1. La presente ley orgánica tiene por objeto adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016: relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos relativo a la protección de las personas físicas y jurídicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones relativo a la protección de las personas físicas y jurídicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones .
2. La presente ley orgánica tiene por objeto garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo: 9.3 de la Constitución 14 de la Constitución 18.4 de la Constitución 35.1 de la Constitución .
3. El derecho fundamental de las personas físicas a la protección de datos personales, se ejercerá con arreglo a lo establecido en: a. el Reglamento (UE) 2016/679 b. esta ley orgánica c. a y b son correctas d. a y b son incorrectas .
4. Se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero lo dispuesto en: los Títulos I a VIII y en los artículos 70 a 85 de la presente ley orgánica los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica los Títulos I a VIII y en los artículos 89 a 94 de la presente ley orgánica los Títulos I a IX y en los artículos 70 a 85 de la presente ley orgánica .
5. Esta ley orgánica no será de aplicación: a los tratamientos excluidos del ámbito de aplicación del Reglamento general de protección de datos por su artículo 2.2, sin perjuicio de lo dispuesto en los apartados 3 y 4 de este artículo a los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artículo 3 a los tratamientos sometidos a la normativa sobre protección de materias clasificadas todas son correctas .
6. Los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en: su legislación específica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica lo establecido en el citado reglamento y en la presente ley orgánica y supletoriamente por su legislación específica si la hubiere lo establecido en el citado reglamento y supletoriamente por la presente ley orgánica y su legislación específica si la hubiere la presente ley orgánica y supletoriamente por lo establecido en el citado reglamento y su legislación específica si la hubiere .
7. Son tratamientos a los que no les es directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea: los tratamientos realizados al amparo de la legislación orgánica del régimen electoral general los tratamientos realizados en el ámbito de instituciones penitenciarias los tratamientos derivados del Registro Civil, los Registros de la Propiedad y Mercantiles todas son correctas .
8. El tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina Judicial, se regirán: exclusivamente por lo dispuesto en la presente ley orgánica exclusivamente por lo dispuesto en la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial exclusivamente por lo dispuesto en el Reglamento (UE) 2016/679 por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables.
9. Lo dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica se aplica a: cualquier tratamiento totalmente automatizado de datos personales, así como al tratamiento automatizado de datos personales contenidos o destinados a ser incluidos en un fichero cualquier tratamiento totalmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento automatizado de datos personales contenidos o destinados a ser incluidos en un fichero .
10. Podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales del fallecido y, en su caso, su rectificación o supresión: las personas vinculadas al fallecido por razones familiares las personas vinculadas al fallecido por razones de hecho sus herederos todas son correctas .
11. Las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos: a. podrán acceder a los datos del causante en cualquier caso b. no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente c. no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando así lo establezca una ley d. b y c son correctas .
12. Podrá ser solicitado por las personas o instituciones a las que el fallecido hubiese designado expresamente para ello: el acceso a los datos personales del fallecido la rectificación de los datos personales del fallecido la supresión de los datos personales del fallecido todas son correctas .
13. En caso de fallecimiento de menores, el acceso a sus datos personales y, en su caso, su rectificación o supresión, podrá ejercerse también por: sus representantes legales el Ministerio Fiscal, que podrá actuar de oficio el Ministerio fiscal, que podrá actuar a instancia de cualquier persona física o jurídica interesada todas son correctas.
14. En caso de fallecimiento de personas con discapacidad, las facultades de acceso a sus datos personales y, en su caso, su rectificación o supresión podrá ejercerse por: quienes hubiesen sido designados para el ejercicio de funciones de apoyo, en cualquier caso quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si el Ministerio Fiscal así lo decide ninguna es correcta .
15. El Título I de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales se denomina: Principios de protección de datos Disposiciones generales Disposiciones aplicables a tratamientos concretos Derechos de las personas .
16. Conforme al artículo 5.1.d) del Reglamento (UE) 2016/679 los datos serán: exactos y, si fuere necesario, actualizados aproximados y, en ningún caso, actualizados exactos y, en ningún caso, actualizados aproximados y, si fuere necesario, actualizados .
