Cuestionario sobre Medidas de Responsabilidad Activa y Disposiciones Generales en Protección de

¿Cuál es el objetivo principal del Artículo 28.1?. Definir las sanciones por incumplimiento. Establecer las obligaciones generales del responsable y encargado del tratamiento para garantizar la conformidad con el RGPD. Detallar los derechos de los afectados. Regular la transferencia internacional de datos.

¿En qué supuestos el Artículo 28.2 indica que los responsables y encargados deben tener en cuenta mayores riesgos?. Solo en tratamientos de datos de salud. En cualquier tratamiento de datos personales. Cuando el tratamiento pudiera generar situaciones de discriminación, fraude, o afectar derechos y libertades de los afectados, entre otros. Únicamente cuando se traten datos de menores.

¿Qué tipo de datos se mencionan en el Artículo 28.2.c) como supuestos de mayor riesgo?. Datos de contacto y dirección. Datos de navegación web. Categorías especiales de datos y datos relacionados con la comisión de infracciones administrativas. Datos públicos y de acceso general.

Según el Artículo 28.2.d), ¿qué tipo de tratamientos implican mayores riesgos relacionados con perfiles personales?. Tratamientos que solo recogen nombres y direcciones. Tratamientos que implican una evaluación de aspectos personales para crear o utilizar perfiles, como análisis de rendimiento laboral o salud. Tratamientos de datos de contacto para fines comerciales. Tratamientos que solo utilizan datos anonimizados.

¿Qué colectivo se menciona específicamente en el Artículo 28.2.e) como especialmente vulnerable en tratamientos de datos?. Personas mayores de 65 años. Profesionales de la salud. Menores de edad y personas con discapacidad. Funcionarios públicos.

El Artículo 28.2.g) considera un mayor riesgo la transferencia habitual de datos a terceros Estados u organizaciones internacionales que... ...tengan un nivel de protección de datos muy alto. ...no se encuentren en la Unión Europea. ...no se haya declarado un nivel adecuado de protección. ...estén ubicados en países con acuerdos bilaterales.

¿Qué determina el Artículo 29 para establecer las responsabilidades en casos de corresponsabilidad?. La fecha de inicio del tratamiento. Las actividades que efectivamente desarrolle cada uno de los corresponsables. El tamaño de la empresa. La nacionalidad de los afectados.

En el caso de responsables o encargados no establecidos en la UE (Artículo 30), ¿quiénes pueden ser objeto de imposición de medidas por parte de las autoridades de protección de datos?. Únicamente el responsable del tratamiento. El representante, solidariamente con el responsable o encargado. Los afectados en España. Los inspectores de la Agencia Española de Protección de Datos.

Según el Artículo 30.2, ¿quiénes responderán solidariamente en caso de exigencia de responsabilidad por daños y perjuicios?. Solo los responsables del tratamiento. Los encargados y los afectados. Los responsables, encargados y representantes. Las autoridades de protección de datos.

¿Qué obligación tienen los responsables y encargados respecto al registro de actividades de tratamiento según el Artículo 31.1?. No tienen obligación de mantenerlo. Deben mantenerlo si el tratamiento afecta a más de 100 personas. Deben mantenerlo, salvo la excepción del artículo 30.5 del RGPD. Solo deben mantenerlo si lo solicita la autoridad de protección de datos.

¿Qué se debe comunicar al delegado de protección de datos según el Artículo 31.1?. Solo las nuevas finalidades del tratamiento. Cualquier adición, modificación o exclusión en el contenido del registro de actividades de tratamiento. Las quejas de los afectados. Los informes de auditoría externa.

Los sujetos del Artículo 77.1 de esta ley orgánica deben hacer público un inventario de sus actividades de tratamiento accesible por medios electrónicos. ¿Qué información debe constar en él?. Solo el nombre del responsable. La información del artículo 30 del RGPD y su base legal. Los datos de contacto de los afectados. El presupuesto asignado a la protección de datos.

Según el Artículo 32.1, ¿cuándo está el responsable del tratamiento obligado a bloquear los datos?. Al inicio de cualquier tratamiento. Cuando proceda a su rectificación o supresión. Cuando un afectado lo solicite. Antes de realizar una transferencia internacional.

¿Qué implica el bloqueo de datos según el Artículo 32.2?. La eliminación inmediata de los datos. La identificación y reserva de los datos para impedir su tratamiento, excepto para fines legales específicos. La transferencia de los datos a un archivo seguro. La cesión temporal de los datos a terceros.

Tras el plazo de prescripción de las responsabilidades, ¿qué debe ocurrir con los datos bloqueados, según el Artículo 32.2?. Deben ser devueltos al responsable. Deben ser suprimidos. Deben ser transferidos a la Agencia de Protección de Datos. Deben ser anonimizados.

En situaciones donde el bloqueo técnico es difícil, ¿qué medida alternativa se contempla en el Artículo 32.4?. Ignorar la obligación de bloqueo. Proceder a un copiado seguro de la información para acreditar su autenticidad, fecha de bloqueo y no manipulación. Solicitar una excepción a la autoridad de protección de datos. Realizar un tratamiento temporal de los datos.

