCR................................................................... 41213.2. Ventajas de las BCR .................................................................................................... 412

14. Cloud computing y transferencias internacionales de datos........................................ 41315. Estándares internacionales de privacidad........................................................................ 414

16. Encargado del tratamiento y tid. Obligaciones del responsable del fichero quequiera contar con un encargado del tratamiento para la prestación de un servicio,que implique transferir internacionalmente datos.......................................................... 415

17. Subcontrataciones por parte del encargado del tratamiento y transferencias inter-nacionales de datos............................................................................................................... 416

18. Ubicación de la página web y la base de datos de una empresa en un servidor deestados unidos....................................................................................................................... 416

19. Sanciones por irregularidades en transferencias internacionales de datos................ 417

20. Modelo de contrato de TID entre un responsable y un encargado del tratamiento,de conformidad a lo establecido en la decisión de la Comisión Europea de 5 defebrero de 2010 [2010/87/UE]............................................................................................ 417



20 | Sumario

Página

21. Modelo de contrato para la transferencia de datos personales a los subencargadosdel tratamiento establecidos en terceros países que no garanticen una adecuadaprotección de los datos ........................................................................................................ 427

8La autorregulación en la protección de datos. los códigos tipo......................... 437

1. Objeto y naturaleza de los códigos tipo........................................................................... 437

2. Contenido de los códigos tipo............................................................................................ 440

3. Garantías del cumplimiento de los códigos..................................................................... 442

4. Inscripción de un código tipo............................................................................................. 443

5. Códigos tipo inscritos en españa ....................................................................................... 4456. Códigos tipo de ámbito europeo ....................................................................................... 446

9Infracciones y sanciones ....................................................................................................... 453

1. Introducción........................................................................................................................... 453

2. Infracciones y sanciones ...................................................................................................... 455

3. Graduación de las sanciones............................................................................................... 460

4. Atenuación de la sanción .................................................................................................... 462

5. El apercibimiento .................................................................................................................. 466

6. Régimen transitorio: de la aplicación de la reforma del régimen sancionador de lalopd al régimen sancionador de la les.............................................................................. 470

7. Presunción de inocencia ...................................................................................................... 470

8. Prescripción de las infracciones y sanciones ................................................................... 471

9. Régimen de responsabilidad............................................................................................... 471

10

Procedimientos tramitados por la Agencia Española de Protección de Da-tos .................................................................................................................................................... 473

1. Introducción y encaje normativo de los procedimientos tramitados por la AEPD.. 473

2. Representación....................................................................................................................... 475

3. Publicidad de las resoluciones de la AEPD..................................................................... 475

4. Procedimiento de tutela de derechos de acceso, rectificación, cancelación u oposi-ción .......................................................................................................................................... 476

5. Procedimientos relativos al ejercicio de la potestad sancionadora.............................. 478

5.1. Actuaciones previas de los inspectores de la AEPD .................................................. 478

5.2. Valor de las actas de inspección de los inspectores de la AEPD ............................... 4815.3. Procedimiento sancionador .......................................................................................... 482

5.4. Inmovilización de ficheros............................................................................................ 486



Sumario | 21

Página

6. Legitimación para recurrir en vía jurisdiccional resoluciones de la AEPD e indefen-sión por defectos procedimentales .................................................................................... 487

6.1. Legitimación para recurrir en vía jurisdiccional ........................................................ 487

6.2. Indefensión por defectos procedimentales.................................................................... 488

7. Procedimiento de exención del deber de información al interesado .......................... 488

8. Procedimiento para la conservación de datos con fines históricos, estadísticos ocientíficos................................................................................................................................ 489

11Autoridades en protección de datos (nacional, autonómicas, comunitariase internacionales ...................................................................................................................... 491

1. La agencia española de protección de datos ................................................................... 492

1.1. La agencia..................................................................................................................... 492

1.2. ¿Tiene la agencia española de protección de datos competencia para restringir la publicidad de una sentencia del Tribunal Constitucional? ........................................ 494

1.3. ¿Es competente la agencia para resolver una reclamación de tutela del derecho decancelación y oposición a la publicidad de las resoluciones del Tribunal Constitucio-nal?............................................................................................................................... 496

