TestCorreos

🔐 Normativa: RGPD y Protección de Datos

TEMA 10. Normativa: RGPD y Protección de Datos

El tratamiento de datos personales se rige por el Reglamento (UE) 2016/679 (RGPD) y la LOPDGDD 3/2018. Establecen principios, bases de licitud, derechos de los interesados y la figura del Delegado de Protección de Datos.

Practica el banco completo y haz simulacros gratis

Preguntas de muestra (35)

1. Segun el Reglamento (UE) 2016/679 (RGPD), respecto a su aplicacion en los Estados miembros, cabe afirmar que:

  1. Es un Reglamento directamente aplicable sin necesidad de transposicion
  2. Es una Directiva que cada pais debe transponer mediante una ley nacional
  3. Solo es aplicable a las empresas privadas, no al sector publico
  4. Su aplicacion quedo aplazada hasta que cada Estado lo decidiera

El RGPD es un Reglamento de la UE directamente aplicable en todos los Estados miembros sin necesidad de transposicion, aplicable desde el 25 de mayo de 2018.

2. La Ley Organica 3/2018 (LOPDGDD) tiene como funcion principal:

  1. Sustituir y dejar sin efecto al RGPD en Espana
  2. Adaptar el ordenamiento espanol al RGPD, complementarlo y regular la garantia de los derechos digitales
  3. Regular exclusivamente las tarifas de los servicios postales
  4. Transponer una Directiva europea que aun no era aplicable

La LOPDGDD (Ley Organica 3/2018, de 5 de diciembre) adapta el ordenamiento espanol al RGPD, lo complementa y regula la garantia de los derechos digitales; no lo sustituye.

3. Conforme al art. 4.1 del RGPD, se considera dato personal:

  1. Unicamente el numero del DNI
  2. Solo los datos de personas juridicas (empresas)
  3. Toda informacion sobre una persona fisica identificada o identificable
  4. Exclusivamente los datos de salud y de ideologia

El art. 4.1 RGPD define dato personal como toda informacion sobre una persona fisica identificada o identificable, directa o indirectamente.

4. Una direccion IP o un identificador en linea asociado a un cliente, en el marco del RGPD, debe considerarse:

  1. Nunca es un dato personal en ningun caso
  2. Es siempre un dato de persona juridica
  3. Solo es dato personal si se combina con el grupo sanguineo
  4. Puede ser dato personal si permite, directa o indirectamente, identificar a la persona

Una direccion IP o un identificador en linea puede ser dato personal si permite identificar a la persona directa o indirectamente (art. 4.1 RGPD; considerando 26).

5. Para admitir, cursar y entregar un envio, Correos trata el nombre y la direccion del destinatario. Estos datos:

  1. Son datos personales y su tratamiento debe respetar los principios del art. 5 RGPD
  2. No son datos personales por referirse a un envio
  3. Solo son datos personales si incluyen el DNI
  4. Quedan excluidos del RGPD por ser actividad postal

El nombre y la direccion del destinatario son datos personales (art. 4.1 RGPD); su tratamiento por Correos esta sujeto al RGPD y debe respetar los principios del art. 5.

6. Un archivador fisico en papel, ordenado por clientes, con datos de envios, conforme al RGPD:

  1. Queda fuera del RGPD por no ser informatizado
  2. Esta sujeto al RGPD al tratarse de datos contenidos en un fichero estructurado
  3. Solo se protege si ademas existe una copia digital
  4. Nunca puede considerarse fichero

El RGPD cubre el tratamiento no automatizado cuando los datos estan o van a estar en un fichero (estructura organizada que permite el acceso); un archivador en papel ordenado por clientes esta sujeto (art. 2.1).

7. En el tratamiento de los datos de sus clientes y envios, la Sociedad Estatal Correos y Telegrafos S.A. actua como:

  1. Encargado del tratamiento
  2. Interesado
  3. Responsable del tratamiento
  4. Delegado de Proteccion de Datos

Correos, que decide para que y como se tratan los datos de clientes y envios, es responsable del tratamiento conforme al art. 4.7 RGPD.

