Tema 27 - La política de protección de datos de carácter personal

Question 1

Antecedentes al Reglamento (UE) 2016/679 del Parlamento Europeo del 27 de abril

Answer 1

Carta de derechos fundamentales de la Unión Europea (Niza, 2000). Artículo 8.

Tratado de Funcionamiento de la Unión Europea. Artículo 16.

Constitución Española. Artículo 18.4

LORTAD 5/1992

LOPD 15/1999, como trasposición de la directiva 95/46/CE (derogada en el reglamento indicado) y RLOPD Real Decreto 1720/2007

Question 2

El Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, se aplica al tratamiento total o parcialmente automatizado de datos personales, al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero, ¿cuales son la excepciones?

Answer 2

1. de actividades no comprendidas en el ámbito de aplicación del Derecho de la Union
2. de actividades comprendidas en el ámbito de aplicación del capitulo 2 del titulo V del Tratado de la Unión Europea (TUE) sobre la Política Exterior y de Seguridad Común
3. efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas
4. por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales.

Question 3

El Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, ¿a qué responsables se aplica?

Answer 3

Se aplica a responsables o encargados establecidos en la UE, siempre que:
* realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión.
* el tratamiento consista en un control, monitorización y seguimiento de su comportamiento.
También es de aplicación a tratamientos por un responsable no establecido en la Unión pero para el que el Derecho de los Estados Miembros (EEMM,s) sea de aplicación en virtud del Derecho internacional público.

Question 4

¿Cuales son los principios del Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016?

Answer 4

1. licitud, lealtad y transparencia
2. limitación de la finalidad (determinados, explícitos y legítimos)
3. minimización de datos
4. exactitud
5. limitación del plazo de conservación (más tiempo con fines de archivo en interés público, investigación científica o histórica o estadísticos)
6. integridad y confidencialidad

Question 5

¿Cuáles son las bases para la legitimación del Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016?

Answer 5

Artículo 6, posibles opciones legitimación
a) consentimiento
b) ejecución de un contrato
c) cumplimiento obligación legal (previsto por Decreto de la UE o norma con rango de ley)
d) proteger intereses vitales (del interesado o de otra persona)
e) misión realizada en interés público (o competencia atribuida al responsable por ley)
f) intereses legítimos

Question 6

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, ¿Qué características debe tener el consentimiento?

Answer 6

• Consentimiento debe ser demostrable:
  1. Otorgarse libremente
  2. Si la ejecución de un contrato o la prestación de un servicio se supedita al consentimiento del tratamiento de datos que no son necesarios para prestar el servicio, no se considerará que se ha dado libremente o
  3. Si el interesado no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno, no se considera libre.
• Otorgarse habiendo sido informado de lo que supone hacerlo;
• Ser inequívoco y por lo tanto haberse realizado mediante una declaración o una clara acción afirmativa.
• Debe ser tan fácil retirar el consentimiento como darlo;
• Debe ser específico para cada tratamiento de datos personales.

Question 7

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, ¿Cuáles son las condiciones para el consentimiento de menores?

Answer 7

• Mínimo 16 años. Si no lo debe dar el tutor o titular patria potestad
• Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.
• En España, la Ley Orgánica 3/2018 establece 14 años.

Question 8

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, ¿Qué se entiende por categorías especiales que prohíben el tratamiento de dichos datos?

Answer 8

Datos personales que revelen:
*el origen étnico o racial
*las opiniones políticas
*las convicciones religiosas o filosóficas
*la afiliación sindical
*el tratamiento de datos genéticos
*datos biométricos dirigidos a identificar de manera unívoca a una persona física
*datos relativos a la salud
*datos relativos a la vida sexual o las orientaciones sexuales de una persona física.

Question 9

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, ¿En qué casos se podrían tratar datos de categorías especiales?

Answer 9

• consentimiento explícito (LO 3/2018, el solo consentimiento insuficiente para identificar ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico)
  
  • preciso en el ámbito laboral y de la seguridad y protección social; o para la protección de intereses vitales
  • el interesado ha hecho públicos intencionadamente
  • por razones de un interés público (medicina preventiva o laboral, evaluación de la capacidad laboral de trabajadores, tratamiento sanitario o social, la salud pública; archivo de interés público, investigación científica o histórica o de estadística, otros)

Question 10

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, ¿Cuáles son los derechos de los interesados?