1.4. El director de la Agencia Española de Protección de Datos ...................................... 496

1.5. Consejo consultivo de la Agencia Española de Protección de Datos......................... 4991.6. El Registro General de Protección de Datos (RGPD)................................................ 499

1.7. Subdirección General de Inspección de Datos (SGI) –la inspección de datos-.......... 500

1.8. Secretaría General de la agencia ................................................................................. 500

1.9. Régimen económico, patrimonial y de personal de la Agencia Española de Protec-ción de Datos ............................................................................................................... 500

2. Agencias autonómicas de protección de datos ............................................................... 501

2.1. Autoridad catalana de protecció de dades – Autoridad catalana de protección dedatos (APDCAT) ......................................................................................................... 502

2.2. Datuak Babesteko Euskal Bulegoa – Agencia Vasca de Protección de Datos (AVPD) 5033. Supervisor Europeo de Protección de Datos (SEPD)..................................................... 504

4. Comité consultivo del Convenio nº 108 ........................................................................... 505

5. Grupo de trabajo del artículo 29........................................................................................ 506

6. La Europol.............................................................................................................................. 506

7. Autoridad común de control de Schengen ...................................................................... 508

8. Autoridad común de control en el sistema de información aduanero....................... 509

9. Autoridad común de control Eurojust.............................................................................. 510

10. Red Global de Control de la Privacidad (Global Privacy Enforcement Network –GPEN)..................................................................................................................................... 511



24 | Sumario

Página

12.3. Regulación en España del uso de las cookies.............................................................. 615

12.4. Guía de la AEPD sobre el uso de las cookies ............................................................. 61612.5. Las «cookies» y la autorregulación de la publicidad online en Europa..................... 617

15Relaciones laborales y protección de datos ................................................................. 619

1. Procesos de selección de personal y su implicación en protección de datos ............ 620

2. Portales de empleo a través de Internet........................................................................... 622

3. Derecho de información en materia de protección de datos en los contratos de

trabajo ..................................................................................................................................... 6234. Fichero de control sobre el absentismo laboral con datos de salud de los trabajado-

res............................................................................................................................................. 630

5. Prevención de riesgos laborales y protección de datos................................................. 631

5.1. Tratamientos de datos personales en la función de prevención de riesgos laborales. 631

5.2. Servicios de prevención de riesgos laborales............................................................... 632

5.3. Consideración de datos de salud y medidas de seguridad.......................................... 633

5.4. Acceso de los delegados de prevención a datos de salud ............................................ 634

6. Función de las organizaciones sindicales y sus implicaciones en materia de protec-

ción de datos.......................................................................................................................... 6356.1. Cesión de datos personales de trabajadores a organizaciones sindicales.................... 635

6.2. Remisión de información sindical por correo electrónico a los trabajadores ............. 636

6.3. Publicación de información sindical que incorpore datos personales de trabajadoresen los tablones de anuncios o en la intranet corporativa ........................................... 638

7. Comunicación de datos de trabajadores al comité de empresa................................... 639

8. Cesión de datos de los trabajadores con el fin de suscribir seguros de vida y planesde pensiones .......................................................................................................................... 641

9. Cesión de datos de trabajadores a contratistas............................................................... 641

10. Agencias de colocación y tratamiento de datos de los trabajadores........................... 642

11. Derecho a la intimidad y al secreto a las comunicaciones en la intervención empre-sarial de los medios informáticos ...................................................................................... 642

12. Videovigilancia en el centro de trabajo............................................................................. 651

13. Sistemas de geolocalización de los trabajadores............................................................. 657

13.1. Estudio general de los requisitos, en materia de protección de datos, sobre sistemasde geolocalización de los trabajadores ......................................................................... 657

13.2. Geolocalización de escoltas mediante localizador GPS............................................... 659

13.3. Utilización en los vehículos de policía de sistemas de geolocalización a través deGPS .............................................................................................................................. 659

14. Sistema de denuncias internas en las empresas «whistleblowing»............................. 661



Sumario | 25

Página

16Abogados, procuradores y mediadores y las implicaciones en materia deprotección de datos................................................................................................................. 665

