La AEPD tiene entre sus misiones la de promover y difundir conocimiento, tanto acerca de los riesgos para la privacidad que aparecen con el desarrollo de nuevos servicios, aplicaciones y con la evolución tecnológica, como de la forma de gestionarlos con soluciones que sean sostenibles desde el punto de vista de los derechos y libertades de los ciudadanos, así como presentar herramientas útiles para facilitar la adecuación normativa a pymes y emprendedores.
Últimas novedades relativas a la Responsabilidad Proactiva
- Requisitos para Auditorías de Tratamientos que incluyan IA
- IoT (II): Del Internet de las Cosas al Internet de los Cuerpos
- Identificación en servicios de pago online
- Brechas de seguridad: Ransomware y gestión del riesgo
- IoT (I): Qué es IoT y cuáles son sus riesgos
Herramientas básicas para el cumplimiento de la Responsabilidad Proactiva
La AEPD ha elaborado herramientas y material de ayuda orientado a facilitar el cumplimiento del principio de responsabilidad activa establecido en el RGPD. En este apartado se presentan aquellas que son comunes a todo tipo de tratamiento. En el apartado “Guías, informes y notas técnicas” se puede encontrar material específico que las desarrolla para tratamientos, tecnologías o responsables concretos.
No obstante, responsables y encargados del tratamiento no deben olvidar revisar que cumplen la totalidad de requisitos y obligaciones que garanticen el cumplimiento de la RGPD/LOPDGDD.
Gestión del Riesgo
Los siguientes recursos dan soporte a la obligación de realizar un análisis de riesgos de los tratamientos de datos personales:
- Guía práctica de análisis de riesgos para el tratamiento de datos personales
- Herramienta de ayuda para empresas que realicen un tratamiento de datos personales de escaso riesgo para el cumplimiento del RGPD: FACILITA-RGPD
- Herramienta para ayudar a los emprendedores y startups tecnológicas a cumplir con la normativa de protección de datos: FACILITA-EMPRENDE
Evaluación de Impacto
Los siguientes recursos dan soporte a la obligación de realizar una evaluación de impacto para la protección de datos de los tratamientos de datos personales:
- Guía práctica para las evaluaciones de impacto en la protección de datos personales
- Listas de tipos de tratamientos de datos que requieren EIPD (art 35.4)
- Lista orientativa de tipos de tratamientos de datos que no requieren una evaluación de impacto relativa a la protección de datos (art 35.5)
- Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para Administraciones Públicas
- Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para el Sector Privado
Protección de Datos desde el Diseño y por Defecto
Los siguientes recursos dan soporte a la obligación de tener en cuenta, desde las primeras etapas de definición y análisis de los tratamientos, las medidas técnicas y organizativas apropiadas para garantizar, desde el diseño y por defecto, la implementación de los principios de protección de datos:
- Guía de Privacidad desde el Diseño
- Guía de Protección de Datos por Defecto
- Protección de datos por defecto: Listado de medidas
Gestión de brechas de seguridad
Los siguientes recursos dan soporte a la obligación de incorporar mecanismos de registro y notificación de incidentes para poder llevar a cabo la adecuada gestión de aquellas posibles brechas de seguridad que tengan afectación en los tratamientos de datos personales:
- Guía para la gestión de brechas de seguridad
- Herramienta para evaluar la obligación de comunicar a los interesados: COMUNICA-BRECHA RGPD
- Formulario de notificación de brechas a la Autoridad de Control
- Microsite sobre brechas de seguridad
Guías, informes y notas técnicas
La AEPD elabora material divulgativo en distintos formatos (guías, informes, notas técnicas,…) orientado a difundir conocimiento a responsables, encargados e interesados en materia de protección de datos. En este apartado aparecen listados estos recursos agrupados por categorías y ordenados por la fecha de publicación.