Answer 10

Transparencia (art. 12)
Información (arts. 13 y 14)
Acceso (art. 15)
Rectificación (art. 16)
Supresión o derecho al olvido (art. 17)
Limitación del tratamiento (art. 18)
Portabilidad de datos (art. 20)
Oposición (art. 21)
Relativo a decisiones individualizas (art. 22)

Question 11

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, y relativo a la Transparencia (art. 12), ¿Qué temas se deben informar al interesado?

Answer 11

a) Base jurídica del tratamiento
b) Intención de realizar transferencias internacionales
c) Datos del Delegado de Protección de Datos (si lo hubiere)
d) Elaboración de perfiles.

Question 12

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, cuando los datos personales se obtengan del interesado (art. 13). ¿Qué se debe informar?

Answer 12

a) La identidad y datos de contacto del responsable y, en su caso, del representante.
b) datos de contacto del delegado de protección de datos.
c) fines y base jurídica del tratamiento.
d) destinatarios o categorías de destinatarios
e) intereses legítimos del responsable o de un tercero, si el tratamiento se basa en ellos.
f) intención de transferir datos personales a un tercer país u organización internacional
Además:
* plazo durante el cual se conservarán
* derecho a solicitar al responsable del tratamiento el acceso, rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento
* Si el tratamiento se basa en el consentimiento, su derecho a revocarlo
* derecho a presentar una reclamación ante una autoridad de control.
* En caso de suscribir un contrato, posibles consecuencias de que no facilitar tales datos
* existencia de decisiones automatizas, incluida la elaboración de perfiles

Question 13

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, y relativo al Acceso (art. 15), El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, tendrá derecho de acceso a los datos personales –copia de los datos personales objeto de tratamiento– ¿y a qué otra información?

Answer 13

a) Los fines del tratamiento; categorías de datos personales de que se traten y de las posibles comunicaciones
b) plazo de conservación de los datos
c) derecho a rectificación o supresión de datos personales o la limitación del tratamiento
d) derecho a presentar una reclamación ante la autoridad de control
e) ante transferencia internacional de datos, recibir información de las garantías adecuadas.
f) existencia de decisiones automatizadas (incluyendo perfiles)

Question 14

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, y relativo al Acceso (art. 15), el responsable facilitará una copia y podrá percibir, por cualquier otra copia solicitada por el interesado, un canon razonable basado en los costes administrativos, ¿con qué condiciones?

Answer 14

• Cuando el responsable trate una gran cantidad de datos relativos al afectado y éste ejerza el derecho de acceso, el responsable podrá solicitarle, antes de facilitar la información, que especifique los datos o actividades de tratamiento a los que se refiere la solicitud.
  
  • Vale sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad
  • Solicitudes repetitivas si más de una vez en 6 meses sin causa legítima (se puede cobrar canon o negarse)

Question 15

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, y relativo al derecho de Rectificación (art. 16), ¿qué derechos incluye?

Answer 15

a) rectificación de los datos personales inexactos que le conciernan
b) se completen los datos personales que sean incompletos

Question 16

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, y relativo al derecho de Supresión o derecho al olvido (art. 17), ¿en qué casos permite la supresión de los datos personales que le conciernan al interesado?

Answer 16

a) ya no sean necesarios en relación con los fines
b) se base únicamente en el consentimiento y se retire
c) interesado se oponga al tratamiento (podrán conservarse los datos identificativos)
d) hayan sido tratados ilícitamente
e) deban suprimirse para el cumplimiento de una obligación legal
f) obtenidos mediante consentimiento de menores en relación con los servicios de la sociedad de la información

Question 17

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, y relativo al derecho de Supresión o derecho al olvido (art. 17), ¿Cuáles son las excepciones que impiden ejercer dicho derecho?

Answer 17

a) derecho a la libertad de expresión e información
b) cumplimiento obligación legal o misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable
c) interés público en el ámbito de la salud pública
d) archivo en interés público, fines de investigación científica o histórica o fines estadísticos
e) Para la formulación, el ejercicio o la defensa de reclamaciones

Question 18

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, y relativo a la Limitación del tratamiento (art. 18), ¿Qué condiciones se deben cumplir?

Answer 18

a) interesado impugne la exactitud de los datos personales
b) tratamiento ilícito y el interesado se oponga a la supresión
c) El responable ya no necesita los datos, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones.
d) oposición al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado

Question 19

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, y relativo a la Portabilidad de datos (art. 20), el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado. ¿Qué debe cumplirse?

Answer 19

a) El tratamiento esté basado en el consentimiento o en un contrato con arreglo al artículo 6.1 b).
b) El tratamiento se efectúe por medios automatizados.