8. Segun el art. 4.8 del RGPD, el encargado del tratamiento es quien:

  1. Determina por si mismo los fines y medios del tratamiento
  2. Es el titular de los datos tratados
  3. Supervisa con independencia el cumplimiento del RGPD
  4. Trata datos personales por cuenta del responsable, siguiendo sus instrucciones

El art. 4.8 RGPD define encargado como quien trata datos por cuenta del responsable, siguiendo sus instrucciones; la relacion se formaliza por contrato (art. 28).

9. Una empresa externa presta a Correos un servicio informatico y, para ello, trata datos de clientes por cuenta de Correos siguiendo sus instrucciones. Esta empresa actua como:

  1. Encargado del tratamiento
  2. Responsable del tratamiento
  3. Corresponsable junto a Correos automaticamente
  4. Interesado

Quien trata datos por cuenta del responsable siguiendo sus instrucciones es encargado del tratamiento (art. 4.8 RGPD), formalizando la relacion mediante contrato (art. 28).

10. Correos contrata a un proveedor TIC y, ademas, codecide con otra entidad publica los fines y medios de un tratamiento conjunto. En este ultimo caso, ambas entidades son:

  1. Encargados del tratamiento entre si
  2. Corresponsables del tratamiento
  3. Interesados
  4. Delegados de Proteccion de Datos

Cuando dos o mas responsables determinan conjuntamente los fines y medios del tratamiento son corresponsables (art. 26 RGPD); el proveedor TIC que trata por cuenta de Correos es encargado (art. 4.8).

11. Se denomina interesado (o afectado), en el ambito del RGPD, a:

  1. La empresa que decide los medios del tratamiento
  2. El proveedor que trata datos por cuenta del responsable
  3. La persona fisica titular de los datos personales objeto de tratamiento
  4. Cualquier persona juridica cuyos datos se traten

El interesado es la persona fisica titular de los datos personales objeto de tratamiento; es quien puede ejercer los derechos (art. 4.1 RGPD; LOPDGDD).

12. Conforme al art. 29 RGPD, el encargado y cualquier persona que actue bajo la autoridad del responsable o del encargado:

  1. Pueden tratar datos por iniciativa propia cuando lo consideren util
  2. Reciben instrucciones meramente orientativas y no vinculantes
  3. No tienen ningun limite interno de acceso a los datos
  4. Solo tratan datos siguiendo las instrucciones del responsable, salvo obligacion legal

El art. 29 RGPD establece que solo se tratan datos siguiendo las instrucciones del responsable, salvo obligacion legal; las instrucciones son vinculantes y existen limites internos de acceso.

13. Un empleado sustituye el nombre del cliente por un codigo y guarda la tabla de correspondencia aparte, protegida con medidas de seguridad. Conforme al RGPD, esta tecnica:

  1. Es seudonimizacion; los datos siguen siendo personales y la informacion adicional debe protegerse
  2. Es anonimizacion y deja los datos fuera del RGPD
  3. No requiere proteger la informacion adicional
  4. Convierte los datos en datos de persona juridica

Es seudonimizacion (art. 4.5 RGPD): los datos siguen siendo personales y la informacion adicional debe figurar por separado y con medidas tecnicas y organizativas que impidan la atribucion.

14. A diferencia de la seudonimizacion, la anonimizacion irreversible de datos implica que:

  1. Los datos siguen plenamente protegidos por el RGPD
  2. Los datos verdaderamente anonimos quedan fuera del ambito del RGPD
  3. El proceso siempre es reversible mediante una clave
  4. Es exactamente lo mismo que seudonimizar

Cuando los datos dejan de poder asociarse de forma irreversible a una persona identificable, son anonimos y quedan fuera del ambito del RGPD (considerando 26).