1. Cambio de paradigma en los despachos de abogados y procuradores ..................... 666

2. Determinación del responsable del fichero y/o tratamiento en las distintas formasde ejercicio de la abogacía................................................................................................... 666

3. Obligaciones formales para profesionales del Derecho................................................. 669

4. Principios de consentimiento e información respecto a los clientes de un abogado/procurador y de la contraparte en un proceso judicial ................................................. 669

4.1. Tratamientos de datos de los propios clientes ............................................................. 669

4.2. Tratamientos de datos de la contraparte en un proceso ............................................. 670

4.3. Responsabilidad penal del abogado por aportación de documentos, obtenidos irregu-larmente por su cliente, en procedimientos judiciales ................................................ 672

5. Ejercicio de derechos ante un abogado o procurador.................................................... 673

6. Medidas de seguridad en un despacho de abogados o procuradores ....................... 674

6.1. Introducción ................................................................................................................. 674

6.2. Clasificación de las medidas de seguridad .................................................................. 675

6.3. Aspectos a considerar derivados de la Ley de Blanqueo de Capitales........................ 677

7. Acceso del abogado a datos por cuenta de terceros ...................................................... 678

8. Cesión de datos del turno de oficio a los colegios de abogados ................................. 6799. Comunicación de datos de los colegios de Abogados y Procuradores al Consejo

General del Poder Judicial .................................................................................................. 679

10. Cesión de datos de letrados, por parte de los colegios de abogados, a la agenciatributaria con ocasión de los dictámentes emitidos ante la impugnación de costas judiciales................................................................................................................................. 680

11. Cloud computing o servicios en la nube para abogados .............................................. 681

12. Publicación de sentencias íntegras con inclusión de los nombres de los profesiona-les intervinientes en repertorios de jurisprudencia y en publicaciones jurídicas ..... 682

13. Guías de abogados y procuradores como fuentes accesibles al público .................... 682

14. Publicidad y comunicaciones comerciales por medios electrónicos por parte de losabogados................................................................................................................. ................ 684

15. Uso de WhatsApp como medio de comunicación entre abogados y procuradoresy sus clientes.......................................................................................................................... 686

16. Reclamaciones entre abogados con el trasfondo de la LOPD...................................... 687

17. Ficheros ilegales de abogados sospechosos por razón de las defensas asumidas.... 688

18. Publicidad del Registro de la Propiedad versus protección de datos ........................ 689

18.1. Acreditación del interés legítimo................................................................................. 689

18.2. Límites de la normativa de protección de datos.......................................................... 690

18.3. Actuación del registrador a la hora de calificar.......................................................... 691

19. La mediación y las obligaciones en materia de protección de datos.......................... 691

19.1. Introducción y aproximación normativa..................................................................... 691



26 | Sumario

Página

19.2. La confidencialidad en la mediación............................................................................ 692

17Tratamientos de datos personales relacionados con la salud .............................. 695

1. Consideración de datos de carácter personal relacionados con la salud ................... 696

2. Necesidad de obtención de consentimiento expreso del afectado para tratar susdatos personales.................................................................................................................... 696

3. Ejercicios de derechos de acceso, rectificación, cancelación y oposición frente atratamientos de datos relacionados con la salud............................................................ 697

3.1. Aspectos generales del derecho de acceso a la historia clínica ................................... 697

3.2. Alcance del derecho de acceso a la historia clínica ..................................................... 698

3.3. Historia clínica de los pacientes fallecidos.................................................................. 698

3.4. Acceso a la historia clínica de un menor por uno de los padres................................ 698

3.5. Acceso a la historia clínica de pacientes por parte del personal sanitario................. 700

3.6. Rectificación de datos identificativos en la historia clínica por cambio de sexo........ 701

4. Conservación y cancelación del historial clínico............................................................. 702

5. Medidas de seguridad en ficheros con datos personales relacionados con la salud 704

5.1. Introducción ................................................................................................................. 704

5.2. Nivel de seguridad, custodia y conservación de la historia clínica ........................... 704

5.3. Medidas de seguridad en un fichero de implantes de productos sanitarios............... 706

6. Herramientas informáticas de prescripción de medicamentos genéricos .................. 7067. Implicaciones en materia de protección de datos de las actividades relacionadas

con la utilización de células y tejidos humanos.............................................................. 707