Generales
- Guía de Protección de Datos por Defecto [oct 2020]
- Protección de Datos por Defecto: Listado de medidas [oct 2020]
- Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo [abr 2020]
- Introducción al hash como técnica de seudonimización de datos personales [nov 2019]
- Guía de Privacidad desde el Diseño [oct 2019]
- La K-anonimidad como medida de privacidad [jun 2019]
- Guía para clientes que contraten servicios de Cloud Computing [sep 2018]
- Orientaciones para prestadores de servicios de Cloud Computing [sep 2018]
- Guía para la gestión de brechas de seguridad [jun 2018]
- Guía práctica de análisis de riesgos para el tratamiento de datos personales [feb 2018]
- Código de buenas prácticas en proyectos de big data [may 2017]
- Orientaciones y garantías en los procedimientos de Anonimización de datos personales [oct 2016]
Específicas
- Requisitos para Auditorías de Tratamientos que incluyan IA [ene 2021]
- Nota Técnica: 14 equívocos con relación a la identificación y autenticación biométrica [jun 2020]
- Nota técnica: El uso de las tecnologías en la lucha contra el COVID19 [may 2020]
- Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial [feb 2020]
- Guía de drones y protección de datos [may 2019]
- Cómo gestionar una fuga de información en un despacho de abogados [oct 2016]
Gestión del riesgo
- Guía práctica para las evaluaciones de impacto en la protección de datos personales [oct 2018]
- Listas de tipos de tratamientos de datos que requieren EIPD (art 35.4) [sep 2019]
- Lista orientativa de tipos de tratamientos de datos que no requieren una evaluación de impacto relativa a la protección de datos (art 35.5) [agos 2019]
Internet y sistemas móviles
- Nota Técnica: Medidas para minimizar el seguimiento en internet [sep 2020]
- Infografia: Medidas para minimizar el seguimiento en internet [sep 2020]
- Guía sobre el uso de las cookies [jul 2020]
- Recomendaciones para el despliegue de aplicaciones móviles en el acceso a espacios públicos [jun 2020]
- Nota Técnica: Introducción a las tecnologías 5G y sus riesgos para la privacidad [may 2020]
- Nota técnica: Protección del menor en Internet [abr 2020]
- Infografía: Protección del menor en Internet [abr 2020]
- Privacidad en DNS [nov 2019]
- Nota técnica: El deber de informar y otras medidas de responsabilidad proactiva en apps para dispositivos móviles [sep 2019]
- Nota técnica: Acceso de aplicaciones a la pantalla en dispositivos Android [may 2019]
- Nota técnica: Control del usuario en la personalización de anuncios en Android [may 2019]
- Nota técnica: Avance del estudio de IMDEA NETWORKS y UC3M: “Análisis del Software Pre-instalado en Dispositivos Android y sus Riesgos para la Privacidad de los Usuarios” [mar 2019]
- Análisis de los flujos de información en Android. Herramientas para el cumplimiento de la responsabilidad proactiva [mar 2019]
- Estudio Fingerprinting o Huella digital del dispositivo [feb 2019]
- Informe sobre políticas de privacidad en internet [oct 2018]
- Decálogo para la adaptación al RGPD de las políticas de privacidad en internet [oct 2018]
- Guía de privacidad y seguridad en Internet [oct 2016]
Administraciones públicas
- Guía de Tecnologías y Protección de Datos en las AA.PP [nov 2020]
- Orientaciones para la aplicación de la disposición adicional octava y la disposición final duodécima de la LOPDGDD [feb 2020]
- Orientaciones para la aplicación provisional de la disposición adicional séptima de la LOPDGDD [mar 2019]
- Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para Administraciones Públicas
Informes Jurídicos y comunicados de la AEPD con relevancia tecnológica
En este apartado se recogen los dictámenes y comunicados de la AEPD que presentan cierta relevancia desde el punto de vista tecnológico.
- Informe 0017/2019 del Gabinete Jurídico de la AEPD sobre el tratamiento de la señal recibida por los dispositivos de captación y análisis de señales Wi-Fi – “WiFi tracking” [jun 2020]
- Informe 010308/2019 del Gabinete Jurídico de la AEPD sobre la licitud de incorporar sistemas de reconocimiento facial en los servicios de videovigilancia proporcionados por empresas seguridad privada [may 2020]
- Informe 0036/2020 del Gabinete Jurídico de la AEPD sobre la utilización del reconocimiento facial para realizar exámenes [may 2020]
- Comunicado de la AEPD en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos [may 2020]
Entradas técnicas del blog de la AEPD
La Agencia cuenta con un blog en el que se publican periódicamente artículos de interés en materia de protección de datos personales. Aquí presentamos un extracto de las entradas técnicas más interesantes publicadas hasta ahora.
