Innovación y tecnología

Últimas novedades relativas a la Responsabilidad Proactiva

• Infografía: Riesgos de Internet de las Cosas en el hogar y recomendaciones para un uso seguro
• Privacidad en reuniones online
• Requisitos para Auditorías de Tratamientos que incluyan IA
• IoT (II): Del Internet de las Cosas al Internet de los Cuerpos
• Identificación en servicios de pago online

 

Herramientas básicas para el cumplimiento de la Responsabilidad Proactiva

La AEPD ha elaborado herramientas y material de ayuda orientado a facilitar el cumplimiento del principio de responsabilidad activa establecido en el RGPD. En este apartado se presentan aquellas que son comunes a todo tipo de tratamiento. En el apartado “Guías, informes y notas técnicas” se puede encontrar material específico que las desarrolla para tratamientos, tecnologías o responsables concretos.

No obstante, responsables y encargados del tratamiento no deben olvidar revisar que cumplen la totalidad de requisitos y obligaciones que garanticen el cumplimiento de la RGPD/LOPDGDD.

Gestión del Riesgo

Los siguientes recursos dan soporte a la obligación de realizar un análisis de riesgos de los tratamientos de datos personales:

• Guía práctica de análisis de riesgos para el tratamiento de datos personales
• Herramienta para la realización de análisis de riesgos y evaluaciones de impacto en protección de datos
• Herramienta de ayuda para empresas que realicen un tratamiento de datos personales de escaso riesgo para el cumplimiento del RGPD: FACILITA-RGPD
• Herramienta para ayudar a los emprendedores y startups tecnológicas a cumplir con la normativa de protección de datos: FACILITA-EMPRENDE

 

 Evaluación de Impacto

Los siguientes recursos dan soporte a la obligación de realizar una evaluación de impacto para la protección de datos de los tratamientos de datos personales:

• Guía práctica para las evaluaciones de impacto en la protección de datos personales
• Listas de tipos de tratamientos de datos que requieren EIPD (art 35.4)
• Lista orientativa de tipos de tratamientos de datos que no requieren una evaluación de impacto relativa a la protección de datos (art 35.5)
• Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para Administraciones Públicas
• Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para el Sector Privado

 

Protección de Datos desde el Diseño y por Defecto

Los siguientes recursos dan soporte a la obligación de tener en cuenta, desde las primeras etapas de definición y análisis de los tratamientos, las medidas técnicas y organizativas apropiadas para garantizar, desde el diseño y por defecto, la implementación de los principios de protección de datos:

• Guía de Privacidad desde el Diseño
• Guía de Protección de Datos por Defecto
• Protección de datos por defecto: Listado de medidas

 

Gestión de brechas de seguridad

Los siguientes recursos dan soporte a la obligación de incorporar mecanismos de registro y notificación de incidentes para poder llevar a cabo la adecuada gestión de aquellas posibles brechas de seguridad que tengan afectación en los tratamientos de datos personales:

• Guía para la gestión de brechas de seguridad
• Herramienta para evaluar la obligación de comunicar a los interesados: COMUNICA-BRECHA RGPD
• Formulario de notificación de brechas a la Autoridad de Control
• Microsite sobre brechas de seguridad

 

Sectores y tecnologías de aplicación

Para dar respuesta a sectores de actividad o tecnologías que incorporan singularidades en el tratamiento de los datos, a continuación, se referencian recursos de interés, tanto de carácter nacional como internacional, que pueden servir de apoyo a la hora de dar cumplimiento al principio de responsabilidad proactiva. En este momento, los materiales y recursos publicados cubren las siguientes áreas:

• Administraciones Públicas
• Anonimización
• Big Data
• Biometría
• Blockchain
• Brechas de datos personales y seguridad
• Cifrado y privacidad
• Computación en la nube
• Gestión del riesgo
• Gobernanza y políticas de protección de datos
• Inteligencia artificial y decisiones automatizadas
• Internet de las cosas (IoT) y sistemas conectados
• Internet y sistemas móviles
• Pandemia: Covid -19
• Protección de datos desde el diseño y por defecto
• Teletrabajo

Administraciones Públicas

Guías y notas técnicas

• Guía de Tecnologías y Protección de Datos en las AA.PP [nov 2020]
• Orientaciones para la aplicación de la disposición adicional octava y la disposición final duodécima de la LOPDGDD [feb 2020]
• Orientaciones para la aplicación provisional de la disposición adicional séptima de la LOPDGDD [mar 2019]

Modelos y formularios

• Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para Administraciones Públicas

Recomendaciones y directrices internacionales

• EPDS: Resultados de la iniciativa de investigación del uso de los productos y servicios de Microsoft por parte de las instituciones de la UE [jul 2020]

 

Anonimización

Guías y notas técnicas

• Introducción al hash como técnica de seudonimización de datos personales [nov 2019]
• La K-anonimidad como medida de privacidad [jun 2019]
• Orientaciones y garantías en los procedimientos de Anonimización de datos personales [oct 2016]