8. Facultativos que tienen alquilada una consulta en un centro de salud ..................... 708

9. Utilización de datos de salud en los contratos de seguro............................................. 708

10. Cesión de datos de salud por los centros sanitarios a la compañía aseguradora .... 709

11. Cesión de la historia clínica a un Tribunal Eclesiástico................................................. 710

12. Comunicación a Tráfico de los datos relativos a personas a las que se ha declaradoen situación de incapacidad pero mantienen su permiso de conducir ...................... 710

13. Recetas médicas, órdenes de dispensación y sus implicaciones en materia de pro-tección de datos..................................................................................................................... 711

14. Recomendaciones e informes a centros sanitarios.......................................................... 713

14.1. Recomendaciones resultantes del Informe de cumplimiento de la LOPD en Hospita-les, de la AEPD, de octubre de 2010 .......................................................................... 713

14.2. Estudio sobre la privacidad y la seguridad de los datos personales en el sectorsanitario español del INTECO y la APD de la Comunidad de Madrid ................... 714

18Colegios y centros de formación ...................................................................................... 717

1. Introducción. La protección de datos en los centros educativos ................................. 718

2. Centros de educación reglada (no universitaria) y tratamiento de datos personales 719



Sumario | 27

Página

3. La declaración de ficheros ................................................................................................. 720

4. El tratamiento de datos por los centros educativos....................................................... 7215. Medidas de seguridad. Algunos supuestos especiales.................................................. 723

5.1. Deber de información y medidas de seguridad ........................................................... 723

5.2. Fichero con datos personales de los alumnos.............................................................. 723

5.3. Fichero de alumnos matriculados en la asignatura de religión ................................. 724

5.4. Nivel de seguridad exigible a los ficheros de alumnos de una universidad .............. 724

5.5. Medidas de seguridad aplicables al campus virtual de un centro educativo............. 725

6. Derechos de acceso, rectificación, cancelación u oposición (arco) ............................... 727

6.1. Acceso por parte de los padres a las calificaciones de sus hijos................................. 727

6.2. Derecho de acceso a documentos e informes sobre la evolución de un menor en unaescuela infantil ............................................................................................................. 728

6.3. Ejercicio de derechos ante un colegio público por parte de un alumno menor deedad............................................................................................................................... 729

6.4. Puesto que existe una relación contractual entre el colegio y los padres que no puede ser asumida por el menor, ¿es lícito facilitar dichas calificaciones a los padrescomo resultado de los servicios contratados?.............................................................. 730

7. Publicación de datos personales en la web de un centro educativo........................... 730

7.1. Eliminación de fotos de menores de la web de un colegio.......................................... 730

7.2. Publicación de datos personales de profesores en el sitio web de una universidad ocentro de formación. Denegación del ejercicio del derecho de oposición.................... 731

8. Videovigilancia en los colegios........................................................................................... 7329. Cámaras en centros infantiles............................................................................................. 734

19Tratamientos de datos personales en la Administración Pública ....................... 735

1. Los ficheros de naturaleza pública y ámbito de aplicación de la LOPD ................... 736

2. Creación, modificación y supresión de ficheros de titularidad pública y su notifi-cación al Registro General de Protección de Datos........................................................ 738

2.1. Formulario NOTA para la notificación de la inscripción de ficheros públicos ......... 743

2.2. Formulario NOTA para la modificación de la inscripción de ficheros públicos ........ 7472.3. Formulario NOTA para la supresión de ficheros públicos......................................... 748

3. Cesiones o comunicaciones de datos en el ámbito de la Administración Pública ... 748

3.1. Aspectos generales sobre las comunicaciones de datos entre administraciones públi-cas y su encaje normativo ........................................................................................... 748

3.2. Comunicaciones de datos, por medios electrónicos, en la Administración Electrónica 749

3.3. Cesión de datos a la Administración Tributaria......................................................... 750

3.4. Cesión de datos de personas hospedadas a las Fuerzas y Cuerpos de Seguridad delEstado ........................................................................................................................... 752