Question 20

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, y relativo al derecho de Oposición (art. 21), ¿en qué casos se puede ejercer?

Answer 20

Por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f). Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa (convencer al cliente para el consumo), el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia

Question 21

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, y relativo a decisiones individualizas (art. 22), el interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar. ¿Cuáles son las excepciones?

Answer 21

a) necesaria para la celebración o la ejecución de un contrato
b) autorizada por el Derecho de la Unión o de los Estados miembros
c) Se basa en el consentimiento explícito del interesado

Question 22

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, ¿Cuáles son las obligaciones generales de responsables y encargados?

Answer 22

• Responsabilidad del responsable del tratamiento (Art. 24). Aplique las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente RGPD. El responsable podrá utilizar la adhesión a códigos de conducta o mecanismos de certificación.
  
  • Protección de datos desde el diseño y por defecto (Art. 25). El responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización o la minimización de datos, e integrará las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del RGPD y proteger los derechos de los interesados. Por defecto, sólo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.
    *Encargado del tratamiento (Art. 28). El encargado debe ofrecer garantías suficientes para aplicar medidas técnicas y organizativas apropiados. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. Se regirá por un contrato u otro acto jurídico con arreglo al derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable. Cuando finalice la prestación de los servicios del encargado, el responsable decide si los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.
  • Tratamiento bajo la autoridad del responsable o del encargado del tratamiento (Art. 29). Solo podrán tratar dichos datos siguiendo instrucciones del responsable.

Question 23

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, relativo al Registro de las actividades de tratamiento (Art. 30), cada responsable llevará un registro, ¿con qué información?

Answer 23

a) Datos del responsable y del DPD si procede
b) Fines del tratamiento
c) Categorías de interesados
d) Categorías de datos personales tratados
e) Categorías de destinatarios a quien se comunican los datos
f) Transferencias internacionales de datos
g) Plazos del tratamiento hasta su supresión
h) Medidas técnicas y organizativas de seguridad
Los encargados del tratamiento también deberán llevar un registro de las actividades de tratamiento efectuadas por cuenta del responsable, pero solo deberá incluir los puntos d), f) y h), y además deberá incluir el nombre de cada responsable que le encarga el tratamiento.

Question 24

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, relativo al Registro de las actividades de tratamiento (Art. 30), ¿Qué empresas u organizaciones estarían exentas de dicho registro?

Answer 24

Están exentas las empresas y organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas o infracciones penales.

Question 25

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, relativo a la Seguridad de los datos personales y Análisis de riesgo (Art. 32), el AR debe hacerse y mantenerse de forma continuada. ¿A qué tipo de riesgos se refiere?

Answer 25

Se refiere a los riesgos sobre los derechos y libertades de las personas y por lo tanto se recorrerán las distintas dimensiones de la seguridad, en especial la Confidencialidad (accesos ilegítimos a los datos), la Integridad (modificaciones no autorizadas) y la Disponibilidad (eliminación de los datos) para realizar un completo análisis de riesgos.

Question 26

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, relativo al Análisis de riesgo (Art. 32), ¿Qué medidas técnicas y organizativas apropiadas incluirán?

Answer 26

Entre otras,
a) La seudonimización y el cifrado de datos personales
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico
d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento

Question 27

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, relativo a la Notificación de una violación de la seguridad de los datos personales a la autoridad de control (Art. 33), ¿Cuál es el plazo?

Answer 27

A más tardar 72 horas tras constancia de ella (excepto si probablemente no constituye riesgo). Si hay retraso, se indicarán los motivos del mismo

Question 28

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, relativo a la Evaluación de impacto relativa a la protección de datos (art. 35), cuando exista alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una Evaluación de Impacto en la Protección de Datos Personales (EIPD, instrumento que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos). ¿En qué casos se realizará?

Answer 28

Se realizará siempre que:
◦ evaluación sistemática y exhaustiva de datos personales de forma automatizada
◦ tratamiento a gran escala de categorías especiales de datos
◦ observación sistemática a gran escala de una zona de acceso público

Question 29

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, relativo a la Consulta previa (art. 36), el responsable, consultará a la autoridad de control antes de proceder al tratamiento, cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo. ¿Qué plazos tiene la autoridad de control para responder por escrito?

Answer 29

Un plazo de ocho semanas (podrá prorrogarse 6 semanas, en función de la complejidad del tratamiento previsto) desde la solicitud de la consulta.

Question 30

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, ¿Qué funciones tiene el Delegado de Protección de Datos?

