En la aplicación de la normativa sobre protección de datos, el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD), el delegado de protección de datos (DPD) puede tener que dar respuesta a cuestiones complejas, tales como si es aplicable o no esta normativa, cuándo hay que realizar una evaluación de impacto relativa a la protección de datos, a quién le corresponde realizarla, por qué es necesaria una supervisión continua cuando se recurre a un encargado del tratamiento o a qué instrumentos se puede recurrir en el caso de transferencias internacionales de datos a países fuera de la Unión Europea.

En esta obra el DPD encontrará respuesta a dichas cuestiones, de manera que se trata de facilitar así el desarrollo de sus funciones y tareas, en particular cuando tiene que asesorar al responsable o al encargado del tratamiento que le haya nombrado. Además, algunas de las cuestiones que se tratan pueden ayudar al DPD tanto en dicho asesoramiento como en la supervisión del cumplimiento de la normativa sobre protección de datos, ya que se trata de ofrecer respuestas a cuestiones o preguntas relevantes.

La obra se divide en doce (12) capítulos dedicados a cuestiones tales como el significado y alcance del tratamiento de datos personales, la responsabilidad proactiva ( accountability ), las bases de legitimación del tratamiento de los datos personales, el análisis de riesgos y la evaluación de impacto relativa a la protección de datos, la contratación de encargados del tratamiento, la ciberseguridad, la figura del delegado de protección de datos, la aplicación del programa o política de protección de datos y el régimen sancionador. Además, como anexos, se incluye el análisis de las primeras resoluciones sancionadoras de la Agencia Española de Protección de Datos (AEPD) y algunos recursos relevantes para el DPD, que puede considerar o aplicar en el desarrollo de sus funciones.

En definitiva, se trata de ofrecer algunas claves sobre la interpretación tanto de la normativa sobre protección de datos como de algunos interrogantes que pueden plantearse en relación con esta, de manera que, en particular, el DPD pueda encontrar en esta obra una herramienta útil que le sirva para encontrar respuestas.

Plan general

Capítulo 1. Tratamiento de datos personales
1. Derecho fundamental a la protección de datos y cumplimiento
2. Significado de los datos personales
3. Categorías de datos personales
4. Responsable, corresponsable o encargado del tratamiento
5. Evaluación del riesgo derivado del tratamiento de datos personales

Capítulo 2. Responsabilidad proactiva y programa o política de protección de datos
1. Importancia de la responsabilidad proactiva
2. Beneficios de los programas de cumplimiento o políticas de protección de datos
3. Códigos de conducta y certificaciones como instrumento a considerar
4. Revisión y actualización continua

Capítulo 3. Tratamiento lícito de datos personales
1. Principios de la protección de datos
2. Finalidad del tratamiento como criterio para determinar la licitud
3. Plazo de conservación de los datos
4. Integridad y confidencialidad
5. Otros principios: transparencia y protección de datos desde el diseño y por defecto

Capítulo 4. Bases de legitimación del tratamiento de los datos
1. Comunicaciones comerciales por correo electrónico
2. Evaluación del interés legítimo: criterio a seguir
3. Base de legitimación adecuada
4. Necesidad de una base de legitimación del tratamiento

Capítulo 5. Derechos de los interesados
1. Derechos de los interesados
2. Límites y limitaciones al ejercicio de derechos
3. Ejercicio de los derechos
4. Procedimiento de gestión de solicitudes de derechos en protección de datos
5. Carga de la prueba sobre la atención al ejercicio de derechos

Capítulo 6. Evaluación de impacto relativa a la protección de datos
1. Criterios a considerar para realizar evaluación de impacto
2. Realización de una evaluación de impacto
3. Realización de la evaluación de impacto
4. Documentación del resultado de la evaluación de impacto
5. Consulta previa a la autoridad de control

Capítulo 7. Contratación de encargados del tratamiento
1. Encargado del tratamiento
2. Necesidad de contrato u otro instrumento jurídico
3. Necesidad de una supervisión continua
4. Responsable del incumplimiento

Capítulo 8. Ciberseguridad
1. Cuestiones generales
2. Evaluación del riesgo
3. Medidas técnicas y organizativas
4. Brecha: notificación a la autoridad de control y comunicación a los interesados
5. Certificación internacional y Esquema Nacional de Seguridad

Capítulo 9. Transferencia internacional de datos
1. Garantías adecuadas
2. Norma general
3. Autorización para poder transferir datos personales fuera del EEE

Capítulo 10. Delegado de protección de datos
1. Designación obligatoria o voluntaria
2. Funciones y tareas
3. Obligaciones de la organización que designa al DPD
4. Obligaciones del DPD
5. Independencia e incompatibilidades

Capítulo 11. Aplicación del programa o política de protección de datos
1. Alcance
2. Evaluación de su efectividad
3. Confidencialidad
4. Formación continua
5. Consecuencias del incumplimiento

Capítulo 12. Régimen sancionador y reclamaciones
1. Sujetos
2. Procedimiento sancionador

Anexos
1. Primeras 100 resoluciones sancionadoras de la AEPD tras la aplicación efectiva del RGPD
2. Recursos del DPD que pueden servir de referencia para el desarrollo de sus funciones

Bibliografía

Tabla Alfabética