3.5. Cesión de datos del Padrón a las Administraciones Públicas y a las Fuerzas y

Cuerpos de Seguridad .................................................................................................. 7533.6. Cesión de datos del Registro de vehículos a las Fuerzas y Cuerpos de Seguridad del

Estado ........................................................................................................................... 755



28 | Sumario

Página

3.7. Cesiones de datos personales en un expediente de contratación................................ 756

4. Supuestos específicos en la Administración Pública y principios de protección dedatos........................................................................................................................................ 757

4.1. ¿Se requiere el consentimiento de las personas que aparecen en fotografías en unconcurso organizado por un Ayuntamiento? ¿Sería necesario recabar su consenti-miento para publicar la foto ganadora en una revista? ............................................. 757

4.2. Consentimiento de los interesados presentes en un Pleno de un Ayuntamiento para poder grabar el mismo para posteriormente publicarlo en una página web en Inter-net................................................................................................................................. 758

4.3. Información contenida en el Catastro y datos personales .......................................... 759

4.4. ¿Están las Fuerzas y Cuerpos de Seguridad del Estado autorizadas legalmente paraacceder a un aparcamiento y proceder a registrar las matrículas de los vehículosestacionados?................................................................................................................ 761

5. Transparencia, acceso a la información pública y protección de datos ...................... 761

6. Ejercicio de derechos y supuestos concretos ................................................................... 770

6.1. Derecho de acceso a informe psicológico por parte de un preso................................. 770

6.2. Derecho de cancelación frente a la Dirección General de Instituciones Penitenciarias 770

6.3. Derecho de acceso a un atestado de la policía............................................................. 771

6.4. Impugnación de valoraciones en procesos de adopción .............................................. 771

6.5. Derecho de los ciudadanos en la Administración Electrónica ................................... 772

6.6. Derecho de cancelación de datos ante los Registros administrativos de apoyo a la Administración de Justicia .......................................................................................... 773

7. Acceso a datos por cuenta de terceros en la Administración Pública........................ 7787.1. Contrato escrito de acceso a datos por cuenta de terceros en el ámbito de la contrata-

ción pública .................................................................................................................. 778

7.2. Entidad adjudicataria de la prestación de un servicio de atención telefónica a muje-res víctimas de violencia de género ............................................................................. 780

7.3. Entidades colaboradoras en la función de intermediación en la adopción internacio-nal como encargadas del tratamiento .......................................................................... 780

7.4. Acceso a datos personales del padrón por parte de una empresa pública, por cuentadel Ayuntamiento......................................................................................................... 781

8. Medidas de seguridad en ficheros públicos .................................................................... 782

8.1. Medidas de seguridad en un fichero de titularidad pública....................................... 782

8.2. Medidas de seguridad en la Administración Electrónica........................................... 7838.3. Medidas de seguridad en el sistema de registros administrativos de apoyo a la

Administración de Justicia .......................................................................................... 783

8.4. Esquema Nacional de Seguridad en la «e-Administración» ...................................... 784

9. El «cloud computing» en las administraciones públicas............................................... 785

10. Entidades locales y ficheros de solvencia patrimonial y crédito ................................. 787

11. La Base de Datos Nacional de Subvenciones .................................................................. 788

12. Base de datos policial sobre identificadores obtenidos a partir del ADN y derechodel interesado a acceder o cancelar sus datos................................................................. 789

13. Ejercicio de derechos ante ficheros policiales de investigación.................................... 79614. Sistema Integrado de Gestión Operativa, Análisis y Seguridad Ciudadana (SIGO)

de la Guardia Civil ............................................................................................................... 806



Sumario | 29

Página

15. Reutilización de la información del sector público ........................................................ 807

16. Remisión de mensajes SMS y MMS por parte de una fundación del sector público 80917. Infracciones de la LOPD en ficheros de titularidad pública......................................... 810

20Comunidades de propietarios, administradores de fincas y sus obligacionesen materia de protección de datos .................................................................................. 813

1. Aproximación normativa..................................................................................................... 814

1.1. Ficheros y comunidades de propietarios...................................................................... 814

1.2. La comunidad de propietarios como «responsable del fichero» y el administrador de

fincas como «encargado del tratamiento» ................................................................... 8142. Obligación formal de las comunidades de propietarios: inscripción de sus ficheros 819

