El nuevo Reglamento (UE) 2016/679 del Parlamento y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, deroga a la Directiva 95/56/CE, y establece un nuevo marco de cumplimiento en esta materia. Dicho Reglamento pese a ser esencialmente continuista con relación al modelo anterior, si establece nuevas pautas que deben ser observadas, por los responsables y encargados de tratamiento, que gozan de una mayor autonomía en el cumplimiento de la nueva legalidad, pero sobre quienes pesa una mayor responsabilidad al tener que acreditar las decisiones que se adopten relativas a los tratamientos de datos, con la consiguiente aportación en caso de conflicto de aquellas evidencias que justifiquen las mismas. Esta Obra trata de ayudar en esta tarea de acreditación de tales decisiones en materia de protección de datos, posibilitando un modelo sostenible de creación de dichas evidencias, mediante un cumplimiento asequible, que permita facilitar un mayor conocimiento del Reglamento (UE) de una manera accesible para todas las empresas y para los demás responsables y encargados de tratamiento.
PARTE I
CONSIDERACIONES GENERALES
a) Introducción.............................................................................................................. 13
b) El ámbito de aplicación del Reglamento General........................................ 19
b.1) Ámbito material de aplicación................................................................. 19
b.2) Ámbito territorial de aplicación............................................................... 20
c) Los principios a tener en consideración en la implantación del Reglamento
General de Protección de Datos........................................................... 22
c.1) El principio de responsabilidad proactiva............................................ 23
c.2) El enfoque de riesgo..................................................................................... 38
c.3) La confianza y la transparencia en los tratamientos de datos de
carácter personal........................................................................................... 69
c.4) Mayor autorregulación o estandarización en sus determinaciones
para el responsable. Especial consideración de las medidas
de seguridad................................................................................................... 78
c.5) Régimen sancionador y un mayor alcance de las sanciones......... 84
c.6) El Compliance en el nuevo régimen de protección de datos:
sanción vs. contratación............................................................................. 91
d) La necesidad de una metodología para la implantación del Reglamento
General de Protección de Datos........................................................... 95
e) Los objetivos en la implantación de dicha metodología.......................... 99
e.1) El cumplimiento de la legalidad vigente.............................................. 99
e.2) La acreditación del cumplimiento de la legalidad vigente............ 104
e.3) La acreditación de todas aquellas otras actividades llevadas a
cabo por el responsable o/y el encargado del tratamiento en
materia de “privacidad”, como muestra de diligencia...................... 105
f ) El Registro General de Protección de Datos: Introducción y características...............................................................................................................
............... 107
g) La firma digital y su utilización............................................................................ 114
h) El contenido del “Registro General de Protección de Datos”.................... 118
i) El registro general de actividad para el encargado de tratamiento...... 120
PARTE II
CONTENIDO DEL REGISTRO GENERAL DE ACTIVIDADES DE
PROTECCION DE DATOS
A) Desglose de Carpetas..................................................................................................... 123
1. Apertura del Registro General de Actividades de Protección de Datos...... 123
a) Introducción.............................................................................................................. 124
8 Índice
b) Código de buenas prácticas en materia de protección de datos........... 125
c) Declaraciones institucionales de apertura del registro general de actividades
de protección de datos....................................................................... 131
d) Código de Conducta del Encargado o Responsable del Tratamiento.. 131
e) Políticas y procedimientos de gestión del registro general de protección
de datos............................................................................................................. 132
2. Ficheros y tratamientos................................................................................................. 161
a) Los conceptos de “fichero” y de “tratamiento”............................................... 161
b) Los ficheros privados inscritos en el Registro General de Protección
de Datos de la Agencia Española de Protección de Datos........................ 163
c) Los ficheros públicos inscritos en el Registro General de Protección
de Datos de la Agencia Española de Protección de Datos........................ 164
d) La incorporación al Registro General de Actividades, de los ficheros
inscritos en el Registro General de Protección de Datos de la Agencia
Española de Protección de Datos al Registro General de Actividad en
materia de protección de datos de la Entidad.............................................. 166
e) La incorporación de los tratamientos del Responsable, o del Encargado
del Tratamiento al Registro General de Actividad en materia de
protección de datos de la Entidad..................................................................... 167
f ) Incorporación al Registro General de Actividad de los nuevos ficheros
y tratamientos que genere el Responsable, o el Encargado del Tratamiento
a partir de la fecha del 25 de mayo de 2018................................... 167
3. La seguridad de la información y de los datos...................................................... 169
a) La incorporación al Registro General de Actividad del “documento de
seguridad” elaborado por la empresa de conformidad con lo previsto
en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre........... 170
b) Los protocolos y tratamientos establecidos por el Responsable o el
Encargado del Tratamiento en materia de seguridad de la información...................................................................................................................
............ 185
c) Las medidas de seguridad técnicas y organizativas.................................... 203
d) Las incidencias y contingencias producidas en riesgo a la seguridad
de los datos................................................................................................................ 206
e) Las llamadas “fugas de información” o “brechas de seguridad” y la
obligación de proceder a su notificación a la Agencia Española de
Protección de Datos o a la autoridad de control correspondiente........ 210
f ) Comunicación de una violación de la seguridad de los datos personales
al interesado........................................................................................................ 219
4. Estructura del órgano de la protección de datos................................................. 223
5. Protocolos generales de actuación........................................................................... 243
6. Protocolos y tratamientos en el ámbito de los Recursos Humanos.............. 247
7. Protocolos y tratamientos en el ámbito de los clientes y consumidores,
socios comerciales y ciudadanos............................................................................... 263
a) Los datos de los clientes, de los consumidores y de los ciudadanos.... 264
Índice 9
b) Los datos de los socios comerciales y los contratos suscritos con ellos,
que lleven consigo el tratamiento de datos de carácter personal......... 266
8. Protocolos y Tratamientos en el ámbito de las relaciones corporativas...... 271
a) Políticas y tratamientos relativos al Consejo de Administración a la
Junta General............................................................................................................. 271
b) Políticas relativas a códigos de conducta y canales éticos o de denuncias.....................................................................................................................
