Protección de datos de carácter personal: LO 3/2018

Question 1

¿Cuál es el fin de la LO 3/2018, de 5 de diciembre?

Answer 1

Adaptar al ordenamiento jurídico español el Reglamento (UE) 2016/679 relativo en lo que respecta a datos personales y circulación de estos datos y garantizar los derechos digitales conforme al artículo 18.4 CE.

Question 2

¿A qué tipo de tratamiento se aplica la LO 3/2018?

Answer 2

Se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales o no automatizados contenido o destinado a serlo en un fichero.

Question 3

¿En qué caso no es de aplicación la LO 3/2018?

Answer 3

No es de aplicación a los tratamientos excluidos por su normativa específica (ámbito no comprendido en el derecho de la UE; actividades personales o domésticas; materia de la LO 7/2021), los datos de personas fallecidas y las materias clasificadas.

Question 4

¿Qué se garantizará según la LO 3/2018?

Answer 4

Se garantiza un acceso universal, asequible, de calidad y no discriminatorio para toda la población.

Question 5

¿Quiénes podrán dirigirse al responsable de los datos para solicitar el acceso, rectificación o supresión de los mismos en caso de una persona fallecida? ¿En qué caso no podrá hacerlo?

Answer 5

Las personas vinculadas al fallecido por razones familiares, de hecho o sus herederos pueden dirigirse al responsable de los datos para solicitar el acceso, rectificación o supresión de los mismos salvo que este lo prohibiera expresamente o así lo determine una ley.

Question 6

¿Quiénes deberán dirigirse al responsable de tratamiento en caso de menores y personas con discapacidad fallecidas para el acceso, rectificación o supresión de sus datos?

Answer 6

En caso de menores y personas con discapacidad podrán ejercerlo también sus representantes, el MF y exclusivamente para los discapacitados los servicios de apoyo.

Question 7

¿Cómo serán los datos obtenidos?

Answer 7

Los datos serán exactos y si fuese necesario, actualizados.

Question 8

¿En qué casos no será imputable al responsable del tratamiento la inexactitud de los datos?

Answer 8

Si se tomaron todas las medidas razonables siempre que:

• Hubiesen sido obtenidos directamente del afectado.
• Hubiesen sido obtenidos de un mediador o intermediario, siendo este quien asumirá las consecuencias.
• Se hubiesen recibido de otro responsable mediante el derecho a la portabilidad.
• Se hubiesen recibido de un registro público.

Question 9

¿Quiénes están sujetos al deber de confidencialidad y a qué será complementario? ¿Durante cuánto tiempo se mantiene esta responsabilidad?

Answer 9

Los responsables, encargados y demás personas que intervengan en el proceso están sujetas a deber de confidencialidad que será complementario del deber de secreto profesional. Esta obligación se mantiene incluso finalizada la relación del obligado con el responsable.

Question 10

¿Qué se considera consentimiento del afectado?

Answer 10

Toda manifestación de voluntad libre, específica, informada e inequívoca por la que se acepta, ya sea mediante una declaración o una clara acción afirmativa el tratamiento de datos personales (no puede supeditarse el consentimiento para finalidades que no guarden relación con el mantenimiento, desarrollo o control).

Question 11

En caso de que los datos fuesen a utilizarse para varios fines, ¿cómo será el consentimiento del afectado?

Answer 11

En caso de pluralidad de finalidades, se requerirá el consentimiento específico e inequívoco para cada una de las mismas.

Question 12

¿A partir de qué edad podrán los menores dar su consentimiento para el tratamiento de datos? ¿Y si son menores de esta edad?

Answer 12

Los menores podrán dar consentimiento si son mayores de 14 años (excepto aquellos supuestos que la ley exija asistencia de la patria potestad). En caso de ser menores de esta edad, se requerirá el consentimiento del titular de la patria potestad o tutela.

Question 13

¿Cuáles son las categorías especiales de datos para las que el solo consentimiento del afectado no basta para levantar la prohibición del tratamiento?

Answer 13

Datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias, origen racial o étnico.

Question 14

¿Quién y qué información básica se transferirá en el caso de transparencia e información al afectado (derechos de las personas)?

Answer 14

El responsable facilitará:

• Datos obtenidos directamente del afectado: identidad del responsable, finalidad del tratamiento, posibilidad de ejercer sus derechos y donde dirigirse para los mismos.
• Cuando no se hubieran obtenido del afectado: además de los anteriores, se debe incluir las categorías de datos de tratamiento y la fuente de las que provienen los mismos.

Question 15

¿Cómo podrán ejercitarse los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición?

