Abreviaturas 13

Prefacio 17
Capítulo Primero
Normativa general de protección de datos
I. Contexto normativo 21
1. Privacidad y protección de datos en el panorama internacional 21
2. La protección de datos en Europa 23
3. La protección de datos en España 26
4. Estándares y buenas prácticas 28
II. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Fundamentos 30
1. Ámbito de aplicación 32
2. Definiciones 35
a) Datos personales 36
b) Tratamiento 36
c) Fichero 37
d) Responsable del tratamiento 37
e) Encargado del tratamiento 37
f) Destinatario 38
g) Consentimiento del interesado 38
a) Limitación del tratamiento 40
3. Sujetos obligados 47
III. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Principios 47
1. El binomio derecho/deber en la protección de datos 48
2. Licitud del tratamiento 48
3. Lealtad y transparencia 49
4. Limitación de la finalidad 51
5. Minimización de datos 51
6. Exactitud 52
IV. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Legitimación 55
1. El consentimiento: otorgamiento y revocación 55
2. El consentimiento informado: finalidad, transparencia, conservación, información y deber de comunicación al interesado 58
3. Consentimiento de los niños 73
4. Categorías especiales de datos 76
5. Datos relativos a condenas e infracciones penales 79
6. Tratamiento que no requiere identificación 80
7. Bases jurídicas distintas del consentimiento 85
V. Derechos de los individuos 88
1. Transparencia e información 89
2. Acceso, rectificación, supresión (olvido) 89
3. Oposición 103
4. Decisiones individuales automatizadas 107
5. Portabilidad 109
6. Limitación del tratamiento 116
7. Excepciones a los derechos 117
VI. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Medidas de cumplimiento 119
1. Las políticas de protección de datos 119
2. Posición jurídica de los intervinientes. Responsables, co-responsables, encargados, subencargado del tratamiento y sus representantes. Relaciones entre ellos y formalización 121
3. El registro de actividades de tratamiento: identificación y clasificación del tratamiento de datos 131
VII. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Responsabilidad proactiva 132
1. Privacidad desde el diseño y por defecto. Principios fundamentales 135
2. Evaluación de impacto relativa a la protección de datos y consulta previa. Los tratamientos de alto riesgo 140
3. Seguridad de los datos personales. Seguridad técnica y organizativa 150
4. Las violaciones de la seguridad. Notificación de violaciones de seguridad 152
5. El Delegado de Protección de Datos (DPD). Marco normativo 155
6. Códigos de conducta y certificaciones 157
VIII. El reglamento europeo de protección de datos. Delegados de protección de datos (DPD, DPO, o Data Protection Officer) 172
1. Designación. Proceso de toma de decisión. Formalidades en el nombramiento, renovación y cese. Análisis de conflicto de intereses 172
2. Obligaciones y responsabilidades. Independencia. Identificación y reporte a dirección 179
3. Procedimientos. Colaboración, autorizaciones previas, relación con los interesados y gestión de reclamaciones 183
4. Comunicación con la autoridad de protección de datos 183
5. Competencia profesional. Negociación. Comunicación. Presupuestos 184
6. Formación 185
7. Habilidades personales, trabajo en equipo, liderazgo, gestión de equipos 186
IX. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Transferencias internacionales de datos 188
1. El sistema de decisiones de adecuación 190
2. Transferencias mediante garantías adecuadas 195
3. Normas Corporativas Vinculantes 199
4. Excepciones 204
5. Autorización de la autoridad de control 206
6. Suspensión temporal 208
7. Cláusulas contractuales 209
X. El Reglamento europeo de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Autoridades de control 209
1. Autoridades de control 211
2. Potestades 222
a) Funciones de naturaleza coercitiva 222
b) Funciones relativas a la prestación y promoción del derecho a la protección de datos 223
c) Funciones orientadas a la cooperación con otras autoridades de control, Administraciones Públicas y otros poderes estatales 225
3. Régimen sancionador 236
4. Comité Europeo de Protección de Datos 245
5. Procedimientos seguidos por la AEPD 250
6. La tutela jurisdiccional 254
7. El derecho de indemnización 257
XI. Directrices de interpretación del RGPD 262
1. Guías del GT artículo 29 262
2. Opiniones del Comité Europeo de Protección de Datos 268
3. Criterios de órganos jurisdiccionales 270
XII. Normativas sectoriales afectadas por la protección de datos 271
1. Sanitaria, Farmacéutica, Investigación 272
2. Protección de los menores 281
3. Solvencia Patrimonial 284
