Con objeto de promover y difundir el conocimiento de la gestión del riesgo para los derechos y libertades de las personas, la AEPD desarrolla recursos y herramientas para facilitar la conformidad con el RGPD, centrando especial atención en el apoyo a pymes y personas emprendedoras
Últimas novedades relativas a la Responsabilidad Proactiva
- Hoja de ruta para garantizar la conformidad con la normativa de protección de datos
- Brechas de datos personales: entornos de desarrollo y preproducción
- Blockchain (III): Smart contracts y datos personales
- Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para Administraciones Públicas
- Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para el Sector Privado
Herramientas básicas para el cumplimiento de la Responsabilidad Proactiva
La AEPD ha elaborado herramientas y material de ayuda orientado a facilitar el cumplimiento del principio de responsabilidad activa establecido en el RGPD. En este apartado se presentan aquellas que son comunes a todo tipo de tratamiento. En el apartado “Guías, informes y notas técnicas” se puede encontrar material específico que las desarrolla para tratamientos, tecnologías o personas responsables concretas.
No obstante, personas responsables y encargadas del tratamiento no deben olvidar revisar que cumplen la totalidad de requisitos y obligaciones que garanticen el cumplimiento de la RGPD/LOPDGDD.
Gestión del Riesgo y Evaluación de Impacto relativa a la protección de datos
Los siguientes recursos dan soporte a la obligación de realizar una adecuada gestión del riesgo y, en caso de que resulte necesario, la correspondiente evaluación de impacto de la protección de los datos personales:
- Gestión del riesgo y evaluación de impacto en tratamientos de datos personales
- Relación de tablas de la guía de Gestión del riesgo y evaluación de impacto en formato editable
- Lista de verificación para determinar la adecuación formal de una EIPD y la presentación de consulta previa
- Listas de tipos de tratamientos de datos que requieren EIPD (art 35.4)
- Lista orientativa de tipos de tratamientos de datos que no requieren una evaluación de impacto relativa a la protección de datos (art 35.5)
- Instrucción 1/2021 de la AEPD de directrices respecto de la función consultiva de la Agencia. Capitulo IV: Consultas Previas
- Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para Administraciones Públicas [abril 2022]
- Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para el Sector Privado [mar 2022]
- EDPS: Guía para evaluar la proporcionalidad de los tratamientos en políticas y medidas legislativas
- EDPS: Guía para evaluar la necesidad de los tratamientos en políticas y medidas legislativas
- Herramienta EVALUA-RIESGO para el análisis de los factores de riesgo
- Herramienta de ayuda para empresas que realicen un tratamiento de datos personales de escaso riesgo para el cumplimiento del RGPD: FACILITA-RGPD
- Herramienta para ayudar a las personas emprendedoras y startups tecnológicas a cumplir con la normativa de protección de datos: FACILITA-EMPRENDE
- Herramienta básica para la realización de análisis de riesgos y evaluaciones de impacto en protección de datos
Puedes encontrar más recursos sobre la Gestión del Riesgo y la realización de EIPD en el apartado general de Gestión del riesgo y evaluación de impacto en la protección de datos personales.