3. Principios de consentimiento, información y calidad de los datos de los propieta-rios........................................................................................................................................... 819

4. Cesiones de datos de los propietarios a terceros y entrega a los propietarios dedocumentación relativa a la gestión y administración del inmueble.......................... 820

5. Ejercicio de derechos de acceso, rectificación, cancelación u oposición (arco) frentea la comunidad...................................................................................................................... 823

6. Medidas de seguridad sobre los ficheros de la comunidad de propietarios............. 823

7. Deber de secreto de la comunidad de propietarios y del administrador de la finca

en el tratamiento de datos personales .............................................................................. 8248. Comunicaciones, tablones de anuncios y protección de datos .................................... 825

8.1. Sanción de apercibimiento ........................................................................................... 827

8.2. Principio de calidad de los datos tratados por la comunidad en las comunicacionesen el tablón de anuncios .............................................................................................. 828

8.3. Exposición pública de comunicaciones recibidas por el presidente de la comunidad 828

8.4. Remisión a propietarios, de forma periódica, de una relación de comuneros morosos 829

8.5. Derecho al honor y exposición pública de datos de propietarios morosos ................. 829

9. Videovigilancia en las comunidades de propietarios..................................................... 830

9.1. Quórum necesario para la aprobación en junta general de la instalación de unsistema de videovigilancia ........................................................................................... 831

9.2. Requisitos jurisprudenciales que habilitan la instalación de sistemas de videovigi-lancia (también en una comunidad de vecinos) .......................................................... 831

9.3. Requisitos para instalar en una comunidad de propietarios un sistema de videovigi-lancia ............................................................................................................................ 831

9.4. Aspectos a tener en cuenta cuando se pretenda instalar un sistema de videovigilan-cia en una comunidad de propietarios, respecto a la captación de imágenes, cartele impreso informativo y finalidad de los tratamientos ............................................... 833

9.5. Cartel informativo........................................................................................................ 833

9.6. Impresos informativos.................................................................................................. 833

9.7. Principio de finalidad................................................................................................... 834

9.8. Inscripción en el registro de protección de datos de un sistema de videovigilancia . 834

9.9. Nivel de seguridad a ficheros de videovigilancia........................................................ 835



30 | Sumario

Página

9.10. Videovigilancia en plazas de garaje............................................................................. 835

10. El administrador de fincas y la protección de datos...................................................... 836

21Internet, redes sociales y protección de datos ........................................................... 839

1. Riesgos para la privacidad en las redes sociales ............................................................ 840

2. Redes sociales como responsables del tratamiento. Jurisdicción aplicable y ámbitode aplicación.......................................................................................................................... 841

3. Usuarios de las redes sociales y su condición desde la perspectiva de la protecciónde datos .................................................................................................................................. 843

4. Legitimación para el tratamiento y cumplimiento del principio de información porparte de las redes sociales................................................................................................... 845

5. Menores de edad y el tratamiento de sus datos por las redes sociales...................... 846

6. Derechos de acceso, rectificación, cancelación u oposición ante la red social........... 848

7. Conservación de los datos por la red social.................................................................... 848

8. Medidas de seguridad en redes sociales .......................................................................... 848

9. La instalación de cookies en una red social y el consentimiento del usuario........... 849

10. Redes sociales como plataformas para el envío de correos electrónicos no deseados 850

11. Datos personales de fallecidos en las redes sociales...................................................... 850

12. Control del uso de las redes sociales en las empresas .................................................. 85113. Protección civil y penal de la violación de los derechos al honor, la intimidad y la

propia imagen a través de Internet y las redes sociales................................................ 854

13.1. Suplantación de identidad en las redes sociales.......................................................... 855

13.2. Descubrimiento y revelación de secretos..................................................................... 856

13.3. Delitos contra el honor ................................................................................................ 857

13.4. Extorsión y amenazas.................................................................................................. 858

14. La Dirección IP como dato de carácter personal ............................................................ 859

15. Internet no se considera como una fuente accesible al público ................................... 861

16. Privacidad en las aplicaciones móviles............................................................................. 861

17. Internet de las cosas............................................................................................................. 864

