Manual de privacidad, protección de datos y ciberseguridad 2ª Edición

ABREVIATURAS        23
PARTE I
PROTECCIÓN DE DATOS PERSONALES EN EL ENTORNO DIGITAL
Capítulo 1
INTRODUCCIÓN A LA PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES
    I.    Evolución histórica: de la DUDH al RGPD        27
    II.    Concepto, Misión y Objetivos de la regulación de la privacidad y los datos personales        30
A.    ¿Qué es la privacidad y protección de datos personales?        30
B.    Misión y Objetivos de la regulación de los datos personales        31
C.    Normas que regulan la privacidad y protección de datos personales: Marco Normativo        31
1.    Internacional        31
a.    La Declaración Universal de los Derechos Humanos (dudh)        31
b.    El Convenio número 108 del Consejo de Europa para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal y su Protocolo Adicional (el «Convenio 108») de 28 de enero de 1981        31
2.    Europa        32
a.    Convenio Europeo de Derechos Humanos (CEDH)        32
b.    Carta de los Derechos Fundamentales de la Unión Europea (CDFUE)        33
c.    Tratado de Funcionamiento de la Unión Europea (TFUE)        33
d.    El Reglamento General de Protección de Datos (RGPD)        34
e.    La Directiva de tratamiento de datos para el cumplimiento de penas y sanciones penales        37
f.    Directiva sobre la privacidad y las comunicaciones electrónicas («ePrivacy Directive»)        37
g.    El «Reglamento de Gobernanza de Datos»        41
3.    España        43
    III.    Ámbito de aplicación de la normativa de protección de datos        46
A.    El RGPD        46
B.    La LOPDGDD        47
    IV.    Grandes hitos en la protección de la privacidad y protección datos personales        48
Capítulo 2
CONCEPTOS FUNDAMENTALES DE LA PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES
    I.    Datos de carácter personal        51
A.    Toda información        52
B.    Sobre        52
C.    Identificada o identificable        53
D.    Persona física        57
    II.    El interesado        58
    III.    Responsable, corresponsable y encargado del tratamiento. Destinatarios        59
A.    Responsable del tratamiento        59
1.    «La persona física o jurídica, autoridad pública, servicio u otro organismo»        60
2.    «Determine»        60
a.    Control de derecho        61
b.    Control de hecho        61
3.    «Sólo o junto con otros»        63
4.    «Los fines y medios»        63
5.    «Del tratamiento»        64
B.    Corresponsable del tratamiento        65
C.    Encargado del tratamiento        67
D.    Tercero y destinatario        67
1.    Tercero        67
2.    Destinatario        68
    IV.    Tratamiento de datos        68
    V.    Fuentes de acceso a datos        70
    VI.    Delegado de Protección de Datos        70
Capítulo 3
DATOS PERSONALES SENSIBLES
    I.    Concepto        73
    II.    Categorías        73
A.    Categorías especiales de datos personales (art. 9 RGPD)        73
1.    Que el interesado haya dado su consentimiento explícito para tratarlos        74
2.    Que el tratamiento sea necesario para cumplir obligaciones y el ejercicio de derechos del responsable o del interesado en el ámbito del derecho laboral y de la seguridad y protección social, si lo autoriza el Derecho de la UE o un convenio colectivo con arreglo al derecho de los Estados miembros que establezca garantías adecuadas para el respeto de los derechos fundamentales y los intereses del interesado        75
3.    Que el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física, cuando el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento        75
4.    El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con garantías por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro con una finalidad política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de las mismas o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos no se comuniquen fuera de ellos sin el consentimiento de los interesados        75
5.    Que el tratamiento se refiera a datos personales que el interesado ha hecho manifiestamente públicos        76
6.    Que el tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando actúen en ejercicio de su función judicial        76