17. No será imputable al responsable del tratamiento, siempre que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, la inexactitud de los datos personales, con respecto a los fines para los que se tratan, cuando los datos inexactos: hubiesen sido obtenidos por el responsable directamente del afectado fuesen sometidos a tratamiento por el responsable por haberlos recibido de otro responsable fuesen obtenidos de un registro público por el responsable todas son correctas.
18. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de: custodia cuidado confidencialidad sigilo .
19. El deber de confidencialidad y de secreto profesional de los responsables y encargados del tratamiento de datos: se mantendrán hasta que finalice la relación del obligado con el responsable o encargado del tratamiento se mantendrán hasta un año después de que finalice la relación del obligado con el responsable o encargado del tratamiento se mantendrán hasta diez años después de que finalice la relación del obligado con el responsable o encargado del tratamiento se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento .
20. Se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta: necesariamente mediante una declaración el tratamiento de datos personales que le conciernen mediante una probable acción afirmativa, el tratamiento de datos personales que le conciernen mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen mediante una declaración o una probable acción afirmativa, el tratamiento de datos personales que le conciernen .
21. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga: para todas ellas por un periodo de tiempo limitado de manera irrevocable debido al interés público .
22. No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con: el mantenimiento de la relación contractual el desarrollo de la relación contractual el control de la relación contractual todas son correctas.
23. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea: mayor de 13 años mayor de 14 años mayor de 16 años mayor de 18 años .
24. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento: será lícito por sí mismo no será posible ningún caso solo será lícito si consta el del titular de la patria potestad o tutela solo será lícito si consta el del titular de la patria potestad o tutela y el del responsable del tratamiento.
25. A los efectos del artículo 9.2.a) del Reglamento (UE) 2016/679, a fin de evitar situaciones discriminatorias, levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico: será posible con el solo consentimiento del afectado no será posible con el solo consentimiento del afectado no será posible en ningún caso ninguna es correcta .
26. El tratamiento de datos personales relativos a condenas e infracciones penales, solo podrá llevarse a cabo cuando se encuentre amparado en: una norma de Derecho de la Unión en esta ley orgánica en normas de rango legal todas son correctas.
27. El registro completo de los datos referidos a condenas e infracciones penales podrá realizarse conforme con lo establecido en la regulación de: el Sistema de registros administrativos de apoyo a la Administración de Justicia los sistemas de información del responsable los derechos relacionados con las decisiones individuales automatizadas el Derecho de la Unión o de los Estados miembros.
28. El Título II de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales se denomina: Autoridades de protección de datos Disposiciones aplicables a tratamientos concretos Derechos de las personas Principios de protección de datos .
29. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679: a. facilitando al afectado la información básica del tratamiento de esos datos b. indicándo al afectado una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la información no básica c. a y b son correctas d. ninguna es correcta .
30. La información básica del tratamiento de datos deberá contener, al menos: la identidad del responsable del tratamiento y de su representante, en su caso la finalidad del tratamiento la posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 todas son correctas .
31. Los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, podrán ejercerse (señala la incorrecta): directamente por medio de representante legal por medio de representante voluntario por medio de sustituto ocasional.
32. Respecto a los medios a disposición del afectado para ejercer los derechos que le corresponden: el responsable del tratamiento no estará obligado a informar al afectado sobre los medios a su disposición para ejercer los derechos que le corresponden los medios deberán ser fácilmente accesibles para el afectado el ejercicio del derecho podrá ser denegado por el solo motivo de optar el afectado por otro medio todas son correctas .
33. El encargado: no podrá tramitar, por cuenta del responsable, las solicitudes de ejercicio formuladas por los afectados de sus derechos podrá tramitar, por cuenta del responsable, las solicitudes de ejercicio formuladas por los afectados de sus derechos solo si así se estableciere en el contrato que les vincule podrá tramitar, por cuenta del responsable, las solicitudes de ejercicio formuladas por los afectados de sus derechos solo si así se estableciere en el acto jurídico que les vincule podrá tramitar, por cuenta del responsable, las solicitudes de ejercicio formuladas por los afectados de sus derechos si así se estableciere en el contrato o acto jurídico que les vincule .