18. Actuaciones más destacadas de la AEPD en el ámbito de Internet............................ 865

IÍndice Analítico ......................................................................................................................... 871



Abreviaturas A ACC Autoridad de Control Común ADR Alternative Dispute Resolution Systems AENOR Asociación Española de Normalización y Certificación AEPD Agencia Española de Protección de Datos ANECA Agencia Nacional de Evaluación de la Calidad y Acreditación AP/AA.PP. Administración Pública/Administraciones Públicas APDCAT Autoridad Catalana de Protección de Datos (Autoridad Catalana

de Protecció de Dades) APDCM Agencia de Protección de Datos de la Comunidad de Madrid ARCO Acceso, Rectificación, Cancelación y Oposición (derechos) ASIA Asociación de Auditores de Sistemas de Información ASNEF Asociación Nacional de Entidades de Financiación AVPD Agencia Vasca de Protección de Datos AWS Servicios Web de Amazon (Amazon Web Services)BADEXCUG Base de Datos Experian Closed Users GroupBCR Binding Corporate RulesBD Base de datosBDNS Base de Datos Nacional de SubvencionesBOP Boletín Oficial de la ProvinciaBORME Boletín Oficial del Registro MercantilBSI British Standards InstitutionCCI Centro de Cooperación InterbancariaCE Constitución españolaCECU Confederación Española de Consumidores y UsuariosCEDH Comisión Estatal de Derechos HumanosCGAE Consejo General de la Abogacía EspañolaCIF Código de Identificación Fiscal

CIR Central de Información de RiesgosCIRBE Central de Información de Riesgos del Banco de EspañaCIRCE Centro de Información y Red de Creación de EmpresasCISA Certified Information System AuditorCISM Certified Information Security ManagerCMT Comisión del Mercado de las TelecomunicacionesCNAE Clasificación Nacional de Actividades EconómicasCNI Centro Nacional de InteligenciaCNIL Comission Nationale de l'Informatique et des Libertés (Francia)CP Código PenalCPD Centro de proceso de datosCTI Cálculo y Tratamiento de la Información (empresa)

DGIP Dirección General de Instituciones PenitenciariasDIN «Das ist Norm», prefijo de norma internacionalDNS Sistema de nombre de dominio de Internet



32 | Abreviaturas

DOUE Diario Oficial de la Unión EuropeaDS Documento de SeguridadDSL Línea digital

DUE Documento Único ElectrónicoEEE Espacio Económico EuropeoEIPD Evaluación de Impacto en la Protección de Datos PersonalesENI Esquema Nacional de InteroperabilidadENS Esquema Nacional de SeguridadEP «Incidencia en proceso»ERP Enterprise resource planning, o sistemas de planificación de recur-

sos empresarialesEUDEL Asociación de Municipios Vascos – Euskadiko Udalen ElkarteaFAP Fuente de acceso públicoFAQ Preguntas más frecuentes (Frecuently Asked Questions)FEDMA Federation of European Direct Marketing

FJ Fundamento JurídicoFTC Federal Trade Commission (Oficina Internacional de Comercio de

EE.UU.)GPEN Red Global de Control de la Privacidad (Global Privacy Enforce-

ment Network)IasS Infraestructura como servicio (Infrastructure as a Service)ICO Instituto de Crédito OficialIMEI Código pregrabado en los teléfonos móviles GSM que sirve para

la identificación del aparatoIMSI International Mobile Subscriber Identity (código de identificación

de la tarjeta SIM de los teléfonos móviles)INCIBE Instituto Nacional de Ciberseguridad (INCIBE)INTECO Instituto Nacional de Tecnologías de la ComunicaciónIoT Internet de las cosas (Internet of Things)IP Internet ProtocolISACA Information Systems Audit and Control AssociationISFAS Instituto Social de las Fuerzas ArmadasISO Organización Internacional de Normalización JUR Referencia de base de datos de jurisprudenciaLCEur Legislación de las Comunidades EuropeasLGT Ley 9/2014, de 9 de mayo, General de las TelecomunicacionesLOPD Ley Orgánica de Protección de Datos de carácter personalLORTAD Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Trata-

miento Automatizado de Datos de Carácter PersonalLPBC Ley 10/2010, de 28 de abril, de Prevención del Blanqueo de Capi-tales