Answer 15

Podrán ejercitarse directamente o por medio de representante legal o voluntario.

Question 16

¿Quién está obligado a informar y tener medios de fácil acceso para que las personas puedan ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición?

Answer 16

El responsable del tratamiento está obligado a informar y tener medios de fácil acceso para su ejercicio (no podrá ser denegado solo por motivo de optar por otro medio). La prueba de cumplimiento de estos recae en el responsable.

Question 17

¿Quiénes podrán ejercitar los derechos con respecto a la protección de datos de los menores de 14 años?

Answer 17

Los titulares de la patria potestad pueden ejercitar en nombre de los menores de 14 años los derechos del afectado.

Question 18

¿El ejercicio de los derechos de las personas tienen algún coste?

Answer 18

Son gratuitos, salvo cuando se considere repetitivo o excesivo.

Question 19

¿En qué situación se considera que el ejercicio de los derechos con respecto a la protección de datos es repetitivo?

Answer 19

Se pueden considerar repetitivos si se produce el acceso en más de una ocasión en el plazo de 6 meses (salvo causa legítima).

Question 20

¿En qué situación se considera que el ejercicio de los derechos con respecto a la protección de datos es excesivo?

Answer 20

Cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, asumiendo el exceso de coste de su elección.

Question 21

¿Qué sucederá si las solicitudes son manifiestamente infundadas o excesivas o cuando el interesado solicite copias distintas de los datos personales objeto de tratamiento?

Answer 21

Que el ejercicio de los derechos respecto a la protección de datos no serán gratuitos.

Question 22

¿Cuáles son los derechos de las personas que recoge la LO 3/2018?

Answer 22

Derecho de acceso, derecho de rectificación, derecho de supresión, derecho a la limitación del tratamiento, derecho a la portabilidad y derecho de oposición.

Question 23

¿Qué es el derecho de acceso (art 13)?

Answer 23

Obtener confirmación de si se están tratando o no datos personales que le conciernen y en tal caso acceder a los mismos, su finalidad, categorías, destinatarios, plazo de conservación, el origen de los mismos, la existencia de decisiones automatizadas y el conocimiento del resto de sus derechos.

Question 24

Si al hacer uso del derecho de acceso se tiene una gran cantidad de información, ¿qué le puede solicitar el responsable al afectado?

Answer 24

El responsable puede solicitar que se especifiquen los datos necesarios si maneja una gran cantidad de información.

Question 25

¿En qué casos se entiende otorgado el derecho de acceso?

Answer 25

El derecho de acceso se entiende otorgado si el responsable del tratamiento facilita al afectado un sistema de acceso remoto.

Question 26

¿En qué casos se puede limitar el derecho de acceso?

Answer 26

Se puede limitar el derecho de acceso cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo pudiendo el responsable cobrar un canon o negarse.

Question 27

¿Qué se considera repetitivo dentro del derecho de acceso?

Answer 27

Se considerará repetitivo el acceso en más de una ocasión durante el plazo de 6 meses, salvo causa legítima.

Question 28

¿Qué es el derecho de rectificación (art 14)?

Answer 28

Obtener sin dilación indebida la rectificación de los datos personales inexactos que le conciernan, debiendo indicar los mismos y la corrección necesaria junto con la documentación justificativa.

Question 29

¿Qué es el derecho de supresión (derecho al olvido) (art 15)? ¿Qué circunstancias deben darse?

Answer 29

Obtener sin dilación indebida la supresión de los datos personales cuando concurra alguna de estas circunstancias: datos innecesarios para los fines, se retire el consentimiento, se oponga al tratamiento, uso ilícito, deban ser suprimidos por obligación legal.

Question 30

¿En qué casos no se aplica el derecho al olvido?

Answer 30

El derecho al olvido no se aplica cuando el tratamiento sea necesario para: la libertad de expresión e información, obligación legal, misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, interés público en el ámbito de la salud pública, fines de archivo en interés público, fines de investigación científica, histórica o estadística, formulación de derechos o reclamaciones.

Question 31

¿Qué es el derecho a la limitación del tratamiento (art 16)? ¿Qué condiciones se deben dar para poder solicitar la limitación de tratamiento?

Answer 31

Obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes: se impugne la exactitud de los datos hasta que se verifiquen, tratamiento ilícito y el interesado se oponga a la supresión, el responsable ya no los necesite, pero el interesado formule reclamaciones, el interesado se oponga mientras se verifican los motivos legítimos del responsable.

Question 32

¿Los datos limitados se destruyen? ¿Cuándo se puede hacer uso de ellos?

Answer 32

Los datos limitados se conservan y solo pueden ser objeto de tratamiento con conocimiento del afectado o para la formulación de defensa, reclamaciones o interés público.

