Dominio I. Normativa General de Protección de Datos
Impartido por Daniel López y Jesús Yáñez.
Módulo 1. Contexto normativo
Este Módulo servirá de primera aproximación a los conceptos que regula el Reglamento Europeo, que serán ampliados con más detalle en los Módulos posteriores. Comenzaremos con el tratamiento de la privacidad y protección de datos en el panorama internacional. Posteriormente, abordaremos la protección de datos en Europa y la protección de datos en España. Finalmente, nos referiremos a los estándares y buenas prácticas.
Módulo 2. El Reglamento Europeo de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Fundamentos
Este Módulo se focalizará en el análisis del ámbito de aplicación comenzando por los riesgos ligados al desarrollo de Internet para pasar con posterioridad a diferenciar entre el ámbito material ocupando buena parte de nuestra dedicación al tratamiento de los datos personales y el territorial. Posteriormente, se abordarán las definiciones recogidas en el Reglamento. Finalizaremos, abordando los sujetos obligados al Reglamento.
Módulo 3. El Reglamento Europeo de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Principios
El binomio derecho/deber en la protección de datos supondrá el comienzo del Módulo. Posteriormente, trataremos la licitud del tratamiento. Avanzaremos ocupándonos de la lealtad y transparencia. La última parte del Módulo está destinada al estudio de la limitación de la finalidad, la minimización de datos y la exactitud.
Módulo 4. El Reglamento Europeo de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Legitimación
Comenzaremos el Módulo con el consentimiento donde abordaremos el otorgamiento y la revocación. Posteriormente, nos ocuparemos del consentimiento informado donde nos detendremos en la finalidad, transparencia, conservación, información y deber de comunicación al interesado. Nos ocuparemos especialmente del consentimiento de los niños. Proseguiremos con las categorías especiales de datos, datos relativos a infracciones y condenas penales y tratamiento que no requiere identificación. Finalmente, acabaremos analizando las bases jurídicas distintas del consentimiento.
Módulo 5. El Reglamento Europeo de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Derechos de los individuos
La trasparencia e información dará inicio al Módulo. Posteriormente, nos ocuparemos del acceso, rectificación, supresión (olvido). Abordaremos también la oposición. Proseguiremos con las decisiones individuales autorizadas. También trataremos la portabilidad y la limitación del tratamiento. Acabaremos analizando la excepción a los derechos.
Módulo 6. El Reglamento Europeo de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Medidas de cumplimiento
Comenzaremos el Módulo describiendo las políticas de protección de datos. Posteriormente, nos ocuparemos de la posición jurídica de los intervinientes. Así, detallaremos los responsables, corresponsables, encargados, subencargados del tratamiento y sus representantes. También abordaremos las relaciones entre ellos y su formalización. Finalizaremos, acometiendo el Registro de actividades de tratamiento: identificación y clasificación del tratamiento de datos.
Módulo 7. El Reglamento Europeo de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Responsabilidad proactiva
Con la privacidad desde el diseño y por defecto junto a los principios fundamentales se dará inicio al Módulo. Después será tratada la evaluación del impacto relativa a la protección de datos y consulta previa. Los tratamientos de alto riesgo. Posteriormente, se abordará la seguridad de los datos personales. Seguridad técnica y organizativa. Otra de las cuestiones a abordar serán las violaciones de la seguridad. Notificaciones de violaciones de seguridad. Se finalizará con el Delegado de Protección de Datos (DPD). Marco normativo, así como los códigos de conducta y certificación.
También nos ocuparemos de los objetivos y del ámbito de aplicación del nuevo ENS. Se proseguirá con el tratamiento de los principios básicos y nos detendremos a analizar la política de seguridad y requisitos mínimos de seguridad. La seguridad de los sistemas y las normas de conformidad serán las siguientes etapas de nuestro estudio. Posteriormente, recogeremos las novedades fundamentales del ENS. Para finalizar el Módulo abordaremos la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación.
Módulo 8. El Reglamento Europeo de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Delegado de Protección de Datos (DPD, DPO o Data Privay Officer)
En este Módulo se verá la designación. Proceso de toma de decisiones. Formalidades en el nombramiento, renovación y cese. Análisis de conflicto de intereses. Posteriormente, las obligaciones y responsabilidades. Independencia. Identificación y reporte a dirección. Otra parte de estudio del Módulo serán los procedimientos. Colaboración, autorizaciones previas, relación con los interesados y gestión de reclamaciones. La comunicación con la autoridad de protección de datos también será analizada. Nos ocuparemos de la competencia profesional, negociación, comunicación y presupuestos. Proseguiremos con la formación. Finalizaremos con las habilidades personales, trabajo en equipo, liderazgo, gestión de equipos.
