Normativa Ciberseguridad UD 10

¿Cuál es el objetivo principal de la UE en materia de transferencias internacionales de datos personales?. Dejar la decisión únicamente a las empresas, sin requisitos adicionales. Garantizar que los datos de ciudadanos europeos solo se envíen a destinos con nivel equivalente de protección. Evitar cualquier transferencia fuera de la UE por defecto. Permitir transferencias solo a países aliados.

El “Escudo de Privacidad UE–EE. UU.” fue declarado inválido por: El Tribunal de Justicia de la Unión Europea (TJUE). El Tribunal Supremo español. La AEPD. El Congreso de EE. UU.

¿Qué conjunto de información es razonable incluir en una consulta previa a la autoridad de control?. Únicamente el contrato con el proveedor cloud. Solo la lista de empleados con acceso. Solo el presupuesto anual de ciberseguridad y el organigrama. Responsabilidades (responsable/corresponsable/encargados), fines y medios del tratamiento, medidas y garantías, contacto del DPD, evaluación de impacto y lo que requiera la autoridad.

Tras la invalidez del Escudo, ¿qué mecanismo contractual se utiliza de forma habitual para aportar garantías en transferencias?. Pedir autorización caso por caso a la AEPD para cada transferencia. Cláusulas Contractuales Tipo (CCT/SCC). Cambiar la sede social a EE. UU. Publicar un aviso legal en la web.

Ejemplo: una academia en España usa una plataforma con servidores en EE. UU. para gestionar matrículas (datos personales). ¿Qué opción reduce el riesgo normativo de la transferencia?. Enviar los datos cifrados por email. Alojar/gestionar los datos en servidores ubicados en la UE (hosting o cloud en la UE). Guardar solo el nombre y apellidos. Desactivar las cookies.

¿Cuándo se contempla la consulta previa a la autoridad de control antes de iniciar un tratamiento?. Cuando cambie el delegado de protección de datos. Siempre que exista una transferencia internacional, sin excepciones. Cuando se identifique un riesgo que no pueda eliminarse o mitigarse suficientemente. Solo si lo solicita el interesado.

¿Cuál es el problema clave que ha afectado a transferencias de datos a EE. UU. en el contexto RGPD?. La normativa estadounidense puede permitir acceso a datos de no estadounidenses por seguridad nacional más allá de lo considerado necesario/proporcionado en la UE. En EE. UU. está prohibido usar cifrado. Las empresas europeas no pueden firmar contratos con proveedores americanos. La UE prohíbe cualquier servicio cloud.

¿En qué tres grandes supuestos se permite comunicar datos personales fuera del EEE?. Decisión de adecuación / garantías adecuadas / excepciones (derogaciones) por necesidad o interés. Solo con consentimiento, solo con contrato, solo con auditoría. Únicamente con cláusulas contractuales tipo. Solo a organizaciones internacionales.

Ejemplo: se pierde un USB con datos personales de clientes. Si hay riesgo para derechos y libertades, ¿en cuánto tiempo debe notificarse a la autoridad de control desde que se tiene constancia?. 72 horas. 7 días. 48 horas. 24 horas.

¿Qué artículos del RGPD conforman el marco específico de las transferencias internacionales?. Arts. 33 y 34. Arts. 24 a 32. Arts. 12 a 22. Arts. 44 a 50.