Question 33

¿Qué es el derecho a la portabilidad (art 17)?

Answer 33

Recibir sus datos personales de forma estructurada y transmitirlos a otro responsable.

Question 34

¿Qué es el derecho de oposición (art 18)?

Answer 34

Derecho a oponerse en cualquier momento por motivos relacionados con su situación particular, cuando los datos personales que le conciernan sean objeto de un tratamiento basado en fines de interés público o de satisfacción de intereses legítimos (investigación científica, histórica, estadística), si bien las autoridades podrán rechazar la oposición por motivos legítimos imperiosos para el interés público.

Question 35

¿En qué casos el afectado tendrá derecho de oposición?

Answer 35

El afectado podrá oponerse cuando tengan por objeto la mercadotecnia directa o el tratamiento automatizado, incluida la elaboración de perfiles que le afecten.

Question 36

¿Quiénes podrán llevar a cabo el tratamiento con fines de videovigilancia?

Answer 36

Las personas físicas o jurídicas públicas o privadas podrán llevar a cabo el tratamiento de imágenes a través de cámaras con la finalidad de preservar la seguridad de las personas y bienes en sus instalaciones.

Question 37

¿En qué caso se podrá realizar videovigilancia en la vía pública? ¿Y en un domicilio privado?

Answer 37

Solo lo podrán hacer en la vía pública cuando resulte imprescindible para preservar la seguridad de las personas y bienes en sus instalaciones (será posible en la vía pública en una extensión superior para garantizar la seguridad de bienes o instalaciones estratégicos o vinculados al transporte). En ningún caso en un domicilio privado.

Question 38

¿Cuál es el plazo de supresión de los datos en el tratamiento con fines de videovigilancia?

Answer 38

Los datos serán suprimidos en el plazo de un mes, salvo requerimiento judicial, debiendo en ese caso ser entregadas en el plazo de 72 horas desde el conocimiento de la grabación.

Question 39

¿En qué casos los datos obtenidos por cámaras de las FCS, centros penitenciarios y de tráfico se regirán por la LO 3/2018 en lugar de la LO 7/2021?

Answer 39

Siempre que los datos no tengan relación con fines de prevención, detención, investigación y enjuiciamiento de infracciones penales, de ejecución de sanciones penales y amenazas con la seguridad pública.

Question 40

¿El tratamiento de datos personales que tenga por objeto evitar las comunicaciones comerciales es lícito?

Answer 40

Será lícito el tratamiento de datos personales que tenga por objeto evitar las comunicaciones comerciales. A tal fin en España se utiliza la Lista Robinson.

Question 41

¿Quién es el responsable del fichero de la Lista Robinson?

Answer 41

La Asociación Española de Economía Digital.

Question 42

¿Qué es un responsable de tratamiento?

Answer 42

Persona física o jurídica que en su propio nombre establezca relaciones con los afectados, determinando los fines y los medios de los datos personales.

Question 43

¿A qué está obligado el responsable de tratamiento?

Answer 43

Está obligado a bloquear los datos en casos de rectificación o supresión. Consistirá en la identificación y reserva de los mismos, impidiendo su tratamiento y visualización salvo solicitud por las autoridades competentes (judiciales, MF o administrativas).

Question 44

¿Quién podrá establecer excepciones en cuanto a la obligación del responsable de tratamiento de bloquear los datos en casos de rectificación o supresión y por qué motivos?

Answer 44

La AEPD podrá establecer excepciones cuando afecten a un gran número de personas y puedan generar riesgos para los derechos o la conservación tuviera un coste desproporcionado.

Question 45

¿Qué es un encargado de tratamiento?

Answer 45

Persona física o jurídica que actúa para otras personas, siendo el responsable de la gestión de los datos siguiendo las directrices y medios que le proporcione el responsable. Determina si los datos son destruidos, devueltos o entregados a un nuevo responsable finalizado el servicio.

Question 46

¿Quiénes determinarán las medidas técnicas y organizativas que deben aplicarse para garantizar la LO 3/2018?

Answer 46

El responsable y encargado del tratamiento.

Question 47

¿En qué casos el responsable y encargado del tratamiento valorarán si procede la realización de la evolución de impacto de protección de datos?

