REPASO PROTECCIÓN DE DATOS

Con carácter general, ¿en qué supuesto de los descritos a continuación es obligatorio nombrar a un representante del art. 27 RGPD?. Cuando el responsable del tratamiento considere que es adecuado para los objetivos de su empresa. Cuando el responsable o encargado no establecido en la UE sea una autoridad u organismo público. Con carácter previo a la realización de una transferencia o conjunto de transferencias internacionales de datos. Cuando el RGPD se aplique a un responsable o encargado que no está establecido en la UE por llevar a cabo operaciones de tratamiento relacionadas con la oferta de bienes o servicios a los interesados en la UE, independientemente de si a estos se les requiere su pago, o con el control de su comportamiento, en la medida en que este tenga lugar en la UE, con arreglo al art. 3.2 del RGPD.

A los efectos del RGPD, se entenderá por «encargado del tratamiento»: La persona física que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. La persona física o jurídica que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. La persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

El responsable del tratamiento se caracteriza por ser: La persona designada por la autoridad de control para supervisar el cumplimiento de la normativa en materia de protección de datos. El sujeto que trata efectiva y materialmente los datos personales. La persona que actúa bajo las autoridad del Delgado de Protección de Datos (DPD). El sujeto que gobierna las operaciones de tratamiento, con independencia de que trate o no directamente los datos personales.

¿Qué ocurre cuando el encargado del tratamiento infringe el RGPD al determinar los fines y los medios (esenciales) del tratamiento?. El responsable del tratamiento tiene la obligación de notificarlo a la AEPD para que inicie un procedimiento sancionador contra el encargado del tratamiento infractor. El RGPD se remite al supuesto de corresponsabilidad del art. 26. Será considerado responsable del tratamiento con respecto a dicho tratamiento. El RGPD no prevé expresamente ninguna consecuencia jurídica para dicha situación.

Si un organismo público determina el software que empleará para el tratamiento de datos de una serie de personas físicas: Se convierte automáticamente en responsable del tratamiento, al determinar los medios esenciales del tratamiento. No se convierte en responsable del tratamiento a priori, pues no tiene poder de determinación sobre medios esenciales del tratamiento. Los organismos públicos no tienen la consideración de responsables del tratamiento, sino sólo las entidades privadas. Se convierte en responsable del tratamiento si además determina los fines del tratamiento.

El principio de responsabilidad proactiva constituye uno de las novedades más sonadas del RGPD: Se trata de un principio rector que impone la necesidad de efectuar evaluaciones de impacto y adoptar las medidas que se estimen oportunas sobre la base de las mismas. Se trata de un principio rector que impone la necesidad de designar en todo caso un delegado de protección de datos. Se trata de un principio rector que exige informar con la máxima claridad y accesibilidad posible. Ninguna de las respuestas es correcta.

La entidad SOCIMY S.L. es responsable del tratamiento y recaba más datos personales de sus clientes que los necesarios para la finalidad perseguida: La entidad incurre en una vulneración del principio de minimización de los datos, lo cual dará lugar a la imposición de una sanción administrativa, cuya cuantía irá a parar a manos del interesado lesionado. La entidad incurre en una vulneración del principio de minimización de los datos, lo cual dará lugar al accionamiento de la responsabilidad administrativa y, paralelamente, de la responsabilidad civil correspondiente. La entidad incurre en una vulneración del principio de transparencia, lo cual dará lugar a la imposición de una sanción administrativa, cuya cuantía irá a parar a manos del interesado lesionado. La entidad no incurre en vulneración alguna directa de la normativa sobre protección de datos personales.

Si más de una entidad determina los fines y medios esenciales del tratamiento: Nos encontramos ante un supuesto de corresponsables, cuyas respectivas obligaciones pueden acordarse convencionalmente. Nos encontramos ante un supuesto de corresponsables, siendo idénticas cada una de las obligaciones asumidas por cada uno de ellos. Nos encontramos ante un supuesto de corresponsables siempre que cada uno de ellos determina los medios técnicos y organizativos. Ninguna de las respuestas es correcta.

Si una entidad determina los medios técnicos del tratamiento de datos y los trata materialmente siguiendo las instrucciones de otra entidad distinta: Se trata un encargado del tratamiento, al que se le pueden encomendar sus funciones mediante un contrato no sujeto a formalidad alguna. Se trata un encargado del tratamiento, al que se le pueden encomendar sus funciones mediante un contrato que debe formalizarse por escrito. Se trata de un representante del tratamiento, al que se le pueden encomendar sus funciones mediante un contrato que debe formalizarse por escrito. Ninguna de las respuestas es correcta.

La entidad Asesoramientos Virtuales S.L. es encargada del tratamiento del Hotel América S.A.: Si entabla una relación directa con los clientes del Hotel América pasará a tener la consideración de responsable. Sólo pasará a tener la condición de responsable si incumple las instrucciones facilitadas por el responsable. Si entabla una relación directa con los clientes del Hotel América no pasará a tener la consideración de responsable siempre que trate los datos con la misma finalidad perseguida inicialmente con el tratamiento. Si observa las instrucciones facilitadas por el responsable nunca perderá la condición de encargado del tratamiento.

El encargado del tratamiento: Nunca incurre en responsabilidad civil, pues actúa por cuenta del responsable del tratamiento. Puede incurrir en responsabilidad civil únicamente si incumple las obligaciones específicas que le atribuye el RGPD. Puede incurrir en responsabilidad civil si incumple las obligaciones específicas que le atribuye el RGPD y cuando no observe las instrucciones dadas por el responsable. Ninguna de las respuestas es correcta.

Desde el 27 de abril de 2016 nos encontramos con un nuevo Reglamento de Protección de Datos (RGPD), si bien es de obligado cumplimiento desde el 25 de mayo de 2018. ¿Cuáles considera que son dos de los motivos principales que han llevado al legislador europeo a promulgar esta nueva norma?. La protección de las personas físicas en relación con el tratamiento de sus datos personales es un derecho fundamental. Además, la rápida evolución tecnológica y la globalización han planteado nuevos restos para la protección de los datos personales. El derecho a la protección de datos personales es un derecho absoluto, que debe prevalecer sobre los demás derechos fundamentales. Ante salida del Reino Unido de la UE, como consecuencia del Brexit, era necesario fijar posturas más férreas para la protección de datos personales de los ciudadanos del resto de países miembros. Era conveniente llevar a cabo una armonización de esta materia entre todos los estados miembros, con objeto de evitar la fuga de datos personas a países terceros.