34. La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulado por el afectado recaerá sobre: el propio afectado el responsable el responsable o, en su defecto, sobre el propio afectado el propio afectado o, en su defecto, sobre el responsable .
35. Los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran corresponderles en el contexto de la presente ley orgánica podrán ser ejercitados por los titulares de la patria potestad en nombre y representación de: los menores de 13 años los menores de 14 años los menores de 16 años los menores de 18 años .
36. Sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del Reglamento (UE) 2016/679 y en los apartados 3 y 4 del artículo 13 de esta ley orgánica, las actuaciones llevadas a cabo por el responsable del tratamiento para atender las solicitudes de ejercicio de los derechos de acceso, rectificación, cancelación, oposición: serán gratuitas tendrán un coste reducido serán de pago ninguna es correcta.
37. El derecho de acceso se entenderá otorgado si el responsable del tratamiento facilitara al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice: de modo temporal, su acceso parcial de modo temporal, el acceso a su totalidad de modo permanente, su acceso parcial de modo permanente, el acceso a su totalidad .
38. A los efectos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679 se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de: 2 meses, a menos que exista causa legítima para ello 3 meses, a menos que exista causa legítima para ello 4 meses, a menos que exista causa legítima para ello 6 meses, a menos que exista causa legítima para ello .
39. Cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado: la solicitud será considerada excesiva, por lo que no podrá realizarse la solicitud será considerada excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte la solicitud será considerada excesiva, por lo que el afectado y el responsable asumirán a partes iguales el exceso de costes que la elección del afectado comporte ninguna es correcta .
40. Al ejercer el derecho de rectificación, el afectado deberá indicar en su solicitud: únicamente a qué datos se refiere únicamente la corrección que haya de realizarse a qué datos se refiere y la corrección que haya de realizarse a qué datos se refiere, la corrección que haya de realizarse y el lugar en el que haya de publicarse la corrección.
41. Cuando la supresión derive del ejercicio del derecho de oposición el responsable: podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa podrá conservar los datos identificativos del afectado necesarios con el fin de facilitar tratamientos futuros para fines de mercadotecnia directa no podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa ninguna es correcta .
42. Respecto a la limitación del tratamiento, el hecho de que el tratamiento de los datos personales esté limitado debe constar claramente: en los sistemas de información del responsable en la Agencia Española de Protección de Datos por la autoridad autonómica de protección de datos competente en el registro de actividades de tratamiento .
43. El Título III de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales se denomina: Autoridades de protección de datos Disposiciones aplicables a tratamientos concretos Derechos de las personas Responsable y encargado del tratamiento .
44. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumpla: a. que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional b. que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios c. a y b son correctas d. ninguna es correcta .
45. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los siguientes requisitos: que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta o interés que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía hubiese sido objeto de reclamación administrativa o judicial por el deudor que el acreedor no haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquéllos en los que participe todas son correctas.
46. La entidad que mantenga el sistema de información crediticia con datos relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito deberá notificar al afectado la inclusión de tales datos y le informará sobre la posibilidad de ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679: dentro de los 20 días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados los datos después de ese plazo dentro de los 30 días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados los datos durante ese plazo dentro de los 20 días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados los datos durante ese plazo dentro de los 30 días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados los datos después de ese plazo.
47. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumpla que los datos únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de: 1 año desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito 2 años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito 5 años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito 10 años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito .
48. Tendrán la condición de corresponsables del tratamiento de los datos: las entidades que mantengan el sistema, respecto del tratamiento de los datos referidos a sus deudores las acreedoras, respecto del tratamiento de los datos referidos a sus deudores las entidades que mantengan el sistema y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores ninguna es correcta .