Protección de Datos desde el Diseño y por Defecto
Los siguientes recursos dan soporte a la obligación de tener en cuenta, desde las primeras etapas de definición y análisis de los tratamientos, las medidas técnicas y organizativas apropiadas para garantizar, desde el diseño y por defecto, la implementación de los principios de protección de datos:
- Guía de Privacidad desde el Diseño
- Guía de Protección de Datos por Defecto
- Protección de datos por defecto: Listado de medidas
Gestión de brechas de datos personales
Los siguientes recursos dan soporte a la obligación de incorporar mecanismos de registro y notificación de incidentes para poder llevar a cabo la adecuada gestión de aquellas posibles brechas de datos personales:
- Guía para la gestión de brechas de datos personales
- Herramienta para evaluar la obligación de comunicar a las personas interesadas: COMUNICA-BRECHA RGPD
- Formulario de notificación de brechas a la Autoridad de Control
- Microsite sobre brechas de datos personales
Sectores y tecnologías de aplicación
Para dar respuesta a sectores de actividad o tecnologías que incorporan singularidades en el tratamiento de los datos, a continuación, se referencian recursos de interés, tanto de carácter nacional como internacional, que pueden servir de apoyo a la hora de dar cumplimiento al principio de responsabilidad proactiva. En este momento, los materiales y recursos publicados cubren las siguientes áreas:
- Administraciones Públicas
- Anonimización y Seudonimización
- Big Data
- Biometría
- Blockchain
- Brechas de datos personales y seguridad
- Cifrado y privacidad
- Computación en la nube
- Gestión del riesgo y evaluación de impacto en la protección de datos personales
- Gobernanza y políticas de protección de datos
- Inteligencia artificial y decisiones automatizadas
- Internet de las cosas (IoT) y sistemas conectados
- Internet y sistemas móviles
- Pandemia: Covid -19
- Protección de datos desde el diseño y por defecto
- Teletrabajo
Administraciones Públicas
Guías y notas técnicas
- Guía de Tecnologías y Protección de Datos en las AA.PP [nov 2020]
- Orientaciones para la aplicación de la disposición adicional octava y la disposición final duodécima de la LOPDGDD [feb 2020]
- Orientaciones para la aplicación provisional de la disposición adicional séptima de la LOPDGDD [mar 2019]
Modelos y formularios
Recomendaciones y directrices internacionales
- EDPS: Guía para evaluar la proporcionalidad de los tratamientos en políticas y medidas legislativas [dic 2021]
- EDPS: Guía para evaluar la necesidad de los tratamientos en políticas y medidas legislativas [dic 2021]
- EPDS: Resultados de la iniciativa de investigación del uso de los productos y servicios de Microsoft por parte de las instituciones de la UE [jul 2020]
Anonimización y Seudonimización
Guías y notas técnicas
- 10 Malentendidos relacionados con la anonimización [abril 2021]
- Introducción al hash como técnica de seudonimización de datos personales [nov 2019]
- La K-anonimidad como medida de privacidad [jun 2019]
- Orientaciones y garantías en los procedimientos de Anonimización de datos personales [oct 2016]
Post
- Anonimización y seudonimización (II): la privacidad diferencial [oct 2021]
- Anonimización y seudonimización [oct 2021]
Recomendaciones y directrices internacionales
- ART.29 WP: Dictamen 05/2014 sobre técnicas de anonimización [abril 2014]
- ENISA Report - Data Pseudonymisation - Advanced Techniques and Use Cases [ene 2021]
- ENISA: Recommendations on shaping technology according to GDPR provisions - An overview on data pseudonymisation [nov 2018]
Big Data
Guías y notas técnicas
Recomendaciones y directrices internacionales
Biometría
Guías y notas técnicas
Informes jurídicos y comunicados
- Informe 0097/2020 del Gabinete Jurídico de la AEPD sobre la identificación no presencial para expedición de certificados electrónicos cualificados [nov 2021]
- Informe 010308/2019 del Gabinete Jurídico de la AEPD sobre la licitud de incorporar sistemas de reconocimiento facial en los servicios de videovigilancia proporcionados por empresas seguridad privada [may 2020]
- Informe 0036/2020 del Gabinete Jurídico de la AEPD sobre la utilización del reconocimiento facial para realizar exámenes [may 2020]
Recomendaciones y directrices internacionales
- EDPS: Facial Emotion Recognition [may 2021]
- Consejo de Europa – Convenio 108 sobre protección de datos: Guidelines on Facial Recognition [ene 2021]
- ART.29 WP: Dictamen 3/2012 sobre la evolución de las tecnologías biométricas [abril 2012]
Blockchain
Posts