En diciembre de 2018 se aprobó la nueva “Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales" con objeto de llevar a cabo la adaptación de la normativa nacional al nuevo RGPD. Dicha adaptación era absolutamente necesaria pues la anterior LOPD se había quedado desfasada. La Agencia Española de Protección de Datos no estaba dispuesta a la aplicación directa del RGPD sin la previa promulgación de una nueva LOPD. La Agencia Española de Protección de Datos tenía serias dudas sobre cómo llevar a cabo la implantación del RGPD en nuestro pais. La nueva LOPD 3/2018 no era del todo necesaria pues el RGPD es una norma de directa aplicación en todos los estados miembros de la UE.

Para llevar a cabo el trabajo de Delegado de Protección de Datos, desde el punto de vista normativo: Será suficiente con conocer en profundidad el RGPD y la nueva LOPD. Será necesario conocer en profundidad el RGPD, la nueva LOPD, el nuevo Reglamento de Protección de Datos No Personales (RGDNP), así como otras normas y/o áreas del derecho (p.e. derecho administrativo), dependiendo de la organización o empresa para la que trabaje. El DPD no es necesario que sea un experto en derecho, pues siempre podrá apoyarse en el departamento o asesoría jurídica de la empresa u organismo para el que trabaje. El DPD debe pasar unos exámenes que acrediten y certifiquen sus conocimientos específicos del derecho que atañe a la protección de datos.

La Reputación son valores intangibles que se atribuyen a una organización por parte de los grupos de interés (stakeholders) que se relacionan con la misma; siendo la gestión de datos de carácter personal un activo intangible, cuya gestión puede afectar a la Reputación Corporativa. Una buena gestión de datos personales, especialmente en empresas con modelos de negocios basados en la nueva economía digital, puede ayudar a aumentar la reputación, la satisfacción, la lealtad, el reconocimiento, la rentabilidad y, por tanto, el valor de marca de la empresa. Da un poco igual como se lleve a cabo la protección y tratamiento de los datos personales, siempre que no se puedan identificar las personas físicas con los datos. Los datos personales es un Activo Intangible de escasa importancia, pues en las empresas la alta dirección tiene otros muchos asuntos más importantes que gestionar. Los datos personales son un activo intangible, pero, tras los casos de violación de datos ocurridos recientemente en algunas de las principales compañías tecnológicas, tampoco resulta tan relevante una adecuada gestión del mismo, pues las crisis de reputación al final se solventan solas.

Entre las novedades del nuevo RGPD destaca el conceto de “responsabilidad proactiva”. Este principio exige llevar a cabo auditorias de las medidas de seguridad cada dos años. Este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo; poniendo el foco principalmente en la gestión de riesgos y en la privacidad. Así como, la obligación de designar a un DPD en algunos supuestos. El cumplimiento de este principio exime de la obligación de nombrar a un DPD, en los supuestos de obligatoriedad, siempre que se acredite el análisis de riesgos y que se vela por la privacidad. La Agencia Española de Protección de Datos exime de la inscripción de ficheros a las empresas que acrediten cumplir con este principio de proactividad.

Entre los supuestos de obligatoriedad de nombrar a un DPD se encuentran los siguientes: Cuando el tratamiento lo llevan a cabo los tribunales en el ejercicio de su función judicial. Cuando los tratamientos de datos de características especiales se refieran solo a datos de salud. Solo las empresas u organismos con un volumen de negocios y/o presupuesto anual superior a un millón de euros se encuentran obligadas a designar a un DPD. Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observancia habitual y sistemática de interesados a gran escala.

Los supuestos de exigencia de nombramiento del DPD son “comunes” al Responsable y Encargado del Tratamiento; debiéndose dejar constancia documental de dicha designación (p.e. en acta del consejo de administración y/o comité de dirección que tome la decisión). Cuando se de alguno de dichos requisitos en cualquiera de ellos tendrán que designar un DPD; pudiéndonos encontrar con varios DPD para gestionar los mismos datos (el designado por el responsable y el designado por el encargado). Siempre que el responsable haya nombrado un DPD, el encargado queda eximido de dicha obligación. En el caso de que el encargo designe el DPD, el responsable puede obviar su nombramiento. Si ambos se ponen de acuerdo pueden compartir el mismo DPD.

El DPD será designado atendiendo a su “cualidades profesionales” y en particular: Siempre que pueda compatibilizar dichas funciones con algún otro puesto directivo relevante (p.e. director/a general, de RRHH, financiero, etc.). Conocimientos especializados del derecho, practica en materia de protección de datos y capacidad para ejecutar las tareas contempladas en el artículo 39 del RGPD. Conocimientos especializados de informática y experiencia como responsable de seguridad. Que haya pasado un curso de formación y las pruebas pertinentes para adquirir la certificación acreditativa.

El DPD será designado atendiendo a su “cualidades personales” y en particular: Capacidad de comunicación, empatía, habilidades personales, de gestión de equipos y de negociación. Así como, en su caso, el dominio de idiomas. Dominar varios idiomas y ser capaz de trabajar en equipo con personas de distintas culturas. Ser muy extrovertido para así ganarse a la gente y meterse en el bolsillo al primer ejecutivo de la empresa u organización. Disponer de una mentalidad emprendedora y de negocio que permita siempre aportar valor más allá de las funciones propias asignadas.

El DPD puede ser externo o interno, unipersonal o colectivo, persona física o jurídica. Siendo irrelevante su independencia y/o conflicto de intereses. Es aconsejable que exista cierta independencia, aunque esto no siempre será posible. Es necesario que exista independencia y segregación de funciones, por lo que el DPD no debería ser ninguno de los principales directores funcionales de la empresa u organización. En los casos de ser externo, es irrelevante lo de la independencia y/o conflictos de interés.