Answer 47

* Cuando el tratamiento pueda generar situaciones de discriminación, usurpación de identidad, fraude, pérdida, daño para la reputación o confidencialidad u otro perjuicio económico, moral o social. * Se pudiera privar a los afectados de sus derechos, libertades o control sobre sus datos personales. * Cuando se refiera a categorías especiales de datos recogido en el artículo 9 o infracciones administrativas. * Cuando se llevase a cabo para evaluar aspectos personales y crear o utilizar perfiles personales. * Grupos de afectados de especial vulnerabilidad. * Tratamiento masivo con gran número de afectados o de datos. * Se vayan a transmitir a un tercer estado u organizaciones sin un nivel adecuado de protección. * Otras que consideren los encargados o previstas en los códigos de conducta.

Question 48

¿Quiénes deberán mantener un registro de las actividades de tratamiento?

Answer 48

El responsable y encargado del tratamiento.

Question 49

¿Qué es un delegado de protección de datos? ¿Quién lo nombra?

Answer 49

Persona física o jurídica nombrada por los responsables y encargados con carácter voluntario salvo en determinados supuestos tasados.

Question 50

¿En qué plazo se comunicará a la AEPD o equivalente autonómico la designación, nombramiento y cese de los delegados de protección de datos?

Answer 50

En el plazo de 10 días.

Question 51

¿Cuáles son las funciones del delegado de protección de datos?

Answer 51

Interlocutor del responsable o encargado con la AEDP; podrá inspeccionar los procedimientos y emitir recomendaciones y asesoramiento; vigilará el cumplimiento de la legislación en la materia comunicando las vulnerabilidades a los responsables o encargados.

Question 52

¿Qué peculiaridad existe si el delegado de protección de datos es una persona física integrada en la organización?

Answer 52

En el caso de ser una persona física integrada en la organización, no podrá ser removido ni sancionado por sus funciones salvo por dolo o negligencia grave.

Question 53

¿A qué no está sujeto el delegado de protección de datos?

Answer 53

No está sujeto a régimen disciplinario.

Question 54

¿Cuál es el plazo que tiene el delegado de protección de datos en caso de reclamación de un afectado para comunicarle la decisión? ¿Qué sucede si el afectado reclama a la AEPD?

Answer 54

En caso de reclamación de un afectado, deberá comunicarle la decisión en el plazo de 2 meses desde la reclamación. En caso de reclamación de un afectado a la AEPD, esta podrá remitirla al delegado que debe responder en el plazo de un mes.

Question 55

¿Qué es la Agencia española de protección de datos (AEPD)?

Answer 55

Es la autoridad administrativa independiente de ámbito estatal, encargada de supervisar la aplicación de esta LO y el Reglamento Europeo. Tiene personalidad jurídica y plena capacidad pública y privada.

Question 56

¿Cómo se relaciona la AEPD con el gobierno?

Answer 56

Se relaciona a través del Ministerio de Justicia.

Question 57

¿Dónde representa a España la AEPD?

Answer 57

En el Comité Europeo de Protección de Datos.

Question 58

¿Dónde tiene la sede la AEPD?

Answer 58

En Madrid.

Question 59

¿Qué cometidos tiene la AEPD?

Answer 59

Redacta una memoria anual en relación con la normativa de protección de datos. Desarrolla su actividad a través de investigaciones de su personal y auditorías. Este personal tiene la consideración de agente de la autoridad y la Administración tiene el deber de colaborar.

Question 60

¿Cuándo se aprueba la memoria anual? ¿A quién se remite?

Answer 60

La presidencia aprueba en el primer semestre su nombramiento y con carácter quinquenal un plan estratégico. Se remite al Congreso, Senado, DP, autoridades autonómicas de PD. Además estará a disposición de la Comisión Europea, del CEPD y en la página web.

Question 61

¿Cómo dirige y ostenta el presidente la representación de la AEPD?

Answer 61

Dirige y ostenta la representación de la AEPD con plena independencia y objetividad sin estar sujeta a instrucción alguna.

Question 62

¿Qué tipo de recomendaciones u obligaciones dicta el presidente de la AEPD?

Answer 62

Dicta circulares (obligatorias); resoluciones y directrices.

Question 63

¿A qué ponen fin los actos y disposiciones del presidente de la AEPD? ¿Ante quién se pueden recurrir?

Answer 63

Sus actos y disposiciones ponen fin a la vía administrativa, siendo recurribles ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.

Question 64

¿Qué consideración y rango tiene la presidencia de la AEPD?

Answer 64

Tiene consideración de alto cargo y rango de subsecretario.

Question 65

¿Quién nombra al presidente de la AEPD?

Answer 65

Lo nombra el Gobierno mediante RD del CM a propuesta del Ministerio de Justicia.

Question 66

¿Cuándo ordenará el MRJ la publicación de la convocatoria de candidatos a la presidencia de la AEPD? ¿A quién remite el Gobierno el candidato? ¿Qué mayoría es necesaria para que se elija?