Answer 30

a) Informar y asesorar al responsable o encargado de las obligaciones que les impone la normativa de protección de datos
b) Supervisar el cumplimiento de la normativa
c) Asesorar acerca de las evaluaciones de impacto y supervisar su aplicación
d) Cooperar con la autoridad de control
e) Actuar de punto de contacto con la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa en caso de evaluaciones de impacto de riesgo alto, así como realizar consultas sobre cualquier otro asunto.

Question 31

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, ¿En qué casos es obligatorio el Delegado de Protección de Datos?

Answer 31

1. tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial
   
   2. actividades principales requieran una observación habitual y sistemática de interesados a gran escala
   3. tratamiento a gran escala de categorías especiales de datos personales (art. 9) y de datos relativos a condenas e infracciones penales (art. 10)

Question 32

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, el tratamiento de los datos de contacto y relativos a la función o puesto desempeñado está amparado por el reglamento, ¿en qué casos?

Answer 32

• tratamiento se refiera únicamente a los datos necesarios para su localización profesional
  
  • mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

Question 33

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, ¿Qué tipos de tratamientos específicos se consideran lícitos?

Answer 33

Sistemas de información crediticia
Lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia. Las entidades que mantengan el sistema y las acreedoras tendrán la condición de corresponsables del tratamiento de los datos.

Tratamientos relacionados con la realización de determinadas operaciones mercantiles.
Se presumirán lícitos los tratamientos de datos que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial

Sistemas de exclusión publicitaria
Será lícito el tratamiento de datos personales que tenga por objeto evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas (LISTA ROBINSON).

Tratamientos con fines de videovigilancia

Sistemas de información de denuncias internas

Tratamiento de datos en el ámbito de la función estadística pública
La comunicación de datos a dichos órganos se considerará amparada por el cumplimiento de una misión de interés público (artículo 6.1.e del RGPD) sólo si la estadística a realizar está exigida por una norma de la UE o está incluida en instrumentos estadísticos legales

Tratamiento de datos con fines de archivo en interés público por parte de las Administraciones Públicas

Tratamiento de datos relativos a infracciones y sanciones administrativas

Tratamiento de operaciones mercantiles (absorciones, adquisiciones, fusiones)

Actividades electorales de los partidos políticos
Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.

Tratamientos por responsables públicos

Question 34

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, relativo a los Tratamientos con fines de videovigilancia, se legitima el tratamiento de imágenes de cámaras y videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones, ¿Qué se debe cumplir?

Answer 34

• No se podrán captar imágenes de la vía pública, o sólo en la medida imprescindible
  
  • Las imágenes deben suprimirse en un mes
  • se colocará un cartel informativo
  • También se debe avisar e informar cuando se realicen grabaciones por el empleador en el lugar de trabajo (no en lugar de descanso)

Question 35

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, relativo a los Sistemas de información de denuncias internas, será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que
pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. ¿Qué garantías se deben cumplir?

Answer 35

• informar a los empleados y terceros
  
  • Se preservará la identidad y confidencialidad
  • conservarán los datos durante el tiempo imprescindible, máximo de tres meses
  • Estos principios también aplicarán a los sistemas que puedan crearse en las Administraciones Públicas

Question 36

Según el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo, del 27 de abril 2016, relativo al Tratamiento de datos relativos a infracciones y sanciones administrativas, ¿Qué es exigible?

Answer 36

• Que los responsables de dichos tratamientos sean los órganos competentes para la instrucción del procedimiento sancionador, para la declaración de las infracciones o la imposición de las sanciones.
  
  • Que el tratamiento se limite a los datos estrictamente necesarios para la finalidad perseguida por aquel.
    Cuando no se cumpla alguna de las condiciones previstas en el apartado anterior, habrán de contar con el consentimiento del interesado o estar autorizados por una norma con rango de ley
    Fuera de los supuestos señalados, sólo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

Question 37

La LOPDGDD, incorpora en su Título X, la regulación de los derechos digitales
de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la
Constitución Española. Enumera cada uno de estos 17 derechos.