Indique la respuesta incorrecta. El tratamiento transfronterizo de datos personales tal y como se define por el Reglamento General de Protección de Datos Personales es aquél que se lleva a cabo entre Estados miembros de la UE. Las normas corporativas vinculantes tienen especial importancia a la hora de realizar transferencias internacionales de datos personales. Las normas corporativas vinculantes tienen especial importancia a la hora de realizar tratamientos transfronterizas de datos personales. El Reglamento General de Protección de Datos personales establece un concepto de datos personal relativo a la salud.

Indique cuál de los siguientes conceptos estaba definido expresamente en la Directiva 95/46, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995. Violación de la seguridad de los datos personales. Datos biométricos. Representante. Encargado del Tratamiento.

Señale la respuesta incorrecta. El Reglamento General de Protección de Datos 2016/679 establece un concepto de consentimiento similar al contenido en la Directica 95/46, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995. La seudonimización de los datos personales ayuda al responsable y al encargado del tratamiento a cumplir con la normativa en materia de protección de datos personales. La seudonimización reduce la probabilidad de identificar a los titulares de los datos personales. El Reglamento General de Protección de Datos 2016/679 establece distintos supuestos para discernir correctamente cual es el establecimiento principal de un responsable, encargado o grupos de empresas.

Señale la respuesta incorrecta. Determinados datos personales gozan de unas reglas específicas por ser especialmente sensibles. Los datos personales seudonimizados se les aplican las reglas en materia de protección de datos personales. Un dato que no logre identificar a una persona no es considerado dato personal a efectos de la normativa de protección de datos personales. Los datos anonimizados le son aplicadas las reglas en materia de protección de datos personales.

Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, entre los factores que se deberán de tener en cuenta señalados por el Reglamento General de Protección de datos encontramos: (Señale la respuesta incorrecta). Los costes de dichos medios de identificación. El tiempo que se requiere para tal identificación. Las instalaciones físicas de la organización que realiza el tratamiento de datos personales. La tecnología disponible en el momento del tratamiento.

Señale quién de estas figuras previstas por el Reglamento General de Protección de datos no se le exige el cumplimiento de obligaciones o deberes. Responsable. Encargado. Representante. Titular de los datos personales anonimizados.

Señale la respuesta incorrecta. La definición de datos personales establecida en el Reglamento General de Protección de Datos 2016/679 supone un concepto amplio de dato personal. Los datos anonimizados de una persona se consideran datos personales a efectos de la normativa en materia de protección de datos personales. Un dato personal seudonimizado se le aplican las normas en materia de protección de datos personales. El Documento Nacional de Identidad es un dato personal a efectos de la normativa en materia de protección de datos personales.

La figura del representante del responsable o el encargado del tratamiento puede llegar a ser necesaria cuando: El tratamiento de datos personales se realice en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no. El tratamiento de datos personales de interesados que se encuentren en la Unión se lleve a cabo por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago. El tratamiento de datos personales se realice por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público. El tratamiento de datos personales de interesados que se encuentren en la Unión se lleve a cabo por parte de un responsable o encargado establecido en la UE, y lleve a cabo actividades que estén relacionadas con el control del comportamiento de dichos interesados, en la medida en que este tenga lugar en la Unión.

Señale la respuesta correcta. La Directiva 95/46 CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 prevé más definiciones que el Reglamento General de Protección de Datos 2016/679. Los datos personales seudonimizados no le son aplicables las normas europeas sobre protección de datos. El Reglamento General de Protección de Datos 2016/679 se aplica a los datos anonimizados. La anonimización de los datos personales permite la exclusión de la aplicación europea sobre protección de datos personales.

Señale la respuesta correcta. El Reglamento General de Protección de Datos 2016/679 puede aplicarse a responsable y encargados no establecidos en la UE en circunstancias concretas. La figura del representante se exige a todas las organizaciones que traten datos personales que se encuentren situados fuera de la UE. El Reglamento General de Protección de Datos 2016/679 prevé un ámbito de aplicación territorial similar al previsto por la Directiva 95/46 CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995. El Reglamento General de Protección de Datos 2016/679 solo se aplica a empresas cuyo establecimiento se encuentre en la UE.

El Reglamento General de Protección de Datos 2016/679 no es aplicable a: Señale la incorrecta. Para aquellos tratamientos donde los datos o la información que se maneje sea anónima. El tratamiento de datos personales de personas fallecidas. El tratamiento de datos personales con fines de mercadotecnia. El tratamiento de datos personales relativos a personas jurídicas.

Las normas contenidas en el Reglamento General de Protección de Datos 2016/679 respecto al tratamiento de datos personales llevado a cabo por responsables o encargados que no se encuentran en la UE se aplicarán cuando: Señale la incorrecta. Las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a interesados en la UE, independientemente de si a estos se les requiere su pago. Las actividades de tratamiento estén relacionadas con el control del comportamiento de interesados, en la medida en que dicho control tenga lugar en la Unión. Las actividades indicadas en las letras a) y b) se refieren a interesados que residan en la UE. Las actividades indicadas en las letras a) y b) se refieren a interesados que se encuentren en la UE.

¿Qué materias de entre las señaladas no se incluye dentro del ámbito de aplicación del Reglamento General de Protección de Datos 2016/679?. El tratamiento de datos personales llevado a cabo por una empresa situada en la UE con fines de mercadotecnia. El tratamiento de datos personales llevado a cabo por un organismo público cuyas actividades pretendan resolver la tramitación de un expediente administrativo. El tratamiento de datos personales llevado a cabo por un organismo público cuyas actividades estén encaminadas a velar por la seguridad nacional. El tratamiento de datos llevado a cabo por un organismo público para proceder al pago de las nóminas de sus trabajadores.

