¿Puede el DPD trabajar a tiempo completo o parcial? Si, si existen conflicto de intereses. No, nunca. Si.
¿Cuándo es de Aplicación el RGPD aprobado en Mayo de 2016? A partir de Mayo de 2017 En el mismo momento de su publicación A partir de Mayo de 2018.
Indica respecto de los responsables de custodia de los datos, la Norma de Referencia Norma LOPD RGPD actual Ley de Seguridad de la Información.
El principio de "responsabilidad proactiva" es... La necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el
tratamiento es conforme con el Reglamento. La necesidad de que el usuario del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el
tratamiento es conforme con el Reglamento. Ambas son incorrectas.
En la práctica el principio de "responsabilidad proactiva" se refiere: Las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a
cabo. Los Gobiernos analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a
cabo. Los usuarios analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a
cabo.
Las tres características a destacar del "principio de responsabilidad proactiva" son: Actitud firme, clara y concisa. Actitud diligente, permisiva y retroactiva Actitud consciente, diligente y proactiva.
Cuando hablamos de "enfoque de riesgo" en el RGPD, nos referimos a... La forma, la seguridad, el tema y los fines del tratamiento, así como el riesgo para las organizaciones dependientes del tratamiento. La naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas. La naturalidad, la temática, el contenido y los fines de la base de datos, así como el riesgo para los dispositivos de tratamiento.
¿Es correcto el principio recogido en la Directiva 95/46 de que todo tratamiento de datos necesita apoyarse en una base que lo legitime? No... simplemente surge por la necesidad organizativa de las entidades que realizan el tratamiento de datos. Si, aunque no en determinados casos. Si, en todo momento.
Las bases jurídicas de la directiva 95/46 y que reproduce la LOPD son (indica la correcta) Consentimiento, Relación Contractual e Intereses vitales del interesado o de otras personas. Obligación legal para el responsable, interés público o ejercicio de poderes públicos, e intereses legítimos prevalentes del responsable o de terceros a los que se le comuniquen los datos. Ambas son correctas.
Indica la respuesta correcta, respecto a la necesidad de demostrar que se cumple con las previsiones del RGPD Identificación del Delegado de Protección de Datos. Identificación del responsable del tratamiento Identificación de la base legal.
Cuando en el RGPD se habla de "consentimiento inequívoco" éste se refiere a: Manifestación del interesado o mediante una clara acción afirmativa. Manifestación de representante legal designado por el Delegado de Protección de datos, mediante una acción afirmativa Ninguna es correcta.
¿Puede un consentimiento ser inequívoco? No, nunca. Si, otorgándose de forma explícita, cuando se deduzca de una acción de la entidad. Si, otorgándose de forma implícita cuando se deduzca de una acción del interesado.
¿Considerarías una buena práctica el que una empresa obtuviese consentimiento por omisión respecto del tratamiento de datos personales? Si, en caso de que el interesado no se pudiese poner en contacto con la entidad. No, en ningún caso. No, dado que habría que revisar esos tratamientos para que a partir de la entrada en vigor del RGPD se hayan adecuado a éste.
Que condiciones estipula el nuevo RGPD, respecto a las condiciones de los tratamientos de información a los interesados que les afecten, como en las respuestas a los ejercicios de derechos... Expreso, preciso e inequívoco Concisa, transparente, inteligible, de fácil acceso y con un lenguaje claro y sencillo Breve, claro, ininteligible, da fácil acceso y lenguaje accesible y sencillo.
Señala la opción correcta, respecto de la Transparencia e información a los interesados... Cláusulas informativas, claras y accesibles a los interesados Evitar fórmulas especialmente farragosas Ambas respuestas son correctas.
Con carácter general, los responsables deben facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las formas para ello deben ser: Muy breves, escritos y formales Claros, ininteligibles y explícitos Visibles, accesibles y sencillos.
El ejercicio de los derechos... ¿es siempre gratuito? Si, sin excepciones, dado que son derechos fundamentales. No... en determinados casos como solicitudes infundadas o excesivas el responsable podrá cobrar un canon que compense los costes administrativos. No en ningún caso.
¿Qué plazo tiene el responsable del tratamiento, para atender actuaciones derivadas de la petición de un interesado? 2 meses 3 meses 1 mes.
Respecto del plazo sobre actuaciones derivadas de la petición de un interesado... ¿Podrá ampliarse el plazo estipulado de UN mes? NO... deberá resolver la petición dentro de ese mes. SI, en cualquier caso puede disponer de otro mes de gracia. SI, cuando se trate de solicitudes especialmente complejas.