Generales
- IoT (II): Del Internet de las Cosas al Internet de los Cuerpos [ene 2021]
- Identificación en servicios de pago online [dic 2020]
- IoT (I): Qué es IoT y cuáles son sus riesgos [dic 2020]
- Blockchain (II): Conceptos básicos desde la protección de datos [nov 2020]
- Privacidad de grupo [oct 2020]
- Gobernanza y política de protección de datos [sep 2020]
- Protección de datos y seguridad [abr 2020]
- Tratamientos de datos personales en situaciones de emergencia [abr 2020]
- Vehículos conectados [abr 2020]
- Recibo del consentimiento: Una herramienta de transparencia y responsabilidad proactiva [feb 2020]
- ¿Conoces Gestiona? [ene 2020]
- Ingeniería de la Privacidad [sep 2019]
- ¿El año comienza con un juguete conectado en casa? [ene 2019]
- La época de 'regalos inteligentes' [ene 2018]
- El enfoque de riesgos en el Reglamento [nov 2017]
- Blockchain y protección de datos [jun 2017]
- Cámaras on board y protección de datos [ene 2017]
Cifrado y Privacidad
- Cifrado y Privacidad IV: Pruebas de conocimiento cero [nov 2020]
- Cifrado y Privacidad III: Cifrado Homomórfico [jun 2020]
- Cifrado y Privacidad II: El tiempo de vida del dato [ene 2020]
- Cifrado y Privacidad: cifrado en el RGPD [nov 2019]
Internet y móviles
- Riesgos para la privacidad al iniciar sesión con tus cuentas de redes sociales en otras aplicaciones [oct 2020]
- Los acortadores de URLs y la protección de datos [jul 2020]
- Recomendaciones para prevención del acoso digital [may 2020]
- El examen de apps (y IV): los datos [dic 2018]
- El examen de aplicaciones (III): los términos y condiciones [nov 2018]
- El examen de aplicaciones (II): Los permisos que solicita la app [nov 2018]
- El examen de aplicaciones (I) [nov 2018]
- ¿Cuánto sabe Facebook sobre mi? [mar 2018]
Brechas de seguridad
- Brechas de seguridad: Ransomware y gestión del riesgo [dic 2020]
- Brechas de seguridad: el correo electrónico y las plataformas de productividad online [jun 2020]
- Brechas de seguridad: El Top 5 de las medidas técnicas que debes tener en cuenta [abr 2020]
- Notificación de brechas de seguridad de los datos personales durante el estado de alarma [abr 2020]
- Campañas de phishing sobre el COVID-19 [mar 2020]
- Brechas de seguridad: comunicación a los interesados [feb 2020]
- Brechas de seguridad: protégete ante la pérdida o robo de un dispositivo portátil [oct 2019]
- Brechas de seguridad de datos personales: qué son y cómo actuar [jun 2019]
- Brechas de seguridad: protégete ante el ransomware [may 2019]
- Cómo construir una Internet más segura [feb 2019]
- Medidas de seguridad en Facebook [oct 2018]
- Cuatro pasos para deshacerte de tu móvil de forma segura [jun 2017]
- Qué son las brechas de seguridad, cómo te pueden afectar y cómo protegerte [mar 2017]
- Seguridad en tus contraseñas [feb 2017]
Puede encontrar más información de interés en el apartado Brechas de seguridad.
Colaboraciones y premios tecnológicos
En el marco de la promoción de la investigación sobre el derecho fundamental a la protección de datos mediante la convocatoria de premios, en diferentes categorías, orientados a fomentar la innovación en materia de privacidad, en la convocatoria 2020, enmarcados dentro del ámbito de la investigación y el emprendimiento en la protección de datos personales, se han convocado los siguientes premios tecnológicos:
Premio de Investigación en Protección de Datos Personales Emilio Aced
Este premio reconoce trabajos y proyectos de protección de datos realizados en el contexto de la investigación científico-técnica, con un enfoque estrictamente práctico, en el que se estudien, analicen o desarrollen la aplicación de los principios de protección de datos en el ámbito del desarrollo científico-técnico con el fin de garantizar los derechos y libertades de las personas. Puede acceder a los datos de la convocatoria en este enlace.
Premio de Emprendimiento en Protección de Datos Personales “Ángela Ruiz”
Este premio reconoce el desarrollo de una actividad empresarial, producto o servicios que tenga como características el ser original, creativo, innovador y con impacto social en relación con la protección de datos y la garantía de los derechos y libertades de las personas. Puede acceder a los datos de la convocatoria en este enlace.
Histórico de Premios
Trabajos premiados en la categoría de Investigación en Protección de Datos Personales “Emilio Aced”
Año 2019:
- Premio: Julien Armand Pierre Gamba, Mohammed Ahmed Fahim Rashed, Abbas Razaghpanah, Juan Manuel Estévez Tapiador y Narseo Vallina-Rodríguez. Stony Brook University (Universidad Carlos III de Madrid y IMDEA Networks Institute).