........... 272
c) Registro de poderes notariales y apoderamientos...................................... 272
d) Políticas y tratamientos relativas a la implementación de políticas de
responsabilidad social empresarial o de responsabilidad social corporativa...................................................................................................................
.... 273
e) Políticas en materia de reorganización de sociedades y grupos de
empresas, así como la liquidación de las mismas........................................ 279
9. Nuevos proyectos y estrategias que conlleven tratamientos de datos de
carácter personal............................................................................................................. 281
a) Nuevos proyectos de toda índole que conlleve el tratamiento de datos
de carácter personal........................................................................................ 282
b) Las Evaluaciones de Impacto............................................................................... 283
c) La realización de una consulta previa a la Agencia Española de Protección
de Datos....................................................................................................... 286
d) La adopción de las medidas paliativas que determine la autoridad de
control......................................................................................................................... 289
10. Políticas y Tratamientos relativos a los contratos de prestación de servicios
y a los tratamientos de datos por terceros.................................................... 291
a) La homologación de proveedores..................................................................... 292
b) Los prestadores de servicios o proveedores como Encargados del Tratamiento...................................................................................................................
.. 300
11. Las políticas y tratamientos relativos a las transferencias internacionales
de datos.............................................................................................................................. 323
a) Las transferencias basadas en una decisión de adecuación.................... 327
b) Las transferencias mediante garantías adecuadas...................................... 327
c) Las llamadas “normas corporativas vinculantes”, o “BCR’ s”....................... 329
d) Las transferencias o comunicaciones no autorizadas por el Derecho
de la Unión................................................................................................................. 359
e) Las excepciones para situaciones específicas................................................ 359
12. Las actas y demás actuaciones en materia de protección de datos............. 387
13. Las políticas, tratamientos, y expedientes en materia de derechos de las
personas............................................................................................................................. 391
a) Cuestiones generales sobre el ejercicio de los derechos.......................... 392
a.1) Introducción.................................................................................................... 392
a.2) El derecho de acceso.................................................................................... 393
a.3) El derecho de rectificación y supresión de los datos personales:
el derecho al olvido...................................................................................... 396
a.4) El derecho a la limitación del tratamiento........................................... 401
10 Índice
a.5) El derecho a la portabilidad de los datos personales....................... 403
a.6) El derecho de oposición del interesado................................................ 406
b) Las restricciones al ejercicio de los derechos................................................. 409
c) Los expedientes administrativos de tutela de derechos ante la Agencia
Española de Protección de Datos o las autoridades autonómicas
en la materia.............................................................................................................. 409
c.1) Concepto general.......................................................................................... 409
c.2) La presentación de una reclamación de tutela de derechos......... 410
14. Los expedientes judiciales en materia de protección de datos...................... 413
15. Los planes directores sobre protección de datos................................................ 415
16. Las auditorias legales y documentales.................................................................... 421
17. Las auditorias técnicas o de sistemas....................................................................... 449
18. La cultura corporativa y la formación en protección de datos........................ 463
19. Los códigos de conducta, los mecanismos de certificación y los sellos y
marcas en protección de datos.................................................................................. 469
a) Los Códigos de Conducta..................................................................................... 470
b) Los mecanismos de certificación, los sellos y las marcas en materia de
protección de datos................................................................................................ 473
20. Otras medidas específicas de adaptación al Reglamento General (RGPD). 477
B) Algunas conclusiones.................................................................................................... 477
PARTE III
EL CRONOGRAMA DE IMPLANTACION.
EL MANTENIMIENTO DEL SISTEMA
a) Cronograma de la metodología de implantación del Reglamento General
(RGPD)............................................................................................................... 481
b) El mantenimiento constante, la revisión y actualización del modelo
de proteccion de datos de carácter personal................................................ 485
PARTE IV
LOS RIESGOS, LAS AMENAZAS Y LAS MEDIDAS TÉCNICAS CON
RELACIÓN A LOS TRATAMIENTOS DE DATOS DE CARÁCTER PERSONAL
a) Los riesgos, las amenazas y las medidas técnicas. Entre la escolástica
y la estadística........................................................................................................... 487
a.1) Bases legales sobre las que orientarse en la nueva gestión de los
Ciberpeligros en materia de protección de datos............................. 490
a.2) Fases para la implementación de un proyecto de Reglamento
General.............................................................................................................. 492
a.3) Enfoque para la implementación de las medidas técnicas y planes
de seguridad........................................................................................... 494
a.4) Otras consideraciones para implementar los planes de seguridad.....................................................................................................................
497
Índice 11
b) Los elementos básicos de internet.................................................................... 499
b.1) Los elementos básicos funcionamiento de internet........................ 499
b.2) Ciberpeligros................................................................................................... 500
b.2.1) Tipos de malware............................................................................. 500
b.2.2) Métodos de instalación de malware......................................... 501
c) Tipos de ataques...................................................................................................... 501
c.1) Ingeniería Social............................................................................................ 501
c.1.1) Los ataques de Phishing................................................................ 501
c.1.2) Ataq