4. Telecomunicaciones 285
5. Videovigilancia 292
6. Seguros 296
7. Publicidad, etc. 296
XIII. Normativa española con implicaciones en protección de datos 299
1. LSSI, Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico 299
2. LGT, Ley 9/2014, de 9 de mayo, General de Telecomunicaciones 301
3. Ley firma-e, Ley 59/2003, de 19 de diciembre, de firma electrónica 302
XIV. Normativa europea con implicaciones en protección de datos 307
1. Directiva e-Privacy: Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre privacidad y las comunicaciones electrónicas) o Reglamento e-Privacy cuando se apruebe 307
2. Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) nº 2006/2004 sobre la cooperación en materia de protección de los consumidores 310
3. Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo 312
Capítulo Segundo
Responsabilidad activa
I. Análisis y gestión de riesgos de los tratamientos de datos personales 313
1. Introducción. Marco general de la evaluación y gestión de riesgos. Conceptos generales 313
2. Evaluación de riesgos. Inventario y valoración de activos. Inventario y valoración de amenazas. Salvaguardas existentes y valoración de su protección. Riesgo resultante 317
3. Gestión de riesgos. Conceptos. Implementación. Selección y asignación de salvaguardas a amenazas. Valoración de la protección. Riesgo residual, riesgo aceptable y riesgo inasumible 321
II. Metodologías de análisis y gestión de riesgos 330
III. Programa de cumplimiento de Protección de Datos y Seguridad en una organización 331
1. El diseño y la implantación del programa de protección de datos en el contexto de la organización 333
2. Objetivos del programa de cumplimiento 335
3. Accountability: la trazabilidad del modelo de cumplimiento 336
IV. Seguridad de la información 338
1. Marco normativo. Esquema Nacional de Seguridad y directiva NIS: Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Ámbito de aplicación, objetivos, elementos principales, principios básicos y requisitos mínimos 339
2. Ciberseguridad y gobierno de la seguridad de la información. Generalidades, Misión, gobierno efectivo de la Seguridad de la Información (SI). Conceptos de SI. Alcance. Métricas del gobierno de la SI. Estado de la SI. Estrategia de SI 350
3. Puesta en práctica de la seguridad de la información. Seguridad desde el diseño y por defecto. El ciclo de vida de los Sistemas de Información. Integración de la seguridad y la privacidad en el ciclo de vida. El control de calidad de los SI 355
V. Evaluación de Impacto de Protección de Datos “EIDP” 356
1. Introducción y fundamentos de las EIPD: Origen, concepto y características de las EIPD. Alcance y necesidad. Estándares 356
2. Realización de una evaluación de impacto. Aspectos preparatorios y organizativos, análisis de la necesidad de llevar a cabo la evaluación y consultas previas 357
Capítulo Tercero
Técnicas para garantizar el cumplimiento de la normativa de protección de datos
I. La auditoría de protección de datos 365
1. El proceso de auditoría. Cuestiones generales y aproximación a la auditoría. Características básicas de la Auditoría 365
2. Elaboración del informe de auditoría. Aspectos básicos e importancia del informe de auditoría 370
a) Fase 1. Organización 371
b) Fase 2. Planificación y obtención de información 371
c) Fase 3. Verificación del cumplimiento 371
d) Fase 4. Elaboración y entrega del informe final 371
3. Ejecución y seguimiento de acciones correctoras 372
II. Auditoría de Sistemas de Información 373
1. La Función de la Auditoría en los Sistemas de Información. Conceptos básicos. Estándares y Directrices de Auditoría de SI 373
2. Control interno y mejora continua. Buenas prácticas. Integración de la auditoria de protección de datos en la auditoria de SI 380
3. Planificación, ejecución y seguimiento 383

III. La gestión de la seguridad de los tratamientos 384
1. Esquema Nacional de Seguridad, ISO/IEC 27001:2013 (UNE ISO/IEC 27001:2014: Requisitos de Sistemas de Gestión de Seguridad de la Información, SGSI) 384
2. Gestión de la Seguridad de los Activos. Seguridad lógica y en los procedimientos. Seguridad aplicada a las TI y a la documentación 391
3. Recuperación de desastres y Continuidad del Negocio. Protección de los activos técnicos y documentales. Planificación y gestión de la Recuperación del Desastres 392
I V. Otros conocimientos 394
1. El cloud computing 394
2. Los Smartphones 397
3. Internet de las Cosas (IoT) 401
4. Big data y elaboración de perfiles 409
5. Redes sociales 413
6. Tecnologías de seguimiento del usuario 413
7. Blockchain y últimas tecnologías 419

Bibliografía 423

Biografía del autor 427