49. Salvo prueba en contrario, se presumirán lícitos los tratamientos de datos que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades: salvo su comunicación con carácter previo, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, en todo caso, la continuidad en la prestación de los servicios incluida su comunicación con carácter previo, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, en todo caso, la continuidad en la prestación de los servicios salvo su comunicación con carácter previo, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios incluida su comunicación con carácter previo, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.
50. Respecto a los tratamientos relacionados con la realización de determinadas operaciones mercantiles, en el caso de que la operación no llegara a concluirse: la entidad cesionaria deberá proceder a la supresión de los datos un año después, siendo de aplicación la obligación de bloqueo prevista en esta ley orgánica la entidad cesionaria deberá proceder con carácter inmediato a la supresión de los datos, sin que sea de aplicación la obligación de bloqueo prevista en esta ley orgánica la entidad cesionaria deberá proceder con carácter inmediato a la supresión de los datos, siendo de aplicación la obligación de bloqueo prevista en esta ley orgánica la entidad cesionaria deberá proceder con carácter inmediato a la supresión de los datos un año después, sin que sea de aplicación la obligación de bloqueo prevista en esta ley orgánica.
51. Podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones: las personas físicas las personas jurídicas públicas las personas jurídicas privadas todas son correctas .
52. Las imágenes de la vía pública: a. en ningún caso podrán captarse b. solo podrán captarse en la medida en que resulte imprescindible para la finalidad de preservar la seguridad de las personas c. solo podrán captarse en la medida en que resulte imprescindible para la finalidad de preservar la seguridad de los bienes, así como de sus instalaciones d. b y c son correctas .
53. Respecto a los tratamientos con fines de videovigilancia, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones, los datos serán suprimidos en: el plazo máximo de 1 mes desde su captación el plazo máximo de 2 meses desde su captación el plazo máximo de 3 meses desde su captación el plazo máximo de 6 meses desde su captación .
54. Respecto a los tratamientos con fines de videovigilancia, cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de: 12 horas desde que se tuviera conocimiento de la existencia de la grabación 24 horas desde que se tuviera conocimiento de la existencia de la grabación 48 horas desde que se tuviera conocimiento de la existencia de la grabación 72 horas desde que se tuviera conocimiento de la existencia de la grabación .
55. El deber de información previsto en el artículo 12 del Reglamento (UE) 2016/679 se entenderá cumplido mediante la colocación de un dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia de: el tratamiento la identidad del responsable la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679 todas son correctas .
56. Al amparo del artículo 2.2.c) del Reglamento (UE) 2016/679, se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que: a. solamente capten el interior de su propio domicilio b. solamente capten el interior de su propio negocio o establecimiento c. a y b son correctas d. ninguna es correcta .
57. El tratamiento de datos personales que tenga por objeto evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas: será lícito será constitutivo de ilícito penal será constitutivo de ilícito administrativo será irregular .
58. Las entidades responsables de los sistemas de exclusión publicitaria comunicarán a la autoridad de control competente: su creación su carácter general o sectorial el modo en que los afectados pueden incorporarse a los mismos y, en su caso, hacer valer sus preferencias todas son correctas .
59. Cuando un afectado manifieste a un responsable su deseo de que sus datos no sean tratados para la remisión de comunicaciones comerciales, este: deberá incluirle en uno de los sistemas de exclusión publicitaria existentes, no pudiendo remitirse a la información publicada por la autoridad de control competente deberá informarle de los sistemas de exclusión publicitaria existentes, no pudiendo remitirse a la información publicada por la autoridad de control competente deberá informarle de los sistemas de exclusión publicitaria existentes, pudiendo remitirse a la información publicada por la autoridad de control competente deberá incluirle en uno de los sistemas de exclusión publicitaria existentes, pudiendo remitirse a la información publicada por la autoridad de control competente.
60. Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán: previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación, incluyendo en el tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo consultar los sistemas de exclusión publicitaria que hayan afectado a su actuación en el plazo de un mes, excluyendo del tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo consultar los sistemas de exclusión publicitaria que hayan afectado a su actuación en el plazo de un mes, incluyendo en el tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo .
61. Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de: Derecho público, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable Derecho público, excepto anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable Derecho privado, excepto anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable .
62. El acceso a los datos contenidos en los sistemas de información de denuncias internas quedará limitado exclusivamente a los encargados del tratamiento que eventualmente se designen a tal efecto o a: quienes incardinados en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento quienes no estando incardinados en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento quienes incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento ninguna es correcta .
63. Respecto a los sistemas de información de denuncias internas, deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada: salvo la de la persona que hubiera puesto los hechos en conocimiento de la entidad especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, aunque no se hubiera identificado especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado ninguna es correcta .
64. Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias: únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados únicamente durante el tiempo que estime oportuno la Agencia Española de Protección de Datos únicamente durante el tiempo necesario según la naturaleza e interés público de la información únicamente durante el tiempo que se prolongue la investigación sobre los hechos denunciados .
65. Salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica, deberá procederse a su supresión del sistema de denuncias: transcurrido 1 mes desde la introducción de los datos transcurridos 2 meses desde la introducción de los datos transcurridos 3 meses desde la introducción de los datos transcurridos 6 meses desde la introducción de los datos .
66. El tratamiento de datos personales llevado a cabo por los organismos que tengan atribuidas las competencias relacionadas con el ejercicio de la función estadística pública se someterá a lo dispuesto en: su legislación específica el Reglamento (UE) 2016/679 la presente ley orgánica todas son correctas .
67. La comunicación de los datos a los órganos competentes en materia estadística solo se entenderá amparada en el artículo 6.1 e) del Reglamento (UE) 2016/679 en los casos en que la estadística para la que se requiera la información: venga exigida por una norma de Derecho Internacional o se encuentre incluida en los instrumentos de programación estadística legalmente previstos venga exigida por una norma de Derecho Internacional o se encuentre incluida en los instrumentos de programación estadística reglamentariamente previstos venga exigida por una norma de Derecho de la Unión Europea o se encuentre incluida en los instrumentos de programación estadística reglamentariamente previstos venga exigida por una norma de Derecho de la Unión Europea o se encuentre incluida en los instrumentos de programación estadística legalmente previstos .
68. Los organismos competentes para el ejercicio de la función estadística pública podrán denegar las solicitudes de ejercicio por los afectados de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 cuando los datos se encuentren amparados por las garantías del secreto estadístico previstas en: la legislación estatal la legislación autonómica la legislación estatal o autonómica la legislación estatal, autonómica o local .
69. A los efectos del artículo 86 del Reglamento (UE) 2016/679, el tratamiento de datos relativos a infracciones y sanciones administrativas, incluido el mantenimiento de registros relacionados con las mismas, exigirá que los responsables de dichos tratamientos sean los órganos competentes (señala la incorrecta): para el inicio del procedimiento sancionador para la instrucción del procedimiento sancionador para la declaración de las infracciones para la imposición de las sanciones .
70. A los efectos del artículo 86 del Reglamento (UE) 2016/679, el tratamiento de datos relativos a infracciones y sanciones administrativas, incluido el mantenimiento de registros relacionados con las mismas, exigirá que el tratamiento: se limite a los datos estrictamente necesarios para la finalidad perseguida por aquel se extienda a todos los datos relativos al presunto infractor se extienda a todos los datos relativos a las personas afectadas ninguna es correcta .
71. Cuando no se cumpla alguna de las condiciones previstas en el apartado 1 del artículo 27, los tratamientos de datos referidos a infracciones y sanciones administrativas:: habrán de contar con el consentimiento del interesado habrán de estar autorizados por una norma con rango de ley será necesario que se cumplan las dos condiciones anteriores bastará con que se cumpla una de las dos condiciones anteriores .
72. El Título IV de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales se denomina: Autoridades de protección de datos Disposiciones aplicables a tratamientos concretos Derechos de las personas Responsable y encargado del tratamiento .
73. Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con (señala la incorrecta): el citado reglamento la presente ley orgánica las normas de desarrollo de la presente ley orgánica la legislación local.