Answer 37

Derecho a la neutralidad de Internet

Derecho de acceso universal a Internet

Derecho a la seguridad digital

Derecho a la educación digital

Protección de los menores en Internet

Derecho de rectificación en Internet

Derecho a la actualización de informaciones en medios de comunicación digitales

Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral

Derecho a la desconexión digital en el ámbito laboral

Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo

Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral

Derechos digitales en la negociación colectiva

Protección de datos de los menores en Internet

Derecho al olvido en búsquedas de Internet

Derecho al olvido en servicios de redes sociales y servicios equivalentes

Derecho de portabilidad en servicios de redes sociales y servicios equivalentes

Derecho al testamento digital (las personas vinculadas familiarmente podrán acceder al correo electrónico, redes sociales y servicios de mensajería instantánea pudiendo borrar o modificar los datos que contengan)

Question 38

Según la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales, se establece que el modo que tiene la Agencia Española de Protección de datos de relacionarse con el Gobierno es a través de:

a) Secretaría de Estado de Telecomunicaciones y Sociedad de la Información
b) Secretaría General de Administración Digital
c) Ministerio de Justicia
d) Ministerio de Economía y Empresa

Answer 38

C
La AEPD actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones y se relaciona con el Gobierno a través del Ministerio de Justicia

Question 39

Según la normativa vigente de protección de datos, ¿quien o quienes no están sujetos al régimen sancionador?

a) Los responsables de los tratamientos.
b) Los delegados de protección de datos.
c) Los encargados de los tratamientos.
d) Las entidades de certificación.

Answer 39

B

Question 40

La Agencia de Protección de Datos se adscribe al Ministerio de:

a) Administraciones Públicas
b) Industria, Turismo y Comercio
c) Justicia
d) Ninguna es correcta

Answer 40

D
La AEPD actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones y se relaciona con el Gobierno a través del Ministerio de Justicia

Question 41

¿Cuál es el plazo máximo para resolver un procedimiento que se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 y qué sucede si se supera ese plazo?

a) El plazo máximo es de tres meses y se produce su caducidad.
b) El plazo máximo es de seis meses y se produce su caducidad.
c) El plazo máximo es de nueve meses y se produce su caducidad.
d) El plazo máximo es de seis meses y el interesado puede considerar estimada su reclamación si se supera ese plazo.

Answer 41

B

Question 42

¿Cuál es la sanción por una falta grave según el RGPD?

a) Multa administrativa de hasta 10.000.000€ o, en el caso de empresas, de cuantía equivalente al 2% como máximo del volumen de negocio total anual, lo que resulte mayor en cuantía.
b) Multa administrativa de hasta 20.000.000€ o, en el caso de empresas, de cuantía equivalente al 4% como máximo del volumen de negocio total anual, lo que resulte mayor en cuantía.
c) Dependiendo de factores, como la reincidencia en la infracción podrá ser entre 40.001€ y 300.000€.
d) El RGPD no especifica cuantía para las sanciones.

Answer 42

A

Question 43

Cual es la composición del Consejo Consultivo de la AEPD

Answer 43

• Un diputado, propuesto por el Congreso de los Diputados.
• Un senador, propuesto por el Senado.
• Un representante designado por el Consejo General del Poder Judicial.
• Un representante de la Administración General del Estado con experiencia en la materia, propuesto por el ministro de Justicia.
• Un representante de cada comunidad autónoma que haya creado una Autoridad de Protección de Datos en su ámbito territorial, propuesto de acuerdo con lo que establezca la respectiva comunidad autónoma.
• Un experto propuesto por la Federación Española de Municipios y Provincias.
• Un experto propuesto por el Consejo de Consumidores y Usuarios.
• Dos expertos propuestos por las organizaciones empresariales.
• Un representante de los profesionales de la protección de datos y de la privacidad, propuesto por la asociación de ámbito estatal con mayor número de asociados.
• Un representante de los organismos o entidades de supervisión y
  resolución extrajudicial de conflictos previstos en el capítulo IV del título V, propuesto por el ministro de Justicia.
• Un experto, propuesto por la Conferencia de Rectores de las Universidades Españolas.
• Un representante de las organizaciones que agrupan a los Consejos
  Generales, Superiores y Colegios Profesionales de ámbito estatal de las diferentes profesiones colegiadas, propuesto por el ministro de Justicia.
• Un representante de los profesionales de la seguridad de la información, propuesto por la asociación de ámbito estatal con mayor número de asociados.
• Un experto en transparencia y acceso a la información pública propuesto por el Consejo de Transparencia y Buen Gobierno.
• Dos expertos propuestos por las organizaciones sindicales más
  representativas.

Question 44

¿Cuál es la duración del mandato tanto de la Presidencia como la del Adjunto a la Presidencia de la Agencia Española de Protección de Datos?

a) cinco años y puede ser renovado para otro período de igual duración.
b) cuatro años sin que pueda ser renovado en ningún caso.
c) seis años sin que pueda ser renovado en ningún caso.
d) cuatro años y puede ser renovado para otro período de igual duración.

Answer 44

A