15. El art. 5.1 del RGPD recoge los principios relativos al tratamiento. Entre ellos NO figura:

  1. Licitud, lealtad y transparencia
  2. Minimizacion de datos
  3. El consentimiento del interesado como principio
  4. Integridad y confidencialidad

El consentimiento no es un principio del art. 5, sino una de las bases de legitimacion del art. 6. Los principios son licitud-lealtad-transparencia, limitacion de la finalidad, minimizacion, exactitud, limitacion del plazo e integridad y confidencialidad.

16. El principio de licitud, lealtad y transparencia (art. 5.1.a RGPD) implica que el tratamiento debe ser:

  1. Secreto frente al interesado para proteger a la empresa
  2. Gratuito en todos los casos sin excepcion
  3. Inscrito previamente en un registro publico
  4. Licito (con base juridica), leal y transparente para el interesado

El art. 5.1.a exige tratar los datos de manera licita (con base juridica), leal (sin engano ni perjuicio injustificado) y transparente (el interesado conoce que se hace con sus datos).

17. En el contexto del principio del art. 5.1.a RGPD, la transparencia significa que:

  1. El interesado debe ser informado de que se hace con sus datos
  2. Los datos del interesado deben hacerse publicos
  3. El responsable puede usar lenguaje tecnico-juridico complejo
  4. Solo se informa si el interesado lo solicita expresamente

La transparencia no implica publicar datos, sino informar al interesado de manera concisa e inteligible sobre el tratamiento de sus datos (art. 5.1.a; arts. 12-14 RGPD).

18. Al admitir un envio, Correos informa al cliente de quien trata sus datos y con que finalidad. Con ello se da cumplimiento, fundamentalmente, al principio de:

  1. Minimizacion
  2. Transparencia
  3. Limitacion del plazo de conservacion
  4. Exactitud

Informar al interesado de quien trata sus datos y con que fin es una manifestacion del principio de transparencia (art. 5.1.a RGPD; arts. 12-13).

19. Conforme a los arts. 5.1.a y 6 del RGPD, un tratamiento es licito unicamente si:

  1. No causa un dano evidente al interesado
  2. El responsable actua de buena fe, aunque carezca de base juridica
  3. Se ampara en al menos una base juridica del art. 6 (o del art. 9 para categorias especiales)
  4. Se realiza por una entidad del sector publico

Un tratamiento es licito solo si se ampara en al menos una base juridica del art. 6 (o art. 9 para categorias especiales); sin base valida es ilicito (arts. 5.1.a y 6 RGPD).

20. El principio de limitacion de la finalidad (art. 5.1.b RGPD) establece que los datos:

  1. Pueden reutilizarse para cualquier fin posterior sin restriccion
  2. Se recogen con fines que pueden ser implicitos
  3. Solo se aplican a los datos sensibles
  4. Se recogen con fines determinados, explicitos y legitimos, y no se tratan de forma incompatible con ellos

El art. 5.1.b exige recoger los datos con fines determinados, explicitos y legitimos, sin tratarlos ulteriormente de manera incompatible con esos fines.

21. Los datos de un cliente recogidos para entregar un envio se quieren usar despues, sin nueva base ni informacion, para una campana comercial ajena. Esta actuacion vulnera principalmente el principio de:

  1. Limitacion de la finalidad
  2. Minimizacion de datos
  3. Exactitud
  4. Limitacion del plazo de conservacion

Usar para un fin incompatible (campana comercial ajena) datos recogidos para entregar un envio vulnera el principio de limitacion de la finalidad (art. 5.1.b RGPD).