Módulo 9. El Reglamento Europeo de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Transferencia internacional de datos
El Módulo comenzará con el sistema de adecuación de decisiones. Se pasará después al estudio de las transferencias mediante garantías adecuadas. Posteriormente, se acometerán las normas corporativas vinculantes y las excepciones. Otra parte de análisis recaerá sobre la autorización de la autorización de control y la suspensión temporal. Se finalizará con las cláusulas contractuales.
Módulo 10. El Reglamento Europeo de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Autoridades de control
El Módulo comenzará con las autoridades de control. Se pasará después al estudio de las potestades. Posteriormente, se acometerá el régimen sancionador. Otra parte de análisis recaerá sobre el Comité Europeo de Protección de Datos. Se finalizará con el procedimiento seguido por la AEPD y la tutela jurisdiccional.
Módulo 11. Directrices de interpretación del RGPD
Este Módulo se articulará a través de un Foro específicos donde habrá una dinamización continua y actualizada sobre cualquier aspecto que afecte a la protección de datos como comentarios de sentencias judiciales, resoluciones de la AEPD o artículos doctrinales sobre la materia.
Módulo 12. Normativas sectoriales afectadas por la protección de datos
En este Módulo analizaremos diferentes tratamientos específicos de datos personales en contextos que presentan particularidades. Así, en primer lugar, repasaremos las previsiones sobre protección de datos con finalidades de videovigilancia. En segundo lugar, nos centraremos en el tratamiento de datos personales de menores de edad o niños. En tercer lugar, repasaremos el uso de datos personales en la creación y consulta de ficheros de solvencia patrimonial, más conocidos como ficheros de morosos. Continuaremos con algunas previsiones en el tratamiento de datos en el ámbito sanitario, farmacéutico y de investigación, que presentan peculiaridades asimismo por tratarse de datos especialmente protegidos. A continuación, analizaremos el uso de datos en el ámbito de las telecomunicaciones, así como en el sector de los seguros y el tratamiento llevado a cabo en el ámbito de la publicidad. Además, cerraremos con algunas consideraciones del uso de datos en contextos de computación en la nube (cloud computing) y big data. Posteriormente realizaremos un análisis centrado en aquellos tratamientos de datos personales en el contexto del ámbito laboral, en relación con el Estatuto de los Trabajadores, repasaremos aquellos delitos tipificados en el Código Penal que pueden traer causa de un uso no legítimo de datos personales, repasaremos la protección que merecen las bases datos dentro de los derechos de propiedad intelectual en tanto estructura en la que se organizan datos, que podrán ser personales o no.
Por último, veremos algunas de las previsiones que contiene la normativa de prevención del blanqueo de capitales en relación con el uso de datos personales de los afectados.
Módulo 13. Normativa Española con implicaciones en protección de datos
En este Módulo examinaremos diferentes cuerpos legales cuya aplicación conlleva un potencial uso de datos personales o efectos sobre éstos. En este sentido, la aplicación de dicho cuerpo normativo debe realizarse de acuerdo con las normas genéricas de protección de datos personales, o contener excepciones para el tratamiento bajo determinadas circunstancias. De este modo, nos centraremos en tres normas y su aplicación: en primer lugar, la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, a continuación, la Ley 11/2022, de 28 de junio, General de Telecomunicaciones y, por último, la normativa sobre firma electrónica. Además, el Módulo se complementa con los importantes cambios que en el 2021 hubo en administración electrónica. Otro sector sobre el que nos detendremos serán el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información y Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación. Finalizaremos, abordando el Real Decreto 817/2023, de 8 de noviembre, que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial y el Real Decreto 729/2023, de 22 de agosto, por el que se aprueba el Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial.
Módulo 14. Normativa con implicaciones en protección de datos
Serán objeto de estudio en este módulo los textos normativos a nivel de la Unión Europea que son relevantes en el ámbito del Derecho de Protección de Datos. A lo largo de los anteriores Módulos ya hemos estudiado las transposiciones de parte de esta normativa, así como su importancia en la protección de datos, y en este Módulo procederemos a comentar más profundamente algunas de estas normas. Entre estas normas, se analizará el Reglamento (UE) 2018/1807, de 14 de noviembre, relativo a un marco para la libre circulación de datos no personales en la Unión Europea, el Reglamento (UE) 2022/868, de 30 de mayo, relativo a la gobernanza europea de datos, el Reglamento (UE) 2023/2854, de 13 de diciembre, sobre normas armonizadas para un acceso justo a los datos y su utilización. También nos ocuparemos del Reglamento (UE) 2019/881, de 17 de abril, sobre la Ciberseguridad. Finalizaremos, con el tratamiento del Reglamento (UE) 2024/1689, de 13 de junio, de Inteligencia Artificial.