7.    Que el tratamiento sea necesario por razones de interés público, sobre la base del Derecho de la UE o el Derecho nacional y sea proporcional el objetivo perseguido, respetando en lo esencial el derecho a la protección de datos y estableciendo medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado        76
8.    Que el tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad del trabajador, diagnóstico médico, prestación de asistencia o tratamiento del tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la UE o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional o bajo su responsabilidad (o por cualquier otro profesional sujeto a la obligación de secreto profesional)        77
9.    Que el tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la UE o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional        77
10.    Que el tratamiento sea necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89.1, sobre la base del Derecho de la UE o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado        78
B.    Tratamiento de datos personales relativos a condenas e infracciones penales        80
C.    Datos biométricos        84
D.    Los neurodatos        85
Capítulo 4
PRINCIPIOS
    I.    Licitud, lealtad y transparencia (art. 5.1.a) RGPD)        89
A.    «Lícita»        89
B.    «Leal»        90
C.    «Transparente»        90
    II.    Limitación de la finalidad (art. 5.1.b) RGPD)        92
    III.    Minimización de datos (art. 5.1.c) RGPD)        93
A.    Necesidad        93
B.    Proporcionalidad        93
    IV.    Exactitud (art. 5.1.d) RGPD)        94
    V.    Limitación del plazo de conservación (art. 5.1.e) RGPD)        94
    VI.    Integridad y confidencialidad (art. 5.1.f) RGPD)        95
Capítulo 5
LICITUD DEL TRATAMIENTO DE DATOS
    I.    La Licitud del tratamiento        97
A.    El interesado otorga su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos        97
B.    El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición del interesado de medidas precontractuales        98
C.    El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento        99
D.    El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física        99
E.    El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento        100
F.    El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requerirán la protección de datos personales, en particular cuando el interesado sea un niño        101
    II.    El Consentimiento        103
A.    El consentimiento en general        103
1.    «Manifestación de voluntad libre»        104
2.    «Específico»        105
3.    «Informado»        105
4.    «Inequívoco»        105
B.    El consentimiento en el ámbito sanitario        108
C.    El consentimiento en menores de edad        108
Capítulo 6
DERECHOS DE LOS INTERESADOS
    I.    Los derechos del interesado        111
A.    Derecho de acceso (art. 15 RGPD)        112
B.    Derecho de rectificación (art. 16 RGPD)        113
C.    Derecho de supresión (el «derecho al olvido») (art. 17 RGPD)        115
D.    Derecho a la limitación del tratamiento (art. 18 RGPD)        120
E.    Derecho a la portabilidad (art. 20 RGPD)        121
F.    Derecho de oposición (art. 21 RGPD)        122
G.    Decisiones automatizadas, incluida la elaboración de perfiles (art. 22 RGPD)        123
H.    Derechos respecto de los datos de las personas fallecidas        124
I.    Comunicación de una violación de la seguridad de los datos personales del interesado (art. 34 RGPD)        125
    II.    La obligación de información como un derecho de los interesados        126
A.    Derecho a la información cuando los datos han sido obtenidos directamente del interesado        126
B.    Derecho a la información cuando los datos no han sido obtenidos directamente del interesado        128
C.    Brechas de seguridad        129
D.    Cómo proporcionar la información al interesado        129
E.    Posibilidad de imponer obligaciones añadidas de información        130
F.    Obligaciones de información en materia de cookies y asimilados        131
    III.    Limitación de los derechos        131
    IV.    Regulación de tratamientos concretos en la normativa española        133