¿Quiénes pueden fijar excepciones a la obligación de bloqueo de datos según el Artículo 32.5?. Los propios responsables del tratamiento. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos. El Comité Europeo de Protección de Datos. Los afectados mediante solicitud.

El acceso de un encargado a datos personales para prestar un servicio al responsable, ¿se considera comunicación de datos según el Artículo 33.1?. Sí, siempre. No, si se cumplen los requisitos del RGPD y la ley orgánica. Solo si el encargado actúa por cuenta propia. Depende del tipo de dato.

¿Cuándo se considera que una entidad es responsable del tratamiento y no encargada, según el Artículo 33.2?. Cuando actúa por cuenta de otro. Cuando establece relaciones con los afectados en su propio nombre y para sus propias finalidades. Cuando firma un contrato de encargado del tratamiento. Cuando realiza tratamientos masivos.

Al finalizar la prestación de servicios de un encargado, ¿quién determina el destino de los datos personales (destrucción, devolución o entrega a un nuevo encargado)?. El encargado del tratamiento. El afectado. El responsable del tratamiento. La autoridad de protección de datos.

¿Puede el encargado del tratamiento conservar datos bloqueados?. No, nunca. Sí, mientras puedan derivarse responsabilidades de su relación con el responsable. Solo si el responsable lo autoriza explícitamente. Durante un máximo de un año.

En el sector público, ¿a quién se pueden atribuir las competencias de encargado del tratamiento según el Artículo 33.5?. A cualquier funcionario. A un determinado órgano de la Administración, mediante norma reguladora. A empresas privadas externas. A los propios responsables.

¿En qué supuestos, además de los del RGPD, los responsables y encargados deben designar un delegado de protección de datos (DPD) según el Artículo 34.1?. En todas las empresas que traten datos personales. En colegios profesionales, centros docentes, universidades, y entidades que presten servicios de comunicaciones electrónicas, entre otras entidades listadas. Solo en empresas con más de 50 empleados. Cuando se traten datos de clientes.

¿Qué entidades prestadoras de servicios de la sociedad de la información están obligadas a designar un DPD según el Artículo 34.1.d)?. Todas las que ofrezcan servicios en línea. Aquellas que elaboren a gran escala perfiles de los usuarios del servicio. Las que gestionen redes sociales. Las que ofrezcan comercio electrónico.

¿Qué tipo de centros sanitarios están obligados a designar un DPD según el Artículo 34.1.l)?. Todos los centros sanitarios. Aquellos legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Solo hospitales públicos. Clínicas privadas que ofrezcan servicios de estética.

¿Se exceptúan los profesionales de la salud que ejerzan individualmente y estén obligados a mantener historias clínicas?. No, también deben designar un DPD. Sí, están exceptuados de la obligación de designar un DPD. Solo si no tratan datos de categorías especiales. Solo si el tratamiento es esporádico.

¿Qué deben comunicar los responsables o encargados a la autoridad de protección de datos sobre los delegados de protección de datos, según el Artículo 34.3?. Solo su nombramiento. Las designaciones, nombramientos y ceses, en el plazo de diez días. Sus informes anuales. Sus cualificaciones.

¿Qué información mantendrán las autoridades de protección de datos sobre los delegados de protección de datos (Artículo 34.4)?. Sus salarios. Una lista actualizada accesible por medios electrónicos. Sus currículums vitae. Los contratos firmados con las empresas.

¿Qué criterios se pueden considerar para establecer la dedicación del DPD (completa o parcial), según el Artículo 34.5?. La preferencia del DPD. El volumen de tratamientos, categoría de datos o riesgos para los derechos y libertades. El tamaño del edificio de la empresa. La antigüedad del DPD en la empresa.

¿Cómo se puede demostrar la cualificación del delegado de protección de datos (Artículo 35)?. Mediante una declaración jurada. A través de mecanismos voluntarios de certificación, incluyendo titulación universitaria especializada. Por la recomendación de un directivo. Mediante una entrevista personal con la autoridad.

¿Cuál es el rol del DPD ante las autoridades de protección de datos (Artículo 36.1)?. Actúa como representante legal del afectado. Actúa como interlocutor del responsable o encargado ante la Agencia Española de Protección de Datos y autoridades autonómicas. Solo responde a las consultas de los empleados. Solo gestiona las reclamaciones.

Si el DPD es una persona física integrada en la organización, ¿cuándo puede ser removido o sancionado (Artículo 36.2)?. En cualquier momento por decisión del responsable. Por desempeño de sus funciones, salvo que incurra en dolo o negligencia grave. Si no cumple objetivos de reducción de incidencias. Si solicita un aumento de sueldo.

¿Ante quién debe el DPD comunicar una vulneración relevante en materia de protección de datos (Artículo 36.4)?. Directamente a los afectados. A los órganos de administración y dirección del responsable o encargado. A la Agencia Española de Protección de Datos de inmediato. A sus colegas.