Answer 66

2 meses antes de la expiración del mandato o cese, el MRJ ordenará la publicación de convocatoria de candidatos. El Gobierno remite el candidato al Congreso (Comisión de Justicia) que elegirá en primera votación por mayoría de 3/5 o en segunda por MA (realizada inmediatamente después y con los votos de al menos 2 grupos parlamentarios diferentes)

Question 67

¿Cuánto dura y por cuánto se puede prorrogar el mandato de la presidencia de la AEPD?

Answer 67

5 años renovables por otros 5.

Question 68

¿En qué caso cesan el presidente y el adjunto de la AEPD?

Answer 68

El presidente y su adjunto solo cesan por expiración de su mandato, por petición propia o por separación acordada por el CM en caso de incumplimiento grave de sus obligaciones, incapacidad sobrevenida para sus funciones, incompatibilidad y condena firme por delito doloso.

Question 69

¿Qué funciones tiene el adjunto de la presidencia de la AEPD?

Answer 69

Ayuda al presidente, pudiendo delegar este último en él sus competencias salvo las sancionadoras. Mismo periodo de elección y causas de cese.

Question 70

¿Quién se encarga de las tareas del presidente de la AEPD en caso de ausencia, vacante, enfermedad, abstención o recusación del presidente?

Answer 70

En caso de ausencia, vacante, enfermedad, abstención o recusación del presidente se encarga el adjunto salvo por incumplimiento de la normativa de protección da datos, asumiéndolo en ese caso el titular del órgano de inspección.

Question 71

¿Qué consideración y rango tiene el adjunto de la presidencia de la AEPD?

Answer 71

Tiene consideración de alto cargo y rango de director general. Se elige de entre personas de reconocida competencia jurídica, en particular en materia de PD.

Question 72

¿Qué es el consejo consultivo de la AEPD? ¿Quién nombra a sus miembros y por cuánto tiempo?

Answer 72

Órgano colegiado asesor del presidente de la AEPD cuyos miembros son nombrados por orden del MJ por un periodo de 5 años.

Question 73

¿Quién es el presidente del Consejo Consultivo de la AEPD?

Answer 73

El presidente de la AEPD.

Question 74

¿Las decisiones del consejo consultivo de la AEPD son o no vinculantes?

Answer 74

Sus decisiones no tienen carácter vinculante.

Question 75

¿Cuándo se reúne el consejo consultivo de la AEPD?

Answer 75

Cuando los disponga el presidente de la AEPD o una vez al semestre.

Question 76

¿Quiénes podrán ejercer funciones de tratamiento sobre entidades del sector público y locales, personas físicas o jurídicas integrantes de su territorio u otros previstos en su estatuto? ¿Qué podrán dictar?

Answer 76

Las autoridades autonómicas de protección de datos. Pueden dictar circulares.

Question 77

¿En qué plazo se reunirán las autoridades autonómicas de protección de datos con la AEPD?

Answer 77

Cuando su presidente lo convoque o semestralmente.

Question 78

¿Cuál es el plazo que le da la AEPD a las autoridades autonómicas en caso de que considere que vulnera la normativa para adoptar medidas?

Answer 78

El plazo de un mes.

Question 79

¿Cuáles son las tres formas de iniciación del procedimiento en caso de posible vulneración de la normativa?

Answer 79

Falta de atención al ejercicio de derechos, determinación de una posible infracción y actuaciones previas de investigación.

Question 80

¿Cuánto dura el procedimiento de falta de atención al ejercicio de derechos? ¿Cómo se considerará el silencio?

Answer 80

Procedimiento con duración de 6 meses desde la admisión a trámite. Transcurrido ese plazo habrá silencio positivo.

Question 81

¿Quién o en qué caso se podrá actuar por determinación de una posible infracción? ¿Cuánto durará el procedimiento? ¿Qué sucede tras este periodo?

Answer 81

Actuación por propia iniciativa o consecuencia de una reclamación. El procedimiento tendrá una duración máxima de 12 meses desde el acuerdo de inicio del procedimiento. Transcurrido ese plazo se produce la caducidad y el archivo de acusaciones.

Question 82

¿Cuál será la duración máxima de las actuaciones previas de investigación?

Answer 82

No podrán tener una duración superior a 18 meses desde la admisión o inicio del procedimiento.

Question 83

¿Con qué plazo se deberá notificar al reclamante la decisión sobre la admisión o inadmisión a trámite de las reclamaciones?

Answer 83

La decisión sobre la admisión o inadmisión deberá notificarse al reclamante en plazo de 3 meses (transcurrido el plazo sin la misma se entienda que prosigue la reclamación).