- Blockchain (III): Smart contracts y datos personales [mar 2022]
- Blockchain (II): Conceptos básicos desde la protección de datos [nov 2020]
- Blockchain y protección de datos [jun 2017]
Brechas de datos personales y seguridad
Guías y notas técnicas
- Guía para la gestión de brechas de datos personales [jun 2021]
- Cómo gestionar una fuga de información en un despacho de abogados [oct 2016]
Herramientas
Modelos y formularios
Posts
- Brechas de datos personales: entornos de desarrollo y preproducción [abr 2022]
- Sin privacidad no hay ciberseguridad [feb 2022]
- Brechas de seguridad: Ransomware y gestión del riesgo [dic 2020]
- Brechas de seguridad: el correo electrónico y las plataformas de productividad online [jun 2020]
- Protección de datos y seguridad [abr 2020]
- Brechas de seguridad: El Top 5 de las medidas técnicas que debes tener en cuenta [abr 2020]
- Notificación de brechas de seguridad de los datos personales durante el estado de alarma [abr 2020]
- Campañas de phishing sobre el COVID-10 [mar 2020]
- Brechas de seguridad: comunicación a los interesados [feb 2020]
- Brechas de seguridad: protégete ante la pérdida o robo de un dispositivo portátil [oct 2019]
- Brechas de seguridad de datos personales: qué son y cómo actuar [jun 2019]
- Brechas de seguridad: protégete ante el ransomware [may 2019]
- Cómo construir una Internet más segura [feb 2019]
- Medidas de seguridad en Facebook [oct 2018]
- Cuatro pasos para deshacerte de tu móvil de forma segura [jun 2017]
- Qué son las brechas de seguridad, cómo te pueden afectar y cómo protegerte [mar 2017]
- Seguridad en tus contraseñas [feb 2017]
Recomendaciones y directrices internacionales
- EDPB: Guidelines 01/2021 on Examples regarding Data Breach Notification [dic 2021]
- ART.29 WP: Directrices sobre la notificación de violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679 [feb 2018]
- ENISA: Handbook on Security of Personal Data Processing [dic 2017]
- ENISA: Guidelines for SMEs on the security of personal data processing [dic 2016]
Cifrado y privacidad
Posts
- Cifrado y Privacidad (V): la clave como dato personal [dic 2021]
- Cifrado y Privacidad IV: Pruebas de conocimiento cero [nov 2020]
- Cifrado y Privacidad III: Cifrado Homomórfico [jun 2020]
- Cifrado y Privacidad II: El tiempo de vida del dato [ene 2020]
- Cifrado y Privacidad: cifrado en el RGPD [nov 2019]
Recomendaciones y directrices internacionales
- EDPS: Quantum Computing and Cryptography [agosto 2020]
- ART.29 WP: Statement of the WP29 on encryption and their impact on the protection of individuals with regard to the processing of their personal data in the EU [abril 2018]
Computación en la nube
Guías y notas técnicas
- Guía para la clientela que contrate servicios de Cloud Computing [sep 2018]
- Orientaciones para prestadores de servicios de Cloud Computing [sep 2018]
Recomendaciones y directrices internacionales
Gestión del riesgo y evaluación de impacto relativa a la protección de datos
Guías y notas técnicas
- Gestión del riesgo y evaluación de impacto en tratamientos de datos personales
- Relación de tablas de la guía de Gestión del riesgo y evaluación de impacto en formato editable
- Listas de tipos de tratamientos de datos que requieren EIPD (art 35.4)
- Lista orientativa de tipos de tratamientos de datos que no requieren una evaluación de impacto relativa a la protección de datos (art 35.5)
Herramientas
- Herramienta EVALÚA-RIESGO para el análisis de los factores de riesgo
- Herramienta de ayuda para empresas que realicen un tratamiento de datos personales de escaso riesgo para el cumplimiento del RGPD: FACILITA-RGPD
- Herramienta para ayudar a los emprendedores y startups tecnológicas a cumplir con la normativa de protección de datos: FACILITA-EMPRENDE
- Herramienta básica para la realización de análisis de riesgos y evaluaciones de impacto en protección de datos
Modelos y formularios
- Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para Administraciones Públicas [abril 2022]
- Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para el Sector Privado [mar 2022]
- Lista de verificación para determinar la adecuación formal de una EIPD y la presentación de consulta previa
Posts
- ¿Conoces Gestiona? [ene 2020]
- El enfoque de riesgos en el Reglamento [nov 2017]
Recomendaciones y directrices internacionales
- ART.29 WP: Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679 [oct 2017]
- ART.29 WP: Statement on the role of a risk-based approach in data protection legal frameworks [mayo 2014]