A.    Datos de contacto, empresarios individuales y profesionales liberales        134
B.    Sistemas de información crediticias: listas de morosos        134
C.    Tratamientos en operaciones societarias        136
D.    Videovigilancia        137
E.    Sistemas de exclusión publicitaria: «listas Robinson»        138
F.    Tratamientos en el ámbito de la función estadística y con fines de archivo en interés público        139
G.    Tratamientos relativos a infracciones y sanciones administrativas        140
H.    Tratamientos relativos a procedimientos judiciales        140
Capítulo 7
ACCOUNTABILITY O RESPONSABILIDAD PROACTIVA
    I.    ¿Qué es la «Accountability»?        143
A.    Responsabilidad del responsable del tratamiento        144
B.    Protección de datos desde el diseño y por defecto        145
1.    Protección de datos desde el diseño        145
2.    Protección de datos por defecto        150
C.    Documentación y cooperación con los reguladores        153
D.    Normas corporativas vinculantes        153
Capítulo 8
SEGURIDAD DE LOS DATOS. EVALUACIONES DE IMPACTO DE PROTECCIÓN DE DATOS
    I.    Introducción        155
    II.    El principio de seguridad y la seguridad basada en el enfoque de riesgo        155
A.    Confidencialidad, supervisión y trabajadores        156
B.    Registro de las actividades del tratamiento (el «RAT»)        157
C.    Cooperación con la autoridad de control        158
    III.    Evaluación de Impacto de Protección de Datos        159
A.    ¿Cuándo se debe realizar una EIPD?        159
B.    ¿Cómo realizar una EIPD?        164
C.    Consulta previa preceptiva        166
    IV.    Las brechas o violaciones de seguridad        167
Capítulo 9
EL ENCARGADO DEL TRATAMIENTO Y EL DELEGADO DE PROTECCIÓN DE DATOS
    I.    El Encargado del Tratamiento        169
A.    Concepto y funciones        169
B.    Subencargo del tratamiento        171
C.    Relaciones entre el Encargado y Responsable        173
D.    Registro de actividades de tratamiento en relación con los encargados del tratamiento        178
    II.    El Delegado de Protección de Datos        179
A.    Concepto y funciones        179
B.    ¿Cuándo nombrar un DPO?        180
C.    Perfil y posición del DPO        183
D.    Funciones del DPO        185
E.    Intervención del DPO en casos de denuncias ante la AEPD        185
Capítulo 10
TRANSFERENCIAS INTERNACIONALES DE DATOS PERSONALES
    I.    Introducción        187
    II.    Principio general de las transferencias        187
    III.    Transferencias basadas en una decisión de adecuación        188
A.    Procedimiento para determinar qué países son «adecuados»        188
B.    Relación con EE.UU. El «Privacy Shield»        190
    IV.    Transferencias mediante garantías adecuadas        192
    V.    Normas corporativas vinculantes        193
    VI.    Excepciones        196
    VII.    Supuestos sometidos a autorización o información previa a la autoridad de control        197
Capítulo 11
COOKIES Y PRIVACIDAD
    I.    Introducción        199
    II.    Concepto, tipos y funciones        200
A.    ¿Qué es realmente una cookie?        200
B.    Tipos de cookies        201
1.    Por su naturaleza        201
2.    Por el responsable de la misma        201
3.    Por la finalidad o función que desempeñan o su finalidad        202
a.    Cookies técnicas        202
b.    Cookies de preferencias o de personalización        204
c.    Cookies analíticas o de medición        204
d.    Cookies de publicidad o marketing        206
e.    Otras        206
4.    Por la duración        207
5.    Por el tiempo de tecnología que emplean        208
    III.    Consentimiento y cookies        211
A.    Confidencialidad y necesidad de consentimiento previo        211
B.    Modalidades de obtención del consentimiento        217
C.    Cookies y consentimiento de menores de 14 años        219
D.    Consentimiento a través de la configuración del navegador o la App        221
E.    Casos particulares en relación con el consentimiento        223
1.    Por ejemplo, ¿qué ocurre si el responsable dispone de varias páginas web en las que emplea cookies, tiene que obtener el consentimiento en cada una de estas páginas?        223