¿Qué obligación tiene un responsable del RGPD, cuando tiene que justificar la ampliación de plazo de UN mes para tramitar una petición de información de un interesado? Deberá notificar esta ampliación de plazo dentro del primer mes Deberá notificar esta ampliación de plazo dentro de los primeros 15 días del mes Deberá notificar esta ampliación de plazo dentro al haber transcurrido el primer mes.
¿Puede el Responsable del RGPD, no atender una determinada solicitud de información de un interesado? SI, siempre y cuando no haya sido informada previamente la AEPD. Si, pero deberá informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación. No, en ningún caso puede no atender una solicitud de información, dado que vulneraría gravemente los derechos del interesado.
¿Deben los responsables tomar medidas para verificar la identidad de quienes soliciten acceso y de quienes ejerzan los restantes derechos ARCO? Si, siempre. Si de forma excepcional y dependiendo de los derechos que soliciten. No, en ningún caso.
Si un interesado ha cedido mucha cantidad de datos a una entidad... ¿Puede el DPD (Delegado de Protección de Datos), pedirle información sobre la referencia de los datos a que se refiere su solicitud de acceso? Si, existe ese derecho. No, debe facilitarle todos los datos en el formato que le solicite el interesado. Si pero en determinados casos y dependiendo de la entidad que se trate.
¿Pueden los responsables atender a un derecho de petición de información, facilitando el acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales? Si, siempre y cuando los datos, sean accesibles a cualquiera. No, en ningún caso, dado que la información debe ser remitida en formato digital o analógico. Sí, existe ese derecho.
Cuando hablamos de derechos ARCO-POL, nos referimos a: Acceso, Potabilidad, Concisión, Olvido, Portabilidad, Obligaciones y Limitaciones Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido y Limitación Acceso, Ratificación, Cancelación, Oposición, Rotabilidad, Oposición y Laterabilidad.
Cuando hablamos de derecho al Olvido, nos estamos refiriendo a: A una manifestación de los derechos de cancelación u oposición en el entorno online A manifestación de los derechos de cancelación o limitación en el entorno ofline A manifestación de los derechos de cancelación o reposición en el entorno online .
Entendemos por limitación del tratamiento... A petición del interesado, no se aplicarán a sus datos personales las operaciones de olvido únicamente que en cada caso corresponderían. A petición del interesado, no se aplicarán a sus datos personales las operaciones de borrado únicamente que en cada caso corresponderían. A petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían.
Indica la opción correcta, respecto a la petición de un interesado, respecto si es lícito, solicitar el derecho de limitación: El interesado ha ejercido los derechos de rectificación u oposición y el responsable está en proceso de determinar si procede atender a la solicitud. El tratamiento es ilícito, lo que determinaría el borrado de los datos, pero el interesado se opone a ello. Ambas son correctas.
La Limitación de los datos, conlleva el no llevar a cabo una práctica habitual consistente en borrar los datos, cuando se ejercitan otros derechos como... La Rectificación de los Datos La Cancelación de los Datos El derecho de Acceso de los Datos.
El derecho de Portabilidad, únicamente puede ejercerse cuando... El tratamiento se efectúe por medios automatizados Cuando el tratamiento se base en el consentimiento o en un contrato Ambas son correctas, añadiendo la característica que es respecto a los datos que haya proporcionado al responsable y que le conciernan, incluidos los datos derivados de la propia actividad del interesado.
La elección del encargado del tratamiento... Establece la necesidad de diligencia debida en la selección de encargados. El responsable deberá adoptar medidas
apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el
tratamiento se realiza conforme el RGPD Ambas son correctas.
El contenido mínimo de los contratos de encargo prevee: • Objeto, duración, naturaleza y la finalidad del tratamientos
• Tipo de datos personales y categorías de interesados
• Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable • Objeto, duración, naturaleza y la finalidad del tratamientos
• Tipo de datos personales y categorías de interesados
• Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable
• Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones • Objeto, duración, naturaleza y la finalidad del tratamientos
• Tipo de datos personales y categorías de interesados
• Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable
• Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones
• Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados...
Si hablamos de análisis de riesgo en el RGPD, nos referimos a... El estudio de las medidas de responsabilidad activa al riesgo que
los tratamientos puedan suponer para los derechos y libertades de los interesados La adopción de las medidas de responsabilidad activa al riesgo que
los tratamientos puedan suponer para los derechos y libertades de los interesados El estudio de las medidas de responsabilidad activa al riesgo que
los tratamientos pudieran determinarse a establecer, para los derechos y libertades de los interesados.