- NIST (National Institute of Standards and Technology): SP 800-53B Security and Privacy Controls for Information Systems and Organizations [sep 2020]
- NIST: Spreadsheet (.xlsx) version of SP 800-53B controls
Gobernanza y políticas de protección de datos
Guías y notas técnicas
Posts
- Privacidad de grupo [oct 2020]
- Gobernanza y política de protección de datos [sep 2020]
- Recibo del consentimiento: Una herramienta de transparencia y responsabilidad proactiva [feb 2020]
Recomendaciones y directrices internacionales
- EDPB: Directrices 07/2020 sobre los conceptos de responsable y encargado del tratamiento en el RGPD [jul 2021]
- EDPB: Directrices 05/2020 sobre el consentimiento en virtud del Reglamento 2016/679 [mayo 2020]
- EDPS: Personal Information Management Systems [ene 2020]
- EDPS: EDPS Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data [dic 2019]
- ART.29 WP: Directrices sobre el derecho a la portabilidad de los datos [abril 2017]
- EPDS: Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit [abril 2017]
- ART.29 WP: Directrices sobre los delegados de protección de datos (DPD) y concepto "a gran escala" [dic 2016]
Inteligencia Artificial y decisiones automatizadas
Guías y notas técnicas
- Requisitos para Auditorías de Tratamientos que incluyan IA [ene 2021]
- Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial [feb 2020]
Recomendaciones y directrices internacionales
- EDPB-EDPS: Dictamen conjunto 5/2021 sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas sobre inteligencia artificial (Ley de inteligencia artificial) [jun 2021]
- European Commission – IA HLEG: A definition of AI: Main capabilities and disciplines [abr 2019]
- European Commission – IA HLEG: Ethics guidelines for trustworthy AI [abr 2019]
- Council of Europe: Guidelines on Artificial Intelligence and Data Protection [ene 2019]
- Council of Europe: Artificial Intelligence and Data Protection: Challenges and Possible Remedies [ene 2019]
- ART.29 WP: Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679 [oct 2017]
- ART.29 WP: Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes [feb 2013]
- UNESCO: Recomendación sobre la Ética de la Inteligencia Artificial [2021]
Internet de las cosas (IoT) y sistemas conectados
Guías y notas técnicas
-
Infografía: Riesgos de Internet de las Cosas en el hogar y recomendaciones para un uso seguro [mar 2021]
-
Guía de drones y protección de datos [may 2019]
Posts
- IoT (III) Domótica. Internet de las Cosas: riesgos y recomendaciones [may 2021]
- IoT (II): Del Internet de las Cosas al Internet de los Cuerpos [ene 2021]
- Vehículos conectados [abr 2020]
- IoT (I): Qué es IoT y cuáles son sus riesgos [dic 2020]
- ¿El año comienza con un juguete conectado en casa? [ene 2019]
- La época de 'regalos inteligentes' [ene 2018]
- Cámaras on board y protección de datos [ene 2017]
Recomendaciones y directrices internacionales
- EDPB: Guidelines 02/2021 on Virtual Voice Assistants [jul 2021]
- EDPB: Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications [mar 2021]
- EDPB: Guidelines 3/2019 on processing of personal data through video devices [jul 2019]
- EDPS: Connected Cars [dic 2019]
- EDPS: Smart Meters in Smart Homes [oct 2019]
- EDPS: Smart Speakers and Virtual Assistants [jul 2019]
- ART.29 WP: Dictamen 01/2015 sobre la privacidad y la protección de datos en relación con la utilización de aviones no tripulados [jun 2015]
Internet y sistemas móviles
Guías y notas técnicas
- Nota Técnica: Medidas para minimizar el seguimiento en internet [sep 2020]
- Infografia: Medidas para minimizar el seguimiento en internet [sep 2020]
- Guía sobre el uso de las cookies [jul 2020]
- Nota Técnica: Introducción a las tecnologías 5G y sus riesgos para la privacidad [may 2020]
- Nota técnica: Protección del menor en Internet [abr 2020]
- Infografía: Protección del menor en Internet [abr 2020]
- Privacidad en DNS [nov 2019]
- Nota técnica: El deber de informar y otras medidas de responsabilidad proactiva en apps para dispositivos móviles [sep 2019]
- Nota técnica: Acceso de aplicaciones a la pantalla en dispositivos Android [may 2019]
- Nota técnica: Control del usuario en la personalización de anuncios en Android [may 2019]
- Análisis de los flujos de información en Android. Herramientas para el cumplimiento de la responsabilidad proactiva [mar 2019]
- Nota técnica: Avance del estudio de IMDEA NETWORKS y UC3M: “Análisis del Software Pre-instalado en Dispositivos Android y sus Riesgos para la Privacidad de los Usuarios” [mar 2019]
- Estudio Fingerprinting o Huella digital del dispositivo [feb 2019]
- Informe sobre políticas de privacidad en internet [oct 2018]