El Reglamento General de Protección de Datos 2016/679 no se aplica a: La llevanza de una página web donde se incluye un catálogo de personas en el que se identifican a estas últimas. Las actividades llevadas a cabo por una persona física en redes sociales. La grabación de imágenes obtenidas a través de videocámaras de un negocio. Las actividades de tratamiento de datos personales llevadas a cabo por una red social de sus usuarios de sus usuarios en el desempeño de los servicios que presta.

No se incluyen dentro del ámbito de aplicación del Reglamento General de Protección de Datos 2016/679. Señale la respuesta incorrecta. El tratamiento de datos con fines de persecución de infracciones penales. El tratamiento de datos personales llevado a cabo por parte de las instituciones, órganos y organismos de la UE. Los tratamientos efectuados por una persona física en el ejercicio de actividades exclusivamente personales o domésticas. El tratamiento de datos no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. (Manuales).

La figura del bloqueo de los datos: No se regula en el Reglamento General de Protección de Datos sino en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Está estrechamente relacionado con el principio de limitación del plazo de conservación de los datos. Tiene como finalidad mantener los datos conservados durante el transcurso de tiempo que va desde que dichos datos dejan de ser necesarios para el tratamiento y el tiempo que se deben mantener para cumplir las obligaciones legales del responsable. Todas son correctas.

Señale la respuesta incorrecta. Los principios relativos al tratamiento de datos personales plasmados por el Reglamento General de Protección de Datos Personales 2016/679 son en su gran mayoría los mismos que los indicados por la Directiva 95/46 CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995. Los principios relativos al tratamiento de datos personales son un conjunto de reglas que definen y marcan la forma en la que han de ser recabados y tratados los datos de carácter personal. Los principios relativos al tratamiento de datos personales cumplen una función informadora e integradora de todo el ordenamiento jurídico que versa sobre la protección de datos. Los principios relativos al tratamiento de datos personales se aplican a los datos personales anonimizados.

El principio de seguridad de los datos no exige del responsable la implantación de medidas que. Aseguren que los datos sean solamente conocidos por aquellas personas que estén autorizadas a ello. Solo permitan el acceso a las personas que estén facultadas para ello. La información contenida en un fichero no pueda ser alterada o modificada por terceras personas. Demuestren de forma activa el cumplimiento de la normativa sobre protección de datos personales.

¿Qué principio exige del responsable una actitud proactiva a la hora de velar por el cumplimiento de la normativa en materia de protección de datos?. exactitud. proporcionalidad. accountability. limitación de la finalidad.

El Reglamento General de Protección de Datos Personales 2016/679 reconoce expresamente los principios relativos al tratamiento en el Artículo…. 6. 5. 7. 8.

Señale la respuesta incorrecta. El principio de limitación de la finalidad exige que el responsable ostente un fin legítimo para tratar los datos. El principio de limitación de la finalidad exige que la finalidad del tratamiento se manifieste y se explicite por parte del responsable. El principio de limitación de la finalidad exige que la finalidad para la que fueron recabados los datos en un momento inicial y la finalidad para la que se tratan los datos en un momento posterior sean finalidades incompatibles. El principio de limitación de la finalidad exige que la finalidad este claramente determinada, debiendo establecerse dicha finalidad en un momento previo a la recolección de los datos personales.

Señale la respuesta incorrecta. El principio de rendición de cuentas o accountability exige del responsable una labor proactiva a la hora de velar por el cumplimiento de protección de datos. El artículo 6 del Reglamento General de Protección de Datos 2016/679 viene desarrollar el principio de licitud del tratamiento de datos personales. El principio de exactitud obliga al responsable a tratar datos personales actualizados y no incorrectos. El principio de lealtad obliga al responsable a conservar aquellos datos personales que ya no sean necesarios para el tratamiento de datos.

Del principio de licitud se desprende. (Señale la respuesta incorrecta). El tratamiento de datos personales se debe amparar en alguna de las bases legales previstas por la normativa de protección de datos. El consentimiento es la base legal esencial en la que se debe de apoyar el responsable a la hora de tratar los datos personales de acuerdo al principio de licitud del tratamiento. El responsable podrá basar el tratamiento de datos con el fin de proteger intereses vitales del interesado o de otra persona. Un empresario puede tratar los datos personales de sus trabajadores en la medida que sea necesario para cumplir con las obligaciones y deberes contractuales derivados de dicho contrato laboral.

¿Cuál de estos principios no está reconocido expresamente por el Reglamento General de Protección de Datos 2016/679 en su Artículo 5?. minimización de datos. lealtad en el tratamiento de datos. principio de proporcionalidad. principio de exactitud.

Señale la respuesta incorrecta. Un mismo dato personal puede ser adecuado para una finalidad determinada y, ese mismo dato puede no mostrarse adecuado para cumplir con la finalidad de otro tratamiento. El principio de minimización de datos del tratamiento exige que los datos sometidos a tratamiento estén directamente vinculados con la finalidad a la que se destina tal tratamiento. El principio de limitación del plazo de conservación exige que el responsable haya previsto plazos de supresión o revisión periódica de los datos personales. El principio de accountabiliy o rendición de cuentas ya se preveía expresamente en la Directiva 95/46 CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995.

El principio minimización de datos supone: El responsable debe conservar los datos el tiempo necesario para llevar a cabo el tratamiento de los datos personales. El responsable únicamente recabará aquellos datos que sean necesarios para llevar a cabo el tratamiento de datos personales. El responsable debe implantar aquellas medidas que garanticen y demuestren el cumplimiento de la normativa sobre protección de datos. El responsable debe informar al interesado de forma clara y precisa de las características principales del tratamiento de los datos personales.

El principio de limitación de la finalidad exige del responsable: Que el responsable tenga una finalidad legítima para tratar los datos personales. Que la finalidad del tratamiento no sea excesivamente genérica o amplia. Que la finalidad del tratamiento esté expresamente indicada. Todas las respuestas son correctas.

El principio de transparencia: Está estrechamente ligado al derecho de información del que gozan los titulares de los datos personales. Exige del responsable la obligación de recabar únicamente aquellos datos que sean pertinentes para llevar a cabo la finalidad del tratamiento de datos personales. El responsable ostenta un interés legítimo para tratar los datos personales. El responsable debe de actualizar los datos personales de los titulares de los datos.