74. Para la adopción de las medidas técnicas y organizativas apropiadas que deben aplicar los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse cuando (señala la incorrecta): el tratamiento pudiera generar situaciones de discriminación el tratamiento pudiese privar a los afectados de sus derechos y libertades el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos se produzca un tratamiento que implique a un pequeño grupo de afectados.
75. Para la adopción de las medidas técnicas y organizativas apropiadas que deben aplicar los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de: menores de edad y personas con discapacidad mujeres y personas de edad avanzada extranjeros y personas sin hogar enfermos mentales y personas en riesgo de pobreza .
76. La determinación de las responsabilidades a las que se refiere el artículo 26.1 del Reglamento (UE) 2016/679 se realizará atendiendo a: las actividades que efectivamente desarrolle cada uno de los corresponsables del tratamiento las actividades que desarrolle cualquiera de los corresponsables del tratamiento las actividades que pudiera desarrollar cada uno de los corresponsables del tratamiento ninguna es correcta .
77. En los supuestos en que el Reglamento (UE) 2016/679 sea aplicable a un responsable o encargado del tratamiento no establecido en la Unión Europea en virtud de lo dispuesto en su artículo 3.2 y el tratamiento se refiera a afectados que se hallen en España la Agencia Española de Protección de Datos o, en su caso, las autoridades autonómicas de protección de datos podrán imponer: únicamente al responsable o encargado del tratamiento, las medidas establecidas en el Reglamento (UE) 2016/679 al representante, y subsidiariamente al responsable o encargado del tratamiento, las medidas establecidas en el Reglamento (UE) 2016/679 al representante, solidariamente con el responsable o encargado del tratamiento, las medidas establecidas en el Reglamento (UE) 2016/679 al responsable o encargado del tratamiento, y subsidiariamente al representante, las medidas establecidas en el Reglamento (UE) 2016/679 .
78. En caso de exigencia de responsabilidad en los términos previstos en el artículo 82 del Reglamento (UE) 2016/679, responderán solidariamente de los daños y perjuicios causados: los responsables y encargados los encargados y representantes los responsables y representantes los responsables, encargados y representantes .
79. Deberá/n mantener el registro de actividades de tratamiento al que se refiere el artículo 30 del Reglamento (UE) 2016/679, salvo que sea de aplicación la excepción prevista en su apartado 5: los encargados del tratamiento o, en su caso, sus representantes los responsables del tratamiento o, en su caso, sus representantes los responsables y encargados del tratamiento o, en su caso, sus representantes ninguna es correcta .
80. Respecto al registro de las actividades de tratamiento cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos deberán comunicarle: cualquier adición en el contenido del registro cualquier modificación en el contenido del registro cualquier exclusión en el contenido del registro todas son correctas .
81. El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a: designar un delegado de protección de datos determinar las medidas técnicas y organizativas apropiadas que se deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme a la ley su rectificación o supresión dictar acuerdo de inicio de procedimiento para el ejercicio de la potestad sancionadora .
82. El bloqueo de los datos consiste en: la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas la destrucción de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, salvo su visualización, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas la destrucción de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, salvo su visualización, para la exigencia de posibles responsabilidades derivadas del tratamiento y más allá del plazo de prescripción de las mismas la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, para la exigencia de posibles responsabilidades derivadas del tratamiento y más allá del plazo de prescripción de las mismas .
83. El bloqueo de los datos consiste en impedir su tratamiento excepto para la puesta a disposición de los datos a: los jueces y tribunales el Ministerio Fiscal las Administraciones Públicas competentes todas son correctas .
84. Transcurrido el plazo de prescripción de posibles responsabilidades derivadas del tratamiento de los datos que hayan sido bloqueados: deberá procederse a desbloquear los datos deberá procederse a la destrucción de los datos deberá procederse a remitir los datos a la autoridad competente ninguna es correcta.
85. Cuando la configuración del sistema de información no permita el bloqueo o se requiera una adaptación que implique un esfuerzo desproporcionado, se procederá a un copiado seguro de la información de modo que conste evidencia digital, o de otra naturaleza, que permita acreditar: la autenticidad de la información la fecha del bloqueo la no manipulación de los datos durante el bloqueo todas son correctas .
86. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus respectivas competencias, podrán fijar excepciones a la obligación de bloqueo, en los supuestos en que (señala la incorrecta): atendida la naturaleza de los datos, su mera conservación, incluso bloqueados pudiera generar un riesgo elevado para los derechos de los afectados atendido el hecho de que se refieran a un número particularmente elevado de afectados, su mera conservación, incluso bloqueados pudiera generar un riesgo elevado para los derechos de los afectados la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para los afectados .
87. Siempre que se cumpla lo establecido en el Reglamento (UE) 2016/679, en la presente ley orgánica y en sus normas de desarrollo el acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable: se considerará comunicación de datos no se considerará comunicación de datos no se considerará comunicación de datos salvo que el delegado de protección de datos incurriera en dolo o negligencia grave en su ejercicio no se considerará comunicación de datos salvo que las autoridades autonómicas de protección de datos mantengan otro criterio .
88. Quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679, tendrá la consideración de: responsable del tratamiento encargado afectado ninguna es correcta .
89. El responsable del tratamiento determinará si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser (señala la incorrecta): destruidos devueltos al responsable entregados a un nuevo encargado custodiados por el último encargado .
90. Quien figurando como encargado utilizase los datos para sus propias finalidades: tendrá la consideración de responsable del tratamiento en ningún caso podrá considerarse responsable del tratamiento se considerará responsable del tratamiento cuando los datos estén relacionados con temas de salud se considerará responsable del tratamiento cuando se trate de datos relativos a la seguridad y confidencialidad del afectado.
91. No procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso, cuando finalice la prestación de los servicios del encargado: deberán ser devueltos al responsable, que garantizará su conservación mientras tal obligación persista deberán ser conservados por el encargado, que garantizará su conservación mientras tal obligación persista deberán ser conservados por el encargado o devueltos al responsable, que garantizarán su conservación mientras tal obligación persista ninguna es correcta .
92. Señala la respuesta correcta: el encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el afectado el afectado podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el encargado del tratamiento el encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento el responsable del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el encargado del tratamiento .
93. En el ámbito del sector público podrán atribuirse las competencias propias de un encargado del tratamiento a: un determinado órgano de la Administración General del Estado la Administración de las comunidades autónomas las Entidades que integran la Administración Local todas son correctas .
94. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades (señala la incorrecta): los colegios profesionales y sus consejos generales los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala los prestadores de servicios de la sociedad de la información cuando elaboren a pequeña escala perfiles de los usuarios del servicio .
95. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades (señala la incorrecta): las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito los establecimientos financieros de crédito las entidades aseguradoras, excepto las reaseguradoras las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores .
96. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades (señala la incorrecta): los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude las entidades que desarrollen actividades de publicidad y prospección comercial los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, incluyendo los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual .
97. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades: las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas jurídicas los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego las empresas de seguridad pública las federaciones deportivas cuando traten datos de mayores de edad .
98. Los responsables y encargados del tratamiento comunicarán a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos: en el plazo de 5 días en los supuestos en que se encuentren obligadas a su designación en el plazo de 10 días en los supuestos en que se encuentren obligadas a su designación en el plazo de 5 días tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria en el plazo de 10 días tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria .
99. Mantendrá/n, en el ámbito de sus respectivas competencias, una lista actualizada de delegados de protección de datos que será accesible por medios electrónicos: únicamente la Agencia Española de Protección de Datos únicamente las autoridades autonómicas de protección de datos la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos las autoridades autonómicas de protección de datos y las autoridades locales de protección de datos .
100. En el cumplimiento de las obligaciones referidas a la designación de un delegado de protección de datos, los responsables y encargados del tratamiento podrán establecer la dedicación completa o a tiempo parcial del delegado, entre otros criterios, en función de: el volumen de los tratamientos la categoría especial de los datos tratados los riesgos para los derechos o libertades de los interesados todas son correctas .
|