2.    Otra cuestión relevante es cuándo se debe renovar el consentimiento obtenido para el uso de las cookies        223
3.    El interesado debe poder retirar el consentimiento para el uso de cookies siempre que quiera y el sistema que le ofrezca para ello el responsable debe ser igual de sencillo que el empleado para recabarlo        224
4.    Se puede denegar el acceso al servicio en caso de rechazo de cookies siempre que sean necesarias para la prestación total o parcial del servicio y se le informe al usuario de las consecuencias de no aceptarlas        224
    IV.    Transparencia y cookies: Sistemas de información        224
    V.    Responsabilidad e incumplimientos en materia de cookies        228
    VI.    Propuesta de Reglamento «ePrivacy»        230
Capítulo 12
AUTORIDADES EN MATERIA DE PROTECCIÓN DE DATOS
    I.    Autoridades de control independientes        231
A.    El principio de independencia        231
B.    Competencia        232
C.    Funciones        234
1.    En un primer grupo se situarían las actividades puramente coercitivas o de «enforcement»        235
2.    En segundo lugar, estarían las actividades de prestación y promoción del derecho a la protección de datos personales        235
3.    En tercer lugar, las actividades de cooperación con otras autoridades de control, Administraciones Públicas y otros poderes del Estado        236
D.    Poderes        237
1.    Poderes de investigación        237
2.    Poderes coercitivos        237
3.    Poderes de autorización y consultivos        238
    II.    Los Mecanismos de Cooperación y de Coherencia        239
A.    El Mecanismo de Cooperación        240
1.    La asistencia mutua        242
2.    Operaciones conjuntas de las autoridades de control        243
B.    El Mecanismo de Coherencia        245
1.    Dictámenes del CEPD        245
2.    Resolución de conflictos por el cepd: decisiones vinculantes        247
C.    El Procedimiento de Urgencia        248
    III.    Comité Europeo de Protección de Datos        249
A.    Principio de Independencia        249
B.    Funciones        249
C.    Miembros        252
D.    El Presidente        253
E.    La Secretaría        253
    IV.    El Supervisor Europeo de Protección de Datos        254
    V.    Autoridades españolas de protección de datos        255
A.    La Agencia Española de Protección de Datos («AEPD»)        255
1.    Naturaleza y régimen jurídicos        255
2.    Financiación de la AEPD        256
3.    Personal de la AEPD        257
4.    Funciones y potestades: la actividad investigadora        257
5.    Órganos de gobierno de la AEPD        260
a.    Presidencia de la AEPD        260
b.    Adjunto a la Presidencia de la AEPD        261
c.    El Consejo Consultivo        263
d.    Otras        264
6.    Resoluciones de la AEPD        265
B.    Autoridades autonómicas de protección de datos        266
    VI.    Autorregulación        267
A.    Códigos de Conducta        268
1.    Elaboración, modificación, aprobación y publicación de un código de conducta        268
2.    Supervisión de los códigos de conducta aprobados        270
B.    Certificaciones        271
1.    Expedición de certificaciones        271
2.    Organismo de certificación        272
Capítulo 13
TRATAMIENTOS ESPECÍFICOS
    I.    Marketing directo        275
A.    Concepto de marketing directo        275
B.    Requisitos de marketing directo según el RGPD y la Directiva 2002/58        276
C.    Marketing a través de correo ordinario o postal        277
D.    Marketing a través de teléfono        278
E.    Marketing por email, SMS y otros sistemas electrónicos de comunicación        280
F.    Marketing por fax        282
G.    Marketing basado en la localización del interesado        282
H.    Publicidad comportamental        284
I.    «Fingerprinting» o huella digital        285
    II.    Internet, comunicaciones y la «Nube»        286
A.    La «Nube» («Cloud Computing»)        286
B.    Motores de búsqueda        288
C.    Redes sociales        289
D.    Apps        290
E.    Internet of Thing («IoT»)        292
    III.    Empleados y relaciones laborales        292
A.    Base legal para tratar datos personales de empleados        293
1.    Consentimiento        293
2.    Tratamiento necesario para cumplir una obligación contractual        293