LPH Ley de Propiedad HorizontalLRISP Ley 37/2007, de 16 de noviembre, sobre reutilización de la infor-

mación del sector públicoLRJPA/LRJPAC Ley 30/1992, de 25 de noviembre, de Régimen Jurídico de las

administraciones Públicas y del Procedimiento Adminstrativo Co-mún

LSP Ley 5/2014, de 4 de abril, de Seguridad PrivadaLSSICE Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la

Información y de Comercio Electrónico

LT Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a laInformación Pública y Buen GobiernoMMS Multimedia Messaging System, o mensaje enviado por este sistema



Abreviaturas | 33

MUFACE Mutualidad General de Funcionarios Civiles del EstadoMUGEJU Mutualidad General JudicialNCV Normas Corporativas Vinculantes

NIE Número de Identificación de ExtranjerosNIF Número de Identificación FiscalNIST National Institute of Standards and Technology OCDE Organización para la Cooperación y el Desarrollo EconómicoODR On-line Dispute ResolutionOMIC Oficina Municipal de Información al ConsumidorONG Organización no gubernamentalONTSI Observatorio Nacional de las Telecomunicaciones y de la Sociedad

de la InformaciónPaaS Plataforma como Servicio (Platform as a Service)PAE Punto de Asesoramiento al EmprendedorPDF Portable Document Format (formato estándar de almacenamiento

de documentos desarrollado por la empresa Adobe)PERPOL Fichero de datos personales del Cuerpo Nacional de PolicíaPIA Privacy Impact Assessment PIAC Privacy Impact AnalysisPNR Passenger Name Records, código de identificación de viajeros en

EE.UU.PSC Prestador de servicios de certificación electrónicaR ResoluciónRAI Registro de Adeudos ImpagadosRCL Repertorio Cronológico de Legislación AranzadiRD Real decretoRDL Real decreto legislativoREPD Reglamento Europeo de Protección de DatosRFID Radio Frequency IdentificationRGPD Registro General de Protección de DatosRJCA Referencia de base de datos de jurisprudenciaRLOPD Real Decreto 1720/2007, por el que se aprueba el Reglamento de

desarrollo de la Ley Orgánica de Protección de Datos de carácterpersonal

RMS Reglamento de Medidas de SeguridadRPPS Reglamento del Procedimiento para el Ejercicio de la Potestad

Sancionadora, aprobado por Real Decreto 1398/1993RR.HH. Recursos Humanos

RS/RRSS Red social/redes socialesRTC Recurso ante el Tribunal ConstitucionalSaaS Software como Servicio (Software as a Service)SAID Sistema Automatizado de Identificación DactilarSAN/SSAN Sentencia/s de la Audiencia NacionalSAS Servicio Andaluz de SaludSEC Agencia Federal de supervision de los mercados financieros de

EE.UU.Sepblac Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de

CapitalesSEPD Supervisor Europeo de Protección de DatosSETSI Secretaría de Estado de Telecomunicaciones y para la Sociedad de

la InformaciónSGCN Sistema de Gestión de la Continuidad del NegocioSGSI Sistema de Gestión de la Seguridad



34 | Abreviaturas

SIGO Sistema Integrado de Gestión Operativa, Análisis y Seguridad Ciu-dadana de la Guardia Civil

SLA Acuerdo de nivel de servicio

SMS Short Message Service (por extensión, mensaje corto de texto enviado entre teléfonos móviles)SSL Secure Socket Layer (protocolo que constituye un canal seguro de

cifrado de documentos)STC Sentencia del Tribunal ConstitucionalTAB Tribunal Arbitral de BarcelonaTCP Transmission Control ProtocolTD Tutela de derechos (procedimiento)TEDH Tribunal Europeo de Derechos HumanosTFTP Programa de Seguimiento de la Financiación del TerrorismoTID Transferencia internacional de datosTJUE Tribunal de Justicia de la Unión Europea

TJCE Tribunal de Justicia de las Comunidades EuropeasTSJ Tribunal Superior de JusticiaURL Uniform Resource LocatorUTE Unión Temporal de Empresas

Practicum Protección de Datos

Documents

Transcript of Practicum Protección de Datos