El principio de lealtad en el tratamiento de datos supone: Los datos que se traten deben de estar actualizados y ser exactos. El responsable ha de establecer todo tipo de medidas que garanticen y demuestren el cumplimiento de las exigencias previstas por la normativa en materia de protección de datos. Exige del responsable una actitud honesta hacia el titular de los datos durante todo el proceso de tratamiento de los datos personales. Exige que el responsable solo recabe aquellos datos que sean pertinentes para llevar a cabo el tratamiento de los datos.

El principio de licitud del tratamiento exige: Que el responsable únicamente recabe aquellos datos personales que sean estrictamente necesarios para llevar a cabo la finalidad propuesta del tratamiento. Que los datos que se traten por parte del responsable estén actualizados y sean exactos. Que los datos sean destruidos cuando ya no sean necesarios para cumplir con la finalidad perseguida. Que el responsable ampare el tratamiento de datos personales en alguna de las bases legales previstas por la normativa sobre protección de datos.

El tratamiento de datos personales basado en interés legítimo: No sería lícito, pues el RGPD lo prohíbe expresamente. Sería perfectamente lícito, siempre y cuando, prevalezca sobre los intereses o derechos y libertades fundamentales del interesado, pudiendo éste, no obstante, oponerse a dicho tratamiento. Sería perfectamente lícito, siempre y cuando, prevalezca sobre los intereses o derechos y libertades fundamentales del interesado, no pudiendo éste oponerse. Es perfectamente lícito, en todo caso.

Queda prohibido el tratamiento de datos personales que revelen opiniones políticas: Siempre. Podrá tratarse cuando se cuente con el consentimiento explícito del interesado, en todo caso. Podrá tratarse cuando se cuente con el consentimiento explícito del interesado, y siempre que el Derecho de la Unión o de los Estados miembros no niegue esta posibilidad. En este caso, no habría ningún tipo de prohibición, porque los datos que revelan opiniones políticas no son considerados sensibles.

El denominado derecho al olvido: Permite revocar el consentimiento dado por el interesado cuando era niño, siempre y cuando, de acuerdo con la normativa del Estado miembro en cuestión, no haya cumplido la mayoría de edad. Permite revocar el consentimiento dado por el interesado cuando era niño, y solo podrá ser utilizado cumplida éste alcance la mayoría de edad, de acuerdo con la normativa del Estado miembro en cuestión. Permite revocar el consentimiento dado por el interesado cuando era niño, quedando su ejercicio limitado en el tiempo una vez cumplida la mayoría de edad, de acuerdo con la normativa del Estado miembro en cuestión. Permite revocar el consentimiento dado por el interesado cuando era niño, y podrá ser ejercitado aunque éste ya haya dejado de serlo.

La empresa X, de acuerdo con la normativa española, obtiene el consentimiento de un menor de 14 años para el tratamiento de sus datos personales: Dicho tratamiento no será lícito, porque el RGPD fija la edad mínima en 16 años. Dicho tratamiento no será lícito, porque aunque el RGPD permite a los Estados miembros fijar una edad mínima por debajo de los 16 años, la LOPDGDD fija dicha edad en los 15 años. Dicho tratamiento es lícito, porque el RGPD permite a los Estados miembros establecer una edad mínima inferior a los 16 años, fijando la LOPDGDD dicha edad en los 14 años. Dicho tratamiento es lícito, porque el RGPD permite a los Estados miembros establecer una edad mínima distinta a los 16 años, siempre que no sea inferior a los 12 años.

Producida la revocación del consentimiento por parte del titular de los datos: El responsable está obligado a confirmarle de manera expresa el momento a partir del cual cesa en el tratamiento. El responsable solo está obligado a confirmarle de manera expresa el momento a partir del cual cesa en el tratamiento, si se lo solicita el interesado. El responsable nunca está obligado a confirmarle de manera expresa el momento a partir del cual cesa en el tratamiento. Solo queda obligado a cesar en el tratamiento en el plazo máximo de 10 días. El titular no puede solicitar al responsable que le informe del momento en que deja de tratar sus datos.

Producida la revocación del consentimiento por parte del titular de los datos: El responsable deberá cesar de inmediato en la operación para la cual se había recabado el consentimiento. El responsable podrá continuar con el tratamiento, consentido en su día por el titular, e iniciar nuevas operaciones, siempre que no resulten incompatibles con la finalidad inicial. El responsable podrá continuar con el tratamiento basado en el consentimiento previo, pero no podrá iniciar un tratamiento posterior con esos datos. La revocación no es un derecho del titular de los datos. Una vez prestado su consentimiento, no puede revocarlo.

Tras la promulgación del RGPD: El consentimiento debe producirse mediante una declaración o una clara acción afirmativa. El consentimiento debe producirse mediante una declaración o una clara acción afirmativa, admitiéndose en algunos supuestos el consentimiento tácito. La inactividad del titular de los datos, permite entender que presta su consentimiento. Es posible el consentimiento tácito, siempre y cuando, se conceda al titular de los datos un plazo prudencial, para que pueda conocer las consecuencias derivadas de su inactividad.

Al responsable del tratamiento, le corresponde probar: Nada. La carga de la prueba recae sobre el titular de los datos. Debe probar, solamente, que quién consintió era verdadero titular de los datos. Debe probar que quién consintió era verdadero titular de los datos, y que lo hizo de manera efectiva e inequívoca. Le basta probar que el consentimiento se produjo de manera inequívoca.

Se cumplen los requisitos de accesibilidad y visibilidad de la información: Cuando la información se entrega directamente al interesado. Cuando la información se pone a su disposición. Cuando la información se pone a su disposición, y aparece con letra clara. Ninguna de las anteriores es correcta.