3.    Tratamiento necesario para cumplir con una obligación legal        293
4.    Tratamiento basado en intereses legítimos        293
B.    Tratamiento de datos sensibles        294
C.    Notificación        294
D.    Almacenamiento de registros de datos personales        295
E.    Vigilancia y Monitorización del lugar de trabajo        295
1.    Listas negras        296
2.    Monitorización de empleados        296
3.    Información que el empresario debe suministrar el empleado        296
4.    Derecho de explicación de los empleados        298
F.    Sindicatos de trabajadores        298
G.    Canales y sistemas de denuncia        299
H.    Política de usos de dispositivos personales        301
    IV.    Vigilancia y actividades de control        302
A.    Vigilancia de las comunicaciones        303
B.    Videovigilancia        304
1.    Legalidad del tratamiento        304
2.    EIPD        304
3.    Derechos de los individuos        305
C.    Datos biométricos        307
D.    Datos de localización        308
    V.    Sanidad digital (eHealh) y protección de datos        309
A.    Datos de salud: concepto y régimen jurídico        310
B.    Soluciones eHealth y cumplimiento del RGPD        310
C.    El papel del Delegado de Protección de Datos (DPO) en centros sanitarios        312
D.    Ensayos clínicos, genómica y medicina personalizada        312
E.    El Espacio Europeo de Datos Sanitarios (EHDS)        312
    VI.    La enseñanza online        313
Capítulo 14
RECURSOS, RESPONSABILIDAD Y SANCIONES
    I.    Introducción        317
    II.    Recursos y acciones legales        318
A.    Derecho a presentar una reclamación ante la autoridad de control        318
B.    Procedimiento en caso de posible vulneración de la normativa de protección de datos        319
C.    Derecho a la tutela judicial efectiva contra la autoridad de control        323
D.    Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento        323
E.    Organizaciones y asociaciones en defensa de los interesados        324
F.    Suspensión de procedimientos        325
    III.    Responsabilidad e indemnización        325
    IV.    Sanciones        326
A.    Sanciones máximas para todos        329
B.    Sanciones máximas para las empresas dentro de un grupo de empresas        330
C.    Implementación del régimen sancionador a nivel nacional        332
1.    Responsables        332
2.    Infracciones        332
3.    Sanciones        337
4.    Prescripción        337
Capítulo 15
DERECHOS DIGITALES
    I.    Introducción        339
    II.    Medios de comunicación y protección de datos: derecho de rectificación        339
    III.    Los llamados «Derechos Digitales»        343
A.    Derecho a la neutralidad en la Red        343
B.    Derecho de acceso universal a Internet        343
C.    Derecho a la seguridad digital        343
D.    Derecho a la educación digital        344
E.    Protección de los menores en Internet        344
F.    Derecho a la desconexión digital en el ámbito laboral        345
    IV.    DSA y DMA: derechos digitales frente a plataformas y transparencia algorítmica        345
A.    La Digital Services Act        345
B    La Digital Markets Act        346
C.    Relevancia en materia de derechos digitales        346
Capítulo 16
INFANCIA, VERIFICACIÓN DE EDAD E INTERNET SEGURO POR DEFECTO
    I.    Enfoque proactivo: seguridad por defecto y desde el diseño        349
    II.    Verificación de edad: herramienta habilitadora, no intrusiva        350
    III.    Riesgos para la infancia en el entorno digital (modelo OCDE – 5Cs)        350
    IV.    Casos de uso analizados por la AEPD        351
A.    Acceso a contenidos inadecuados        351
B.    Entornos seguros por defecto        351
C.    Consentimiento para el tratamiento de datos        351
D.    Diseño adaptado a la edad        351
PARTE II
CIBERSEGURIDAD Y GESTIÓN DE RIESGOS DIGITALES
Capítulo 17
FUNDAMENTOS JURÍDICOS Y TÉCNICOS DE LA CIBERSEGURIDAD
    I.    Concepto y principios de la ciberseguridad        356
    II.    Amenazas y actores en el ecosistema digital        356
    III.    Relación entre ciberseguridad y protección de datos personales        357
Capítulo 18
MARCO NORMATIVO EN CIBERSEGURIDAD