22. Correos quiere usar los datos operativos de los envios para mejorar la calidad del servicio. Conforme al principio de limitacion de la finalidad y a la regla de compatibilidad (arts. 5.1.b y 6.4 RGPD), lo correcto es entender que:

  1. Cualquier nuevo uso esta automaticamente prohibido
  2. Un uso para mejorar la calidad operativa puede ser compatible, mientras que venderlos a terceros no lo seria
  3. Todo nuevo uso requiere siempre, en todo caso, un nuevo consentimiento
  4. La compatibilidad del nuevo fin no se valora nunca

El uso ulterior es licito si es compatible con el fin original (arts. 5.1.b y 6.4 RGPD): mejorar la calidad operativa puede ser compatible; venderlos a terceros no lo seria. La compatibilidad se valora con criterios.

23. Conforme al principio de minimizacion (art. 5.1.c RGPD), los datos deben ser:

  1. Los mas numerosos posibles para dar mejor servicio
  2. Recogidos por si acaso pudieran ser utiles
  3. Adecuados, pertinentes y limitados a lo necesario para los fines del tratamiento
  4. Siempre acompanados del DNI del interesado

El art. 5.1.c exige que los datos sean adecuados, pertinentes y limitados a lo necesario en relacion con los fines; no se recoge mas de lo imprescindible.

24. En el mostrador, al admitir un paquete para su entrega, conforme al principio de minimizacion lo procedente es solicitar:

  1. El estado civil y la profesion del destinatario por si acaso
  2. El mayor numero de datos posibles del cliente
  3. Siempre datos de salud para verificar la entrega
  4. Solo los datos necesarios para la prestacion, como nombre y direccion del destinatario

La minimizacion (art. 5.1.c RGPD) exige pedir solo los datos necesarios para el fin; para entregar un paquete basta nombre y direccion del destinatario, sin datos superfluos.

25. En un formulario de contratacion de un servicio postal se configura para que, de forma predeterminada, solo se soliciten los datos imprescindibles del envio. Esta practica se vincula directamente con el principio de:

  1. Minimizacion de datos
  2. Portabilidad
  3. Limitacion del plazo de conservacion
  4. Lealtad frente a las autoridades

Pedir por defecto solo los datos imprescindibles responde al principio de minimizacion (art. 5.1.c RGPD), tambien recogido en la proteccion de datos por defecto (art. 25).

26. El principio de exactitud (art. 5.1.d RGPD) exige que:

  1. Los datos se conserven de forma indefinida para tenerlos siempre
  2. Los datos sean exactos y, si es necesario, se actualicen, suprimiendo o rectificando sin dilacion los inexactos
  3. El responsable no tenga que corregir datos erroneos
  4. Solo se apliquen medidas de exactitud a los datos sensibles

El art. 5.1.d exige que los datos sean exactos y, si procede, actualizados, adoptando medidas razonables para suprimir o rectificar sin dilacion los inexactos respecto a los fines.

27. Un cliente comunica que la direccion registrada para su reparto es erronea. En aplicacion del principio de exactitud, Correos debe:

  1. Mantener la direccion erronea para no alterar el registro
  2. Esperar a que el cliente lo solicite ante un juez
  3. Rectificar sin dilacion la direccion para que el reparto sea correcto
  4. Conservar la direccion incorrecta de forma indefinida

El principio de exactitud (art. 5.1.d RGPD) obliga a adoptar medidas razonables para rectificar sin dilacion los datos inexactos, como una direccion erronea de reparto.

28. El principio de limitacion del plazo de conservacion (art. 5.1.e RGPD) establece que los datos:

  1. Se conservan siempre de forma indefinida por seguridad
  2. Los conserva el interesado, quien fija libremente su plazo
  3. Solo se conservan 72 horas en todo caso
  4. Se mantienen identificables solo durante el tiempo necesario para los fines del tratamiento

El art. 5.1.e exige mantener los datos de forma que permitan identificar a los interesados solo durante el tiempo necesario para los fines (salvo fines de archivo, investigacion o estadistica con garantias).