Para cumplirse con el requisito de consentimiento informado: El responsable debe facilitar la información con anterioridad a la recogida de datos, en todo caso. Resulta indiferente el momento en el que el responsable proporcione esa información. Lo importante es que se la facilite al titular de los datos, aunque ya se hayan comenzado a tratar los mismos. El responsable debe facilitar la información con anterioridad a la recogida de los datos, permitiéndose que pueda hacerlo en un momento posterior, únicamente, en el caso de que pretenda llevar a cabo un nuevo tratamiento, que requiere de un nuevo consentimiento. El responsable debe facilitar la información con anterioridad a la recogida de los datos, permitiéndose que pueda hacerlo en un momento posterior, únicamente, en el caso de que pretenda llevar a cabo un nuevo tratamiento, que tenía intención de llevar a cabo desde el principio, pero que no informó en el momento de la recogida de datos.

Para que el consentimiento pueda ser considerado específico: Deberá informarse al interesado, de manera inteligible, de los datos que van a ser objeto de tratamiento. Deberá informarse al interesado, de manera inteligible, de las operaciones de tratamiento que serán llevadas a cabo. Deberá informarse al interesado, de manera inteligible, de la finalidad del tratamiento. Todas las anteriores son correctas.

Se entiende que el consentimiento se ha prestado libremente cuando: Se ha podido ejercer, de manera efectiva, una opción sin ningún tipo de presión externa, con independencia de que posteriormente pueda o no revocar mi consentimiento. Se ha podido ejercer, de manera efectiva, una opción sin ningún tipo de presión externa, siendo informado de mi derecho a revocarlo en cualquier momento. Se ha podido ejercer, de manera efectiva, una opción sin ningún tipo de presión externa, consintiendo de manera conjunta todas las operaciones de tratamiento. Ha sido dado para evitar consecuencias negativas de entidad.

Según el art. 4.11 RGPD, el consentimiento es: Toda manifestación de voluntad mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Toda manifestación de voluntad libre e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

El consentimiento, es uno de los presupuestos que legitiman el tratamiento de datos personales, pudiendo ser empleado por los responsables en todo tipo de contextos. Verdadero. Falso.

La primera normativa que preveía de manera expresa una serie de principios o bases legitimadoras para el tratamiento de datos personales fue: Convenio nº108 del Consejo de Europa. El RGPD. La LOPD. La Directiva 95/46/CE.

El Grupo de Trabajo del Artículo 29 tomaba sus decisiones: Por mayoría absoluta. Por mayoría de dos tercios. Por mayoría simple. No toma decisiones.

Son funciones del Comité Europeo de Protección de Datos: Aquellas que guardan relación con el mecanismo de coherencia. Aquellas relacionadas con el asesoramiento en relación con propuestas legislativas en materia de protección de datos. Aquellas relacionadas con la certificación, acreditación y aprobación de códigos de conducta. Todas las anteriores.

¿Cuándo nace el Grupo de Trabajo del Artículo 29?. Con anterioridad a la Directiva 95/46/CE. Con posterioridad a la Directiva 95/46/CE. Con la entrada en vigor de la Directiva 95/46/CE. Con la entrada en vigor del Reglamento general de protección de datos.

El Supervisor Europeo de Protección de Datos actuará como: Secretario del Parlamento Europeo. Secretario de la Comisión. Secretario del Comité Europeo de Protección de Datos. Ninguna de las anteriores.

Son funciones del Presidente del Comité Europeo de Protección de Datos: Convocar las reuniones de la Comisión y preparar su orden del día. Convocar las reuniones del Comité Europeo de Protección de Datos y preparar su orden del día. Notificar las decisiones adoptadas por el Comité Europeo de Protección de Datos a la autoridad de control principal y a las autoridades de control interesadas. B y C son correctas.

Tiene el Comité Europeo de Protección de Datos personalidad jurídica propia?. Sí. No. Depende. Sí, antes de la entrada en vigor del RGPD, pero no después.

El Comité Europeo de Protección de Datos es. Un organismo europeo independiente que contribuye a la aplicación coherente de las normas de protección de datos en toda la Unión Europea y promueve la cooperación entre las autoridades de protección de datos de la UE. Un organismo europeo dependiente que contribuye a la aplicación coherente de las normas de protección de datos en toda la Unión Europea y promueve la cooperación entre las autoridades de protección de datos de la UE. Un organismo europeo independiente que contribuye a la aplicación coherente de las normas de protección de datos en todo el territorio nacional y promueve la cooperación entre las autoridades de protección de datos de la UE. A y C son correctas.

El mandato del presidente del Grupo de Trabajo del Artículo 29 tenía una duración de: 2 años, y no era renovable. 5 años, y sí era renovable. 5 años, y no era renovable. 2 años, y sí era renovable.

¿Cuándo nace el Comité Europeo de Protección de Datos?. on anterioridad a la Directiva 95/46/CE. Con posterioridad a la Directiva 95/46/CE. Con la entrada en vigor de la Directiva 95/46/CE. Con la aplicación del Reglamento general de protección de datos.

¿Qué criterios se han de tener en cuenta para analizar si concurre el requisito de “tratamiento sistemático” en el nombramiento del Delegados de Protección de Datos, siguiendo el criterio del Grupo de Trabajo del Artículo 29?. Que el tratamiento de datos personales no responda a una estrategia. Que el tratamiento esté establecido de manera posterior. Que el tratamiento se lleve a cabo de acuerdo con un concreto sistema. A y C son correctas.

¿Qué criterios se han de tener en cuenta para analizar si concurre el requisito de “tratamiento habitual” en el nombramiento del Delegados de Protección de Datos, siguiendo el criterio del Grupo de Trabajo del Artículo 29?. Que el tratamiento realizado sea continuo. Que el tratamiento que se lleve a cabo sea periódico. Que el tratamiento de los datos personales sea realizado de manera no constante. A y B son correctas.

¿Qué criterios se han de tener en cuenta para analizar si concurre el requisito de “gran escala” en el nombramiento del Delegados de Protección de Datos, siguiendo el criterio del Grupo de Trabajo del Artículo 29?. El número de interesados afectados por el tratamiento. El alcance geográfico de la actividad. El volumen de datos personales que conforman el tratamiento de los datos personales en consideración al número de interesados y al número de datos personales que corresponden a cada uno de esos interesados. Todos los anteriores.