Los responsables del tratamiento... ¿deberán realizar un análisis de riesgo? Solo algunos de ellos, dependiendo del tratamiento de los datos que se traten. Todos los responsables deberán realizar una valoración de riesgo No, en ningún caso. Eso compete a una auditoria externa.
Qué variación, respecto del tipo de análisis se deberá realizar, en lo referente aun Análisis de riesgo... • los tipos de tratamiento,
• la naturaleza de los datos,
• el número de interesados afectados,
• la cantidad y variedad de tratamientos que una misma organización lleve a cabo • la seguridad de los datos,
• el tratamiento de los datos,
• el número de entidades afectadas,
• la cantidad y variedad de tratamientos que un mismo DPD lleve a cabo Ninguna es correcta.
El Registro de actividades del tratamiento, exime a las empresas que... Empleen a menos de 500 trabajadores Empleen a menos de 250 trabajadores Empleen a más de 250 trabajadores.
Es correcta la afirmación: "Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados." Sí, con matices. No, en ningún caso. Si, es cierta.
¿Qué plazo existe para notificar una "quiebra" en la seguridad de los datos? Sin dilación indebida y, a ser posible, dentro de las 24 horas siguientes a que el responsable tenga constancia de ella. Sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella. Sin dilación indebida y, a ser posible, dentro de las 48 horas siguientes a que el responsable tenga constancia de ella.
La notificación ha de incluir un contenido mínimo:
• La naturaleza de la violación
• Categorías de datos y de interesados afectados • Medidas adoptadas por el responsable para solventar la quiebra
• Si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados Ambas son correctas.
¿Los responsables deben documentar todas las violaciones de seguridad? Sí, siempre. No, nunca. Dependiendo de la naturaliza de la quiebra.
En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para
los derechos o libertades de los interesados, la notificación a la autoridad de supervisión
deberá complementarse... Con una notificación dirigida a los interesados. Con una notificación dirigida a la AEPD. Ninguna es correcta.
El objetivo que se persigue, en una violación de los datos, respecto de la notificación a los afectados es la de... Que se conozca públicamente la gestión de la entidad afectada Que la AEPD inicie un registro de actividades coercitivas a la entidad afectada. Permitir que puedan tomar medidas para
protegerse de sus consecuencias.
Se considera que se tiene constancia de una violación de seguridad cuando... No hay una certeza de que se ha producido, pero sí se tiene un conocimiento de su naturaleza y posible alcance Hay una certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance Hay una certeza de que se ha producido aunque no se tienga un conocimiento de su naturaleza y alcance.
La mera sospecha de que ha existido una quiebra (señala la correcta)... Debería dar lugar, a la notificación, dado que en esas condiciones sería posible, en la mayoría de los casos, determinar hasta qué punto puede existir un riesgo para los derechos
y libertades de los interesados. Debería dar lugar, a la notificación, dado que en esas condiciones podría concretarse en gran medida el riesgo existente para los derechos y libertades de los interesados. No debería dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, determinar hasta qué punto puede existir un riesgo para los derechos y libertades de los interesados. .
¿Podría no comunicarse una "quiebra" en el plazo de 72 horas? No... por ley es imposible. Sí, dado que ese plazo es orientativo. Sí, acompañándola de una explicación de los motivos que han ocasionado el retraso. .
Si una entidad tiene datos cifrados, y tiene constancia de una "quiebra" en el acceso a los mismos... No tiene que comunicar el incidente de seguridad. No será necesaria la notificación a los interesados. Ambas son correctas.
La figura del DPD, será obligatoria en: • Autoridades y organismos públicos
• Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
• Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles • Autoridades y organismos públicos
• Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
• Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles
• Cualquier entidad que trate datos del índole que sean. • Autoridades y organismos públicos
• Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
• Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles
• Empresas con número de empleados superior a 500.
• Cualquier entidad que trate datos del índole que sean
.
El DPD ha de ser nombrado atendiendo a... Sus cualificaciones profesionales Su conocimiento de la legislación y la práctica de la protección de datos Ambas son correctas.
Los datos de contacto del DPD... No deben hacerse públicos por los responsables y encargados y no deberán ser comunicados a las autoridades de supervisión competentes. Deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes. Deben hacerse públicos por los responsables y encargados pero no existe obligación vinculante de ser comunicados a las autoridades de supervisión competentes. .
Cuándo entró en vigor el nuevo Reglamento General de Protección de Datos (RGPD): En Mayo de 2016 En Mayo de 2018 En Mayo de 2017.
|