- Accésit: Mikel Recuero Linares. Subdirección General de Evaluación y el Fondo Europeo de Desarrollo Regional (FEDER “Una manera de hacer Europa”).
Trabajos premiados en la categoría Emprendimiento en protección de Datos Personales “Ángela Ruiz Robles”
Año 2019:
- Premio: Molinapps S.L.U. Armando Molina Betancor.
Otros enlaces de interés
En esta sección se incluyen una recopilación de enlaces de interés a documentos y material de carácter tecnológicos publicados por otras entidades y organismos, nacionales e internacionales.
-
Comité Europeo de Protección de Datos
- EDPB: Directrices 4/2019 sobre el artículo 25 Protección de Datos desde el Diseño y por Defecto [oct 2020]
- EDPB: Directrices 07/2020 sobre los conceptos de responsable y encargado del tratamiento en el RGPD [sep 2020]
- Respuesta a la propuesta de un miembro del Parlamento Europeo respecto a la posibilidad de exigir que los nuevos portátiles que se comercialicen en el mercado de la Unión Europea vengan equipados con pestaña de bloqueo de la cámara [jun 2020]
- EDPB: Directrices 05/2020 sobre el consentimiento en virtud del Reglamento 2016/679 [mayo 2020]
- EDPB: Directrices 3/2019 sobre el tratamiento de datos personales a través de dispositivos de vídeo [jul 2019]
- ART.29 WP: Directrices sobre la notificación de violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679 [feb 2019]
- ART.29 WP: Statement of the WP29 on encryption and their impact on the protection of individuals with regard to the processing of their personal data in the EU [abril 2018]
- ART.29 WP: Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679 [oct 2017]
- ART.29 WP: Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679 [oct 2017]
- ART.29 WP: Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento "entraña probablemente un alto riesgo" a efectos del Reglamento (UE) 2016/679 [abril 2017]
- ART.29 WP: Directrices sobre el derecho a la portabilidad de los datos [abril 2017]
- ART.29 WP: Directrices sobre los delegados de protección de datos (DPD) y concepto "a gran escala" [dic 2016]
- ART.29 WP: Dictamen 01/2015 sobre la privacidad y la protección de datos en relación con la utilización de aviones no tripulados [jun 2015]
- ART.29 WP: Dictamen 05/2014 sobre técnicas de anonimización [abril 2014]
- ART.29 WP: Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes [feb 2013]
- ART.29 WP: Dictamen 3/2012 sobre la evolución de las tecnologías biométricas [abril 2012]
- Supervisor Europeo de Protección de Datos
- EDPS: Personal Information Management Systems [ene 2020]
- EDPS: Quantum Computing and Cryptography [agosto 2020]
- EPDS: Resultados de la iniciativa de investigación del uso de los productos y servicios de Microsoft por parte de las instituciones de la UE [jul 2020]
- EDPS: Seguimiento de contactos con aplicaciones móviles [mayo 2020]
- EDPS: Connected Cars [dic 2019]
- EDPS: Smart Meters in Smart Homes [oct 2019]
- EDPS: Smart Speakers and Virtual Assistants [jul 2019]
- EDPS: Enfrentándose a los desafíos de Big Data [nov 2015]
- European Commission – IA HLEG: A definition of AI: Main capabilities and disciplines [abr 2019]
- European Commission – IA HLEG: Ethics guidelines for trustworthy AI [abr 2019]
- Council of Europe: Guidelines on Artificial Intelligence and Data Protection [ene 2019]
- Council of Europe: Artificial Intelligence and Data Protection: Challenges and Possible Remedies [ene 2019]
- ENISA: Recommendations on shaping technology according to GDPR provisions - Exploring the notion of data protection by default [dic 2018]
- ENISA: Recommendations on shaping technology according to GDPR provisions - An overview on data pseudonymisation [nov 2018]
- ENISA: Handbook on Security of Personal Data Processing [dic 2017]
- ENISA: Guidelines for SMEs on the security of personal data processing [dic 2016]
- NIST: Privacy Framework
- NIST: Privacy Engineering Program
- NIST: National Institute of Standars and Technology: Differential Privacy for Privacy-preserving Data Analysis: An Introduction to our Blog Series [ jul 2020]
- NIST: National Institute of Standars and Technology: Threat Models for Differential Privacy [sep 2020 ]
- NIST: National Institute of Standars and Technology: Counting Queries: Extracting Key Business Metrics from Datasets [oct 2020 ]
- NIST: SP 800-53B Security and Privacy Controls for Information Systems and Organizations [sep 2020]
- NIST: Spreadsheet (.xlsx) version of SP 800-53B controls