Normativa Ciberseguridad UD 9

Según el art. 35.1 RGPD, ¿Cuándo debe realizarse una EIPD?. Solo cuando lo exija el delegado de protección de datos (DPD/DPO). Cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para derechos y libertades. Siempre que el tratamiento tenga base en consentimiento. Únicamente cuando se produzca una brecha de seguridad.

Tras realizar una EIPD para una app móvil que geolocaliza a usuarios, se concluye que queda alto riesgo residual pese a las medidas previstas. ¿Qué debe hacerse antes de iniciar el tratamiento?. Notificar una brecha en 72 horas. Iniciar el tratamiento y documentar la decisión en el Registro de Actividades. Consultar a la autoridad de control (AEPD) antes de iniciar el tratamiento. Pedir consentimiento explícito y con eso basta para evitar la consulta previa.

¿Qué afirmación describe mejor la finalidad de las “listas blancas y negras” de la autoridad de control (AEPD)?. Publicar sanciones y apercibimientos por incumplimientos. Determinar qué empresas están exentas del RGPD. Definir tipos de tratamientos que requieren EIPD y tipos que no la requieren. Sustituir el art. 35 del RGPD por un criterio nacional.

¿Qué elemento NO forma parte del contenido mínimo de una EIPD según el art. 35.7 RGPD?. Registro de ficheros inscritos ante la autoridad de control. Evaluación de necesidad y proporcionalidad respecto a la finalidad. Evaluación de riesgos para derechos y libertades. Descripción sistemática de las operaciones y fines del tratamiento.

En el proceso de EIPD, ¿Qué rol “asesora obligatoriamente” durante la evaluación si ha sido nombrado?. El Comité de Empresa. El Delegado de Protección de Datos (DPD/DPO). El Auditor externo. El Responsable de Seguridad (CISO).

¿Cuál de los siguientes supuestos encaja específicamente en el art. 35.3 RGPD como caso “en particular” para exigir EIPD?. Envío de comunicaciones comerciales a clientes existentes. Elaboración de perfiles con decisiones que produzcan efectos jurídicos o afecten significativamente. Copias de seguridad internas de documentos administrativos. Tratamiento ocasional de datos de contacto de proveedores.

Un ayuntamiento quiere instalar cámaras con analítica de vídeo (detección automática de comportamientos) en una plaza pública. ¿Qué opción es más correcta?. Debe hacerse EIPD antes, porque es observación sistemática de zona pública y puede implicar alto riesgo. No hace falta EIPD si los carteles informativos están visibles. Se evita la EIPD si las imágenes se guardan menos de 30 días. Basta con registrar el tratamiento y no aplicar medidas adicionales.

Una empresa va a implantar un sistema de control horario con huella dactilar para toda la plantilla. ¿Qué actuación es la más adecuada desde el punto de vista de la EIPD?. Sustituir la EIPD por un consentimiento firmado por cada empleado. No procede EIPD porque es un tratamiento interno. Realizar EIPD antes de implantarlo, por tratar datos biométricos con posible alto riesgo. Implantarlo y, si hay quejas, hacer la EIPD después.

¿Cuándo debe revisarse una EIPD, como mínimo, según el art. 35.11 RGPD?. Solo tras una inspección de la autoridad de control. Solo cuando cambie el proveedor (encargado del tratamiento). Al menos cuando exista un cambio en el nivel de riesgo del tratamiento. Cada año, obligatoriamente.

¿Cuál es el objetivo principal de una Evaluación de Impacto en Protección de Datos (EIPD)?. Sustituir el análisis de riesgo en tratamientos de bajo riesgo. Registrar ficheros ante la autoridad de control. Identificar, evaluar y gestionar riesgos para derechos y libertades antes de iniciar el tratamiento. Elaborar el inventario de activos de TI de la organización.