    I.    Convenios y normas internacionales        359
    II.    Normativa europea: Directiva NIS, NIS2 y Reglamento sobre Ciberseguridad        361
A.    Las Directivas NIS        361
B.    El Reglamento sobre Ciberseguridad        362
C.    El Reglamento sobre Ciberresiliencia        363
D.    El Reglamento europeo de identidad digital (RID)        364
    III.    Normativa nacional: ENS, LMPIC y RD 12/2018        365
A.    El Esquema Nacional de Seguridad (ENS)        366
B.    La Ley 8/2011, de protección de infraestructuras críticas (LMPIC)        366
C.    El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información        366
    IV.    Requisitos sectoriales: DORA, 5G, sanidad, energía, transporte        367
A.    El Reglamento DORA        367
B.    La Ley 11/2022 de 28 de junio, General de Telecomunicaciones        367
C.    Sanidad, energía y transporte: sectores esenciales y normativa específica        368
    V.    Ciberseguridad y protección de datos personales        369
Capítulo 19
GESTIÓN DE INCIDENTES Y BRECHAS DE SEGURIDAD
    I.    Las «brechas de seguridad» y las «brechas de protección de datos»        371
    II.    Tipología de brechas de seguridad más comunes        375
A.    Violación de la confidencialidad        375
B.    Violación de la integridad        375
C.    Violación de la disponibilidad        375
    III.    Breve recopilación y estudio de caso relevantes        376
Capítulo 20
CIBERDELINCUENCIA Y DELITOS TECNOLÓGICOS
    I.    Los «ciberdelitos»        381
    II.    Persecución transnacional: EL Convenio de Budapest        386
    III.    Problemática probatoria y jurisdicción        387
A.    Prueba digital        387
B.    Pruebas transfronterizas        387
C.    Jurisdicción múltiple        387
D.    Autoría        387
E.    Conflicto normativo        387
Capítulo 21
GOBERNANZA DE LA CIBERSEGURIDAD Y RESILIENCIA ORGANIZACIONAL
    I.    CSIRTs, CISO y cultura de seguridad        389
    II.    Gestión de riesgos y continuidad de negocio        390
    III.    Ciberseguros, formación y políticas internas        390
PARTE III
INTELIGENCIA ARTIFICIAL Y PROTECCIÓN DE DERECHOS
Capítulo 22
FUNDAMENTOS DE LA IA Y SU RELACIÓN CON LOS DATOS
    I.    Privacidad, datos e inteligencia artificial: fundamentos básicos        395
    II.    Tipos de IA, algoritmos, machine learning y deep learning        400
    III.    Big data, data mining y toma de decisiones automatizadas        400
    IV.    La IA como consumidor de datos personales        401
Capítulo 23
RIESGOS ÉTICOS Y JURÍDICOS ASOCIADOS A LA IA
    I.    Sesgo algorítmico, transparencia, trazabilidad        403
    II.    Decisiones automatizadas y explicabilidad        404
    III.    Datos sanitarios        404
    IV.    «Neuroderechos» y autonomía personal        405
Capítulo 24
MARCO NORMATIVO DE LA IA
    I.    El Reglamento (UE) 2024/1689 sobre Inteligencia Artificial (RIA): un hito regulatorio global        407
A.    Clasificación de los sistemas de IA por niveles de riesgo        407
B.    Prohibiciones y obligaciones para sistemas de IA        409
C.    Modelos fundacionales y de propósito general        409
D.    Transparencia y derechos fundamentales        410
E.    Protección de datos personales        410
F.    Medidas de apoyo a la innovación        410
    II.    El Convenio Marco del Consejo de Europa sobre Inteligencia Artificial        410
Capítulo 25
GOBERNANZA Y CONTROL DE SISTEMAS DE IA EN ESPAÑA
    I.    La Agencia Española de Supervisión de la Inteligencia Artificial        413
    II.    Sandbox regulatorio: Real Decreto 817/2023        414
    III.    Anteproyecto de Ley española de IA        414
    IV.    Coordinación institucional: AESIA, AEPD, CNMC y otras autoridades        415
Capítulo 26
ESTUDIOS DE CASO EN IA Y DECISIONES AUTOMATIZADAS
    I.    ChatGPT y el RGPD        417
    II.    «Deepfakes» en campañas políticas        419
    III.    Discriminación algorítmica en selección de personal        420

BIBLIOGRAFÍA        421

ANEXO I. Criterios para una EIPD aceptable        435

ANEXO II. Modelo de Registro de Actividades del Tratamiento        437

ANEXO III. Guía de Buenas Prácticas para Gestionar Brechas de Seguridad de Datos Personales        441