- Decálogo para la adaptación al RGPD de las políticas de privacidad en internet [oct 2018]
- Guía de privacidad y seguridad en Internet [oct 2016]
Informes jurídicos y comunicados
Posts
- HTTPS: Cifrado en la web [abr 2021]
- Identificación en servicios de pago online [dic 2020]
- Riesgos para la privacidad al iniciar sesión con tus cuentas de redes sociales en otras aplicaciones [oct 2020]
- Los acortadores de URLs y la protección de datos [jul 2020]
- Recomendaciones para prevención del acoso digital [may 2020]
- El examen de apps (y IV): los datos [dic 2018]
- El examen de aplicaciones (III): los términos y condiciones [nov 2018]
- El examen de aplicaciones (II): Los permisos que solicita la app [nov 2018]
- El examen de aplicaciones (I) [nov 2018]
- ¿Cuánto sabe Facebook sobre mi? [mar 2018]
Recomendaciones y directrices internacionales
- EDPB: Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them [mar 2022]
- EDPB: Guidelines 8/2020 on the targeting of social media users [abr 2021]
Pandemia: Covid-19
Guías y notas técnicas
-
Recomendaciones para el despliegue de aplicaciones móviles en el acceso a espacios públicos [jun 2020]
-
Nota técnica: El uso de las tecnologías en la lucha contra el COVID19 [may 2020]
Informes jurídicos y comunicados
Posts
- Tratamientos de datos personales en situaciones de emergencia [abr 2020]
- Campañas de phishing sobre el COVID-19 [mar 2020]
Recomendaciones y directrices internacionales
- EDPB: Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak [abr 2020]
- EDPB: Guidelines 03/2020 on the processing of data concerning health for the purpose of scientific research in the context of the COVID-19 outbreak [abr 2020]
- EDPS: Seguimiento de contactos con aplicaciones móviles [mayo 2020]
Protección de datos desde el diseño y por defecto
Guías y notas técnicas
- Guía de Protección de Datos por Defecto [oct 2020]
- Protección de datos por defecto: Listado de medidas [oct 2020]
- Guía de Privacidad desde el Diseño [oct 2019]
Posts
-
Ingeniería de la Privacidad [sep 2019]
Recomendaciones y directrices internacionales
- EDPB: Directrices 4/2019 sobre el artículo 25 Protección de Datos desde el Diseño y por Defecto [oct 2020]
- EDPB: Respuesta a la propuesta de un miembro del Parlamento Europeo respecto a la posibilidad de exigir que los nuevos portátiles que se comercialicen en el mercado de la Unión Europea vengan equipados con pestaña de bloqueo de la cámara [jun 2020]
- ART.29 WP: Dictamen 2/2017 sobre el tratamiento de datos en el trabajo [jun 2017]
- ENISA Report - Data Protection Engineering [ene 2022]
- ENISA: Recommendations on shaping technology according to GDPR provisions - Exploring the notion of data protection by default [dic 2018]
- NIST (National Institute of Standards and Technology): Privacy-Enhancing Cryptography to Complement Differential Privacy [nov 2021]
- NIST (National Institute of Standards and Technology): Automatic Proofs of Differential Privacy [jul 2021]
- NIST (National Institute of Standards and Technology): Testing for Differential Privacy Bugs [jun 2021]
- NIST (National Institute of Standards and Technology): Differential Privacy Bugs and Why They’re Hard to Find [may 2021]
- NIST (National Institute of Standards and Technology): Differentially Private Synthetic Data [may 2021]
- NIST (National Institute of Standards and Technology): Differential Privacy for Complex Data: Answering Queries Across Multiple Data Tables [mar 2021]
- NIST (National Institute of Standards and Technology): Workloads of Counting Queries: Enabling Rich Statistical Analyses with Differential Privacy [feb 2021]
- NIST (National Institute of Standards and Technology): Summation and Average Queries: Detecting Trends in Your Data [dic 2020]
- NIST (National Institute of Standards and Technology): Counting Queries: Extracting Key Business Metrics from Datasets [oct 2020]
- NIST (National Institute of Standards and Technology): Threat Models for Differential Privacy [sep 2020 ]
- NIST (National Institute of Standards and Technology): Differential Privacy for Privacy-preserving Data Analysis: An Introduction to our Blog Series [ jul 2020]
- NIST: Privacy Framework
- NIST: Privacy Engineering Program
- Harvard University: Privacy Tools Project
Teletrabajo
Guías y notas técnicas
- Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo [abr 2020]
Informes jurídicos y comunicados
Posts
- Teletrabajo y protección de datos en el ámbito digital [jul 2021]
- Privacidad en reuniones online [feb 2021]
Recomendaciones y directrices internacionales