Recomendaciones y directrices internacionales

• ENISA: Recommendations on shaping technology according to GDPR provisions - An overview on data pseudonymisation [nov 2018]
• ART.29 WP: Dictamen 05/2014 sobre técnicas de anonimización [abril 2014]

 

Big Data

Guías y notas técnicas

• Código de buenas prácticas en proyectos de big data [may 2017]

Recomendaciones y directrices internacionales

• EDPS: Enfrentándose a los desafíos de Big Data [nov 2015]

 

Biometría

Guías y notas técnicas

• Nota Técnica: 14 equívocos con relación a la identificación y autenticación biométrica [jun 2020]

Informes jurídicos y comunicados

• Informe 010308/2019 del Gabinete Jurídico de la AEPD sobre la licitud de incorporar sistemas de reconocimiento facial en los servicios de videovigilancia proporcionados por empresas seguridad privada [may 2020]
• Informe 0036/2020 del Gabinete Jurídico de la AEPD sobre la utilización del reconocimiento facial para realizar exámenes [may 2020]

Recomendaciones y directrices internacionales

• Consejo de Europa – Convenio 108 sobre protección de datos: Guidelines on Facial Recognition [ene 2021]
• ART.29 WP: Dictamen 3/2012 sobre la evolución de las tecnologías biométricas [abril 2012]

 

Blockchain

Posts

• Blockchain (II): Conceptos básicos desde la protección de datos [nov 2020]
• Blockchain y protección de datos [jun 2017]

 

Brechas de datos personales y seguridad

Guías y notas técnicas

• Guía para la gestión de brechas de seguridad
• Cómo gestionar una fuga de información en un despacho de abogados [oct 2016]

Herramientas

• Herramienta para evaluar la obligación de comunicar a los interesados: COMUNICA-BRECHA RGPD

Modelos y formularios

• Formulario de notificación de brechas a la Autoridad de Control

Posts

• Brechas de seguridad: Ransomware y gestión del riesgo [dic 2020]
• Brechas de seguridad: el correo electrónico y las plataformas de productividad online [jun 2020]
• Protección de datos y seguridad [abr 2020]
• Brechas de seguridad: El Top 5 de las medidas técnicas que debes tener en cuenta [abr 2020]
• Notificación de brechas de seguridad de los datos personales durante el estado de alarma [abr 2020]
• Campañas de phishing sobre el COVID-10 [mar 2020]
• Brechas de seguridad: comunicación a los interesados [feb 2020]
• Brechas de seguridad: protégete ante la pérdida o robo de un dispositivo portátil [oct 2019]
• Brechas de seguridad de datos personales: qué son y cómo actuar [jun 2019]
• Brechas de seguridad: protégete ante el ransomware [may 2019]
• Cómo construir una Internet más segura [feb 2019]
• Medidas de seguridad en Facebook [oct 2018]
• Cuatro pasos para deshacerte de tu móvil de forma segura [jun 2017]
• Qué son las brechas de seguridad, cómo te pueden afectar y cómo protegerte [mar 2017]
• Seguridad en tus contraseñas [feb 2017]

Recomendaciones y directrices internacionales

• ART.29 WP: Directrices sobre la notificación de violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679 [feb 2018]
• ENISA: Handbook on Security of Personal Data Processing [dic 2017]
• ENISA: Guidelines for SMEs on the security of personal data processing [dic 2016]

 

Cifrado y privacidad

Posts

• Cifrado y Privacidad IV: Pruebas de conocimiento cero [nov 2020]
• Cifrado y Privacidad III: Cifrado Homomórfico [jun 2020]
• Cifrado y Privacidad II: El tiempo de vida del dato [ene 2020]
• Cifrado y Privacidad: cifrado en el RGPD [nov 2019]

Recomendaciones y directrices internacionales

• EDPS: Quantum Computing and Cryptography [agosto 2020]
• ART.29 WP: Statement of the WP29 on encryption and their impact on the protection of individuals with regard to the processing of their personal data in the EU [abril 2018]

 

Computación en la nube

Guías y notas técnicas

• Guía para clientes que contraten servicios de Cloud Computing [sep 2018]
• Orientaciones para prestadores de servicios de Cloud Computing [sep 2018]

Recomendaciones y directrices internacionales

• ART.29 WP: Dictamen 05/2012 sobre computación en la nube [jul 2012]

 

Gestión del riesgo

Guías y notas técnicas

• Guía práctica de análisis de riesgos para el tratamiento de datos personales
• Guía práctica para las evaluaciones de impacto en la protección de datos personales
• Listas de tipos de tratamientos de datos que requieren EIPD (art 35.4)
• Lista orientativa de tipos de tratamientos de datos que no requieren una evaluación de impacto relativa a la protección de datos (art 35.5)