Dominio II. Responsabilidad activa
Impartido por Daniel López y Jesús Yáñez.
Módulo 1. Análisis y gestión de riesgos de los tratamientos de datos personales
A lo largo del Módulo nos aproximaremos al marco general de la evaluación y gestión de riesgos, y los conceptos generales asociados y fases del proceso, como preludio del siguiente Módulo donde estudiaremos ejemplos de metodologías para llevarlo a cabo.
Módulo 2. Metodologías de análisis y gestión de riesgos
La metodología de gestión de riesgos no es un protocolo nacido ad hoc para la gestión de los riesgos asociados a la protección de los datos de carácter personal, existiendo multitud de ellas, debiendo la organización adoptar la que más se adecúe a su tamaño y tratamientos. En líneas generales, esta metodología consiste en la atribución de pesos, cuantitativos o cualitativos específicos a las diferentes amenazas que existan en relación con los tratamientos de datos de carácter personal. Aunque se tienda a la búsqueda de elementos objetivos de valoración, una parte como veremos reviste de un componente subjetivo.
Módulo 3. Programa de cumplimiento normativo de protección de datos y seguridad en una organización
En este Módulo se abordará la introducción del Programa de Cumplimiento específico en una organización. Ello supondrá introducir en dicha organización la cultura de protección de datos en cumplimiento del principio de responsabilidad proactiva o accountability, con todas sus requerimientos, revisión y actualización.
Módulo 4. Seguridad de la información
En este Módulo partiremos de un análisis de la normativa aplicable, centrada en las Administraciones Públicas, para proceder a detallar ejemplos y formas de implantación en una organización.
Módulo 5. Evaluación de Impacto de Protección de Datos (EIPD)
En este Módulo vamos a estudiar el origen de las evaluaciones de impacto o PIA (del inglés «Privacy Impact Assessment») como instrumento de análisis de riesgos, qué novedades supone y sus características principales. Asimismo, haremos hincapié en la manera de determinar en qué supuestos estamos obligados por la normativa de protección de datos a realizar estas evaluaciones, sin perjuicio de que es recomendable llevarlas a cabo en cuanto entendamos que el riesgo asociado para los derechos y libertades de los interesados, así como para el responsable del tratamiento, tiene una entidad suficiente. A continuación, analizaremos los pasos a seguir en el proceso de realización de la PIA, así como el qué hacer en caso de que dicha PIA nos arroje como conclusión que el riesgo se mantiene alto a pesar de las medidas de seguridad tomadas al efecto de gestionarlo.
Dominio III. Técnicas para garantizar el cumplimiento de la normativa de protección de datos
Impartido por Daniel López y Jesús Yáñez.
Módulo I. Auditoría de Protección de Datos
En este Módulo nos aproximaremos al concepto de auditoría y cómo esta evoluciona con la nueva normativa. Detallaremos los pasos a seguir para su correcta realización, su documentación y el modo de ejecutar las conclusiones emanadas de ella.
Módulo II. Auditoría de Sistemas de Información
En este Módulo trataremos de dar las pautas a seguir a la hora de realizar una auditoría de sistemas, así como la implantación de controles periódicos de verificación del cumplimiento de las medidas técnicas de seguridad.
Módulo III. Gestión de la Seguridad de los Tratamientos
En este Módulo analizaremos algunas de las normas sobre seguridad de los tratamientos, haciendo hincapié en determinados controles o medidas de seguridad que se proponen en las mismas.
Módulo IV. Otros conocimientos
El Módulo dará inicio con el análisis del Cloud Computing. Posteriormente, nos ocuparemos de los Smartphones. A continuación, abordaremos el Internet de las cosas (IoT) para pasar al Big Data y elaboración de perfiles. También abordaremos las redes sociales. Blockchain y últimas tecnologías será otra etapa de estudio. Otra parte estará dedicada a las tecnologías de seguimiento de usuario. Y, la última parte estará destinada a la Inteligencia Artificial.