29. La conservacion de los datos de un envio ya entregado, conforme al principio del art. 5.1.e RGPD, debe realizarse:

  1. Solo durante el tiempo necesario para la finalidad y las obligaciones legales aplicables
  2. De forma indefinida en todos los casos
  3. Suprimiendolos de inmediato en el momento de la entrega sin excepcion
  4. Durante el plazo que decida libremente el interesado

El principio de limitacion del plazo (art. 5.1.e RGPD) exige conservar los datos solo el tiempo necesario para la finalidad y para atender obligaciones legales, no de forma indefinida; el plazo lo fija la finalidad o la ley.

30. El principio de integridad y confidencialidad (art. 5.1.f RGPD) exige tratar los datos de forma que:

  1. Se exija unicamente confidencialidad, sin atender a la integridad
  2. Se garantice su seguridad adecuada frente a tratamiento no autorizado, perdida o dano accidental
  3. Las medidas de seguridad sean identicas para todos los tratamientos
  4. Sea un derecho que ejerce el interesado

El art. 5.1.f exige garantizar una seguridad adecuada de los datos, incluida la proteccion frente a tratamiento no autorizado o ilicito y frente a perdida, destruccion o dano accidental, mediante medidas tecnicas y organizativas.

31. Para cumplir el principio de integridad y confidencialidad sobre la base de clientes, una medida adecuada seria:

  1. Permitir que todo el personal acceda a todos los datos por comodidad
  2. Aplicar siempre las mismas medidas con independencia del riesgo
  3. Restringir el acceso por perfiles y cifrar la informacion sensible
  4. Considerar la confidencialidad un derecho del interesado, no del responsable

El art. 5.1.f se concreta en medidas tecnicas y organizativas adecuadas al riesgo, como el acceso restringido por perfiles y el cifrado de la informacion sensible.

32. El deber de confidencialidad regulado en el art. 5 de la LOPDGDD, en relacion con el principio del art. 5.1.f RGPD:

  1. Se extingue en el momento en que finaliza la relacion laboral
  2. Solo obliga al responsable y no a los empleados
  3. Es una mera recomendacion sin caracter obligatorio
  4. Subsiste incluso despues de finalizar la relacion del interviniente con el responsable

La confidencialidad es principio del tratamiento (art. 5.1.f RGPD) y deber personal de quienes intervienen (art. 5 LOPDGDD), que subsiste tras finalizar la relacion con el responsable.

33. El principio de responsabilidad proactiva (accountability), recogido en el art. 5.2 RGPD, implica que el responsable:

  1. Es responsable del cumplimiento de los principios y debe poder demostrarlo
  2. Solo debe cumplir los principios, sin necesidad de demostrarlo
  3. Traslada al interesado la carga de acreditar el cumplimiento
  4. Solo se aplica a las grandes empresas

El art. 5.2 RGPD establece la responsabilidad proactiva: el responsable es responsable del cumplimiento de los principios y debe PODER DEMOSTRARLO; no basta con cumplir.

34. Correos documenta en un registro interno la finalidad, las categorias de datos e interesados y las medidas de seguridad del tratamiento de gestion de envios y reparto. Esta practica es una manifestacion del principio de:

  1. Limitacion de la finalidad
  2. Responsabilidad proactiva (accountability)
  3. Exactitud
  4. Lealtad

Documentar el tratamiento para poder acreditar el cumplimiento (registro de actividades, art. 30 RGPD) es una manifestacion de la responsabilidad proactiva (art. 5.2 RGPD).

35. Para gestionar el contrato de un autonomo que es cliente, Correos trata su telefono profesional. Conforme a la LOPDGDD (art. 19), este tratamiento de datos de contacto profesional puede ampararse, salvo prueba en contrario, en:

  1. El consentimiento expreso siempre necesario
  2. La inexistencia de datos personales por ser profesionales
  3. El interes legitimo
  4. Una autorizacion judicial previa

El art. 19 LOPDGDD permite amparar en el interes legitimo, salvo prueba en contrario, el tratamiento de datos de contacto de empresarios individuales y profesionales liberales referidos a su condicion profesional. Siguen siendo datos personales.

Comienza gratis