El Grupo de Trabajo del Artículo 29 estaba compuesto por: Un representante de la autoridad o de las autoridades de control designadas por cada Estado miembro; un representante de la autoridad o autoridades creadas por las instituciones y organismos comunitarios y un representante de la Comisión Europea. Un representante de la autoridad o de las autoridades de control designadas por cada Estado miembro; un representante de la autoridad o autoridades creadas por las instituciones y organismos comunitarios y un representante del Parlamento Europeo. Un representante de la autoridad o de las autoridades de control designadas por cada Estado miembro; un representante del Parlamento Europeo y un representante de la Comisión Europea. El Supervisor Europeo de Protección de Datos; un representante de la autoridad o autoridades creadas por las instituciones y organismos comunitarios y un representante de la Comisión Europea.

El Grupo de Trabajo del Artículo 29 estaba compuesto por: Un representante de la autoridad o de las autoridades de control designadas por cada Estado miembro; un representante de la autoridad o autoridades creadas por las instituciones y organismos comunitarios y un representante de la Comisión Europea. Un representante de la autoridad o de las autoridades de control designadas por cada Estado miembro; un representante de la autoridad o autoridades creadas por las instituciones y organismos comunitarios y un representante del Parlamento Europeo. Un representante de la autoridad o de las autoridades de control designadas por cada Estado miembro; un representante del Parlamento Europeo y un representante de la Comisión Europea. El Supervisor Europeo de Protección de Datos; un representante de la autoridad o autoridades creadas por las instituciones y organismos comunitarios y un representante de la Comisión Europea.

¿Qué se entiende por “actividad principal” de cara al nombramiento del Delegados de Protección de Datos, siguiendo el criterio del Grupo de Trabajo del Artículo 29?. Aquellas operaciones que no son imprescindibles para el desarrollo de la actividad, tanto del responsable como del encargado del tratamiento, de cara a la consecución de sus finalidades. Aquellas operaciones que son imprescindibles para el desarrollo de la actividad, tanto del responsable como del encargado del tratamiento, de cara a la consecución de sus finalidades. Aquellas operaciones que son imprescindibles para el desarrollo de la actividad, del responsable, pero no del encargado del tratamiento, de cara a la consecución de sus finalidades. Ninguna de las anteriores.

Eran funciones del Grupo de Trabajo del Artículo 29: Estudiar toda cuestión relativa a la aplicación de las disposiciones nacionales implementadas para la aplicación de la Directiva con vistas a contribuir a su aplicación homogénea. Emitir un dictamen destinado a la Comisión Europea sobre el nivel de protección existente dentro de la Comunidad Europea y en los países terceros. Emitir un dictamen sobre los códigos de conducta elaborados a escala comunitaria. Todas las anteriores.

¿Cuáles son las dos categorías en las que pueden clasificarse las estrategias de diseño de la privacidad?. Datos y procesos. Datos y sistemas. Sistemas y procesos. Datos y tecnología.

¿Qué implica en la práctica el principio de privacidad desde el diseño?. Garantizar que el tratamiento de los datos sea siempre lícito. Que no se traten categorías especiales de datos. Que pueda utilizarse cualquier sistema para el tratamiento de datos personales, con independencia de si cumple o no con la normativa sobre protección de datos. Asegurar la privacidad a lo largo de todas las etapas del tratamiento de los datos personales.

¿A qué se aplica la privacidad desde el diseño?. Únicamente a servicios. A servicios y a productos que tratan datos personales. Se puede aplicar a productos, pero no a servicios. A productos de software, pero no de hardware.

El objetivo del principio de la privacidad desde el diseño es: Lograr un marco de protección integral en materia de protección de datos. Ahorrar costes al responsable del tratamiento cuando aplica medidas técnicas y organizativas. Adoptar medidas técnicas y organizativas de seguridad apropiadas. En caso de incumplimiento, lograr una reducción de la sanción.

A efectos de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, no adoptar medidas técnicas y organizativas para hacer efectivo el principio de privacidad desde el diseño será considerado como una infracción. Leve. Grave. Muy grave. Dependerá del riesgo que tenga para los afectados la no adopción de las medidas.

El riesgo residual del tratamiento de los datos personales: No tiene en cuenta las medidas técnicas y organizativas adecuadas que se adopten para mitigarlo o reducirlo. Es una cuestión que depende de la amenaza, pero no de la probabilidad de que esta se produzca. Se mide de manera objetiva. No depende de una combinación entre amenaza e impacto, sino de amenaza y probabilidad.

La privacidad por defecto. No tiene nada que ver con su accesibilidad. Implica que deban adoptarse medidas en relación con la accesibilidad de los datos personales. Solo implica que deban adoptarse medidas en relación con la accesibilidad de los datos personales cuando se traten de categorías especiales. Implica que deban adoptarse medidas en relación con la accesibilidad de los datos personales únicamente cuando sea un tratamiento a gran escala de datos personales.

La aplicación de la privacidad desde el diseño: No depende de la categoría de datos personales que sean objeto de tratamiento. Depende, para su aplicación, de la categoría de datos personales que se traten. Solo se aplica cuando se tratan categorías especiales de datos. Requiere que el responsable del tratamiento tenga, a su vez, la obligación de designar a un delegado de protección de datos.

La consulta previa a la autoridad de control cuando el riesgo residual muestre un alto riesgo. Se puede hacer en cualquier momento. Es opcional para la organización. Se tiene que hacer antes de tratar los datos personales. No es necesaria si se adoptan medidas técnicas y organizativas apropiadas.

La EIPD es una acción. Puntual. Un proceso continuo. Que se llevará a cabo cuando el responsable del tratamiento lo considere oportuno. Que depende de lo que aconseje el DPD.

La evaluación de impacto relativa a la protección de datos (EIPD): Es un proceso que no está vinculado con la responsabilidad proactiva. No puede ser considerada como un proceso. Es un proceso vinculado con la responsabilidad proactiva porque sirve para reforzar y demostrar el cumplimiento. Solo se hará en los casos en los que sea necesario realizar una consulta previa a la autoridad de protección de datos.