Si un afectado presenta una reclamación ante la autoridad de protección de datos, ¿puede esta remitirla al DPD (Artículo 37.2)?. No, nunca. Sí, para que este responda en el plazo de un mes. Solo si la reclamación es sobre datos de menores. Solo si el afectado está de acuerdo.

¿Qué ocurre si el DPD no responde a una reclamación remitida por la autoridad de protección de datos en el plazo establecido (Artículo 37.2)?. El procedimiento se archiva. La autoridad continuará el procedimiento sin más demora. Se sanciona automáticamente al responsable. Se pide una prórroga al afectado.

¿A quién van dirigidos los códigos de conducta regulados por el Artículo 38?. Exclusivamente a las autoridades de protección de datos. A quienes se adhieran a ellos, siendo vinculantes para ellos. Solo a los encargados del tratamiento. A todos los ciudadanos de la UE.

¿Quiénes pueden promover códigos de conducta según el Artículo 38.2?. Solo las asociaciones sectoriales. Asociaciones, organismos, empresas, grupos de empresas, responsables, encargados y entidades de supervisión. Únicamente las autoridades de protección de datos. Los propios afectados.

Si un responsable o encargado somete una reclamación a un organismo de supervisión de código de conducta y este la desestima, ¿qué puede hacer el afectado?. No puede hacer nada más. Puede formular la reclamación ante la Agencia Española de Protección de Datos o autoridad autonómica competente. Debe iniciar un proceso judicial de inmediato. Debe solicitar una mediación.

¿Quién aprueba los códigos de conducta según el Artículo 38.3?. El Comité Europeo de Protección de Datos. La Agencia Española de Protección de Datos o la autoridad autonómica competente. Un comité de expertos independientes. El Ministerio de Economía.

¿Qué registro mantendrán la Agencia y las autoridades autonómicas sobre códigos de conducta (Artículo 38.5)?. Registros privados de acceso restringido. Registros interconectados y coordinados con el registro del Comité Europeo de Protección de Datos, accesibles electrónicamente. Registros impresos en papel. Registros solo accesibles para funcionarios.

Además de la autoridad de control, ¿quién más puede realizar la acreditación de las instituciones de certificación (Artículo 39)?. El Comité Europeo de Protección de Datos. La propia empresa que busca la certificación. La Entidad Nacional de Acreditación (ENAC). Un notario público.

¿Qué información debe comunicar la ENAC a las autoridades de protección de datos según el Artículo 39?. Las reclamaciones recibidas. Las concesiones, denegaciones o revocaciones de acreditaciones y su motivación. Los informes de auditoría interna. Los datos personales de los solicitantes.

¿Qué norma regula el contenido del registro y las especialidades del procedimiento de aprobación de los códigos de conducta?. El Reglamento (UE) 2016/679. La presente ley orgánica. Un real decreto. La jurisprudencia del Tribunal de Justicia de la UE.

En el Artículo 28.2.b), se menciona que el tratamiento puede ser un riesgo cuando prive a los afectados de sus derechos y libertades o les impida el ejercicio del control sobre sus datos. ¿Qué se entiende por control sobre sus datos?. La capacidad de borrar los datos de forma inmediata. La posibilidad de decidir sobre la recogida, uso, y cesión de sus datos personales. El derecho a acceder a información pública. La facultad de crear perfiles personales.

El Artículo 33.3 menciona la devolución o entrega de datos a un 'nuevo encargado'. ¿Qué implicación tiene esto para el responsable del tratamiento?. Que el responsable debe asegurarse de la continuidad en la protección de datos. Que el nuevo encargado asume toda la responsabilidad anterior. Que el responsable no tiene más obligaciones. Que los datos se transfieren libremente.

¿Qué sucede si el responsable o encargado del tratamiento no designa un DPD cuando es obligatorio según el Artículo 34?. Nada, es opcional. Podría ser objeto de sanción por parte de la autoridad de protección de datos. Debe solicitar una dispensa. Debe publicar un aviso en su web.

El Artículo 36.3 permite al DPD acceder a datos personales y procesos de tratamiento sin que el responsable pueda oponer el deber de confidencialidad. ¿A qué se refiere este acceso 'sin oposición'?. El DPD puede divulgar la información libremente. El responsable no puede impedir el acceso del DPD a la información necesaria para sus funciones, ni invocar secreto profesional. Solo se aplica a datos públicos. El DPD debe solicitar permiso al afectado.

¿Qué artículo del RGPD se menciona repetidamente en el documento como base para las disposiciones de la ley orgánica?. Artículo 21. Artículo 40. Artículo 30. Artículo 15.

Según el Artículo 38.2, los responsables o encargados que se adhieran a un código de conducta se obligan a someter las reclamaciones que les formulen los afectados a un organismo de supervisión. ¿En qué caso esto es aplicable?. Solo si la reclamación es sobre datos de salud. En caso de considerar que no procede atender a lo solicitado en la reclamación. Siempre, independientemente de la naturaleza de la reclamación. Solo si la autoridad de protección de datos lo solicita.