Serán objeto de evaluación de impacto relativa a la protección de datos (EIPD): Todos los tratamientos de datos personales. Los tratamientos de datos personales que supongan o entrañen un alto riesgo para la persona fisica. Los tratamientos de datos personales que supongan o entrañen un alto riesgo organizacional o corporativo, según el caso, para quien los trata. Los tratamientos de datos personales que suponen un riesgo, con independencia de si este es alto o no.

La evaluación de impacto relativa a la protección de datos (EIPD. No requiere tener una metodología, ya que no es algo relevante. No puede llevarse a cabo mediante el uso de herramientas tales como software desarrollado a tal fin. Solo es importante cuando los datos que se traten sean categorías especiales de datos. Es importante llevarla a cabo o realizarla siguiendo una metodología.

En la normativa sobre protección de datos personales, la evaluación de impacto relativa a la protección de datos (EIPD): Es un principio. Es una obligación. Es un derecho que pueden ejercer los interesados insta. Es una medida que tiene que aplicarse en todo tratamiento de datos.

¿Cuál de las siguientes sería la definición más adecuada de una EIPD?. Un proceso complejo cuya realización corresponde, como obligación, a quien trate datos personales, con independencia de que sea responsable o encargado del tratamiento. Un proceso destinado a identificar, pero no necesariamente mitigar, el riesgo que entrañe el tratamiento de los datos personales. Un proceso que describe el tratamiento de los datos personales, evalúa su necesidad y proporcionalidad y protege al responsable del tratamiento frente a posibles reclamaciones por el hecho de haberlo llevado a cabo aunque no pueda considerar todos los riesgos que pueda entrañar el tratamiento de los datos personales. Un proceso que permite describir el tratamiento, evaluar su necesidad y proporcionalidad, así como determinar las medidas a implementar para mitigar el riesgo que implica el tratamiento de los datos personales.

Indique cuál de las siguientes afirmaciones son correctas: ISO31000 es una metodología de gestión de riesgos general. Magerit es una metodología de gestión de riesgos centrada en los sistemas de información. Las opciones a y b son correctas. Ninguna correcta.

Las salvaguardas se despliegan con el objeto de reducir. Solo pueden reducir la probabilidad de una amenaza. Solo pueden reducir el impacto de una amenaza. Pueden reducir la probabilidad o el impacto. Ninguna de las anteriores.

A la hora de elaborar una EIPD…. es obligatorio recabar la opinión de los interesados. hay que recabar la opinión de los interesados salvo que, dadas las características del tratamiento, plantee problemas de seguridad. en caso de que se haya nombrado un delegado de protección de datos, su participación es opcional. si el responsable no aloja los servidores, podrá delegar su elaboración en el encargado.

¿Qué medida de control de riesgos no es aconsejable en el caso de protección de datos?. Reducir. Aceptar. Transferir. Anular.

En Magerit, a la hora de calcular el riesgo de una amenaza sobre un activo se tiene que tener en cuenta. Únicamente el valor del activo, la probabilidad de la amenaza y la degradación que produce. Únicamente el valor del activo, la probabilidad de la amenaza y el coste de las salvaguardas. Únicamente la probabilidad de la amenaza y la degradación que produce. Únicamente el valor del activo y el coste de la recuperación del activo, caso de producirse la amenaza.

Magerit, a la hora de calcular el riesgo, se tienen en cuenta las siguientes dimensiones: Solamente la integridad. Solamente la confidencialidad, integridad y disponibilidad. Solamente la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad. Obligatoriamente la confidencialidad, integridad y disponibilidad, mientras que la trazabilidad y autenticidad son opcionales.

¿Cuántos niveles de madurez en la eficacia de las salvaguardas se pueden usar en el programa PILAR?. 4. 5. 6. 7.

Un incendio es una amenaza que afecta a: La disponibilidad. La disponibilidad y la integridad. La confidencialidad, integridad y disponibilidad. Ninguna de las anteriores.

En el caso de que el resultado de una EIPD sea favorable: Se puede iniciar el tratamiento, pero hay que comunicar a la autoridad de control el contenido de la EIPD. Se debe revisar periódicamente o cuando cambie el riesgo. a y b son correctas. Ninguna de las anteriores.

Para un nuevo tratamiento, en caso de que el resultado de una EIPD no sea favorable: Se puede iniciar el tratamiento, pero se debe consultar a la autoridad de control que podrá, posteriormente, prohibir el tratamiento. Se puede iniciar el tratamiento, siempre que no se incluya datos a los que se refiere el artículo 9 del RGPD. Se puede iniciar el tratamiento, siempre que no se incluya datos a los que se refiere el artículo 10 del RGPD. Ninguna de las anteriores.

A la hora de analizar la necesidad de elaborar una EIPD el uso de nuevas tecnologías: No influye en la decisión sobre la necesidad de elaborar una EIPD. Es determinante, dado que el uso de nuevas tecnologías implica la necesidad de elaborar una EIPD. Es un factor importante, pero no determinante, a la hora de tomar una decisión sobre la necesidad de elaborar una EIPD. Es determinante, dado que el uso de nuevas tecnologías implica la necesidad de consultar a la autoridad de control.

Las copias de seguridad remotas son una salvaguarda que. Reduce el impacto en caso de incendio. Puede suponer un nuevo riesgo. Las opciones a y b son correctas. Ninguna de las anteriores.

Una vez calculado un riesgo. El responsable debe decidir si es o no asumible. El delegado de protección de datos debe decidir si es o no asumible. Se determinarán las medidas técnicas para reducirlo. Si es elevado, deberá suspenderse el tratamiento.

El uso de contraseñas en una aplicación de un dispositivo móvil. Hace que, en caso de robo, la probabilidad de que se puedan acceder a los datos sea muy baja. Hace que, en caso de robo, la probabilidad de que se puedan acceder a los datos sea muy baja, pero solo si se combina con técnicas de cifrado. No es recomendable, dado que si se olvida la contraseña habrá problemas de disponibilidad de la información. Solo se recomienda en el caso de que se guarde una copia de los datos en la nube.