Herramientas

• Herramienta para la realización de análisis de riesgos y evaluaciones de impacto en protección de datos
• Herramienta de ayuda para empresas que realicen un tratamiento de datos personales de escaso riesgo para el cumplimiento del RGPD: FACILITA-RGPD
• Herramienta para ayudar a los emprendedores y startups tecnológicas a cumplir con la normativa de protección de datos: FACILITA-EMPRENDE

Modelos y formularios

• Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para Administraciones Públicas
• Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para el Sector Privado

Posts

• ¿Conoces Gestiona? [ene 2020]
• El enfoque de riesgos en el Reglamento [nov 2017]

Recomendaciones y directrices internacionales

• NIST (National Institute of Standards and Technology): SP 800-53B Security and Privacy Controls for Information Systems and Organizations [sep 2020]
• NIST: Spreadsheet (.xlsx) version of SP 800-53B controls
• ART.29 WP: Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679 [oct 2017]

 

Gobernanza y políticas de protección de datos

Posts

• Privacidad de grupo [oct 2020]
• Gobernanza y política de protección de datos [sep 2020]
• Recibo del consentimiento: Una herramienta de transparencia y responsabilidad proactiva [feb 2020]

Recomendaciones y directrices internacionales

• EDPB: Directrices 07/2020 sobre los conceptos de responsable y encargado del tratamiento en el RGPD [sep 2020]
• EDPB: Directrices 05/2020 sobre el consentimiento en virtud del Reglamento 2016/679 [mayo 2020]
• EDPS: Personal Information Management Systems [ene 2020]
• EDPS: EDPS Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data [dic 2019]
• ART.29 WP: Directrices sobre el derecho a la portabilidad de los datos [abril 2017]
• EPDS: Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit [abril 2017]
• ART.29 WP: Directrices sobre los delegados de protección de datos (DPD) y concepto "a gran escala" [dic 2016]

 

Inteligencia Artificial y decisiones automatizadas

Guías y notas

• Requisitos para Auditorías de Tratamientos que incluyan IA [ene 2021]
• Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial [feb 2020]

Recomendaciones y directrices internacionales

• European Commission – IA HLEG: A definition of AI: Main capabilities and disciplines [abr 2019]
• European Commission – IA HLEG: Ethics guidelines for trustworthy AI [abr 2019]
• Council of Europe: Guidelines on Artificial Intelligence and Data Protection [ene 2019]
• Council of Europe: Artificial Intelligence and Data Protection: Challenges and Possible Remedies [ene 2019]
• ART.29 WP: Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679 [oct 2017]
• ART.29 WP: Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes [feb 2013]

 

Internet de las cosas (IoT) y sistemas conectados

Guías y notas técnicas

• Infografía: Riesgos de Internet de las Cosas en el hogar y recomendaciones para un uso seguro [mar 2021]

• Guía de drones y protección de datos [may 2019]

Posts

• IoT (II): Del Internet de las Cosas al Internet de los Cuerpos [ene 2021]
• Vehículos conectados [abr 2020]
• IoT (I): Qué es IoT y cuáles son sus riesgos [dic 2020]
• ¿El año comienza con un juguete conectado en casa? [ene 2019]
• La época de 'regalos inteligentes' [ene 2018]
• Cámaras on board y protección de datos [ene 2017]

Recomendaciones y directrices internacionales

• Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications [mar 2021]
• Guidelines 02/2021 on Virtual Voice Assistants [mar 2021] (abierto a consulta pública)
• EDPS: Connected Cars [dic 2019]
• EDPS: Smart Meters in Smart Homes [oct 2019]
• EDPB: Directrices 3/2019 sobre el tratamiento de datos personales a través de dispositivos de vídeo [jul 2019]
• EDPS: Smart Speakers and Virtual Assistants [jul 2019]
• ART.29 WP: Dictamen 01/2015 sobre la privacidad y la protección de datos en relación con la utilización de aviones no tripulados [jun 2015]

 

Internet y sistemas móviles

Guías y notas técnicas

• Nota Técnica: Medidas para minimizar el seguimiento en internet [sep 2020]
• Infografia: Medidas para minimizar el seguimiento en internet [sep 2020]
• Guía sobre el uso de las cookies [jul 2020]
• Recomendaciones para el despliegue de aplicaciones móviles en el acceso a espacios públicos [jun 2020]
• Nota Técnica: Introducción a las tecnologías 5G y sus riesgos para la privacidad [may 2020]
• Nota técnica: Protección del menor en Internet [abr 2020]
• Infografía: Protección del menor en Internet [abr 2020]
• Privacidad en DNS [nov 2019]
• Nota técnica: El deber de informar y otras medidas de responsabilidad proactiva en apps para dispositivos móviles [sep 2019]
• Nota técnica: Acceso de aplicaciones a la pantalla en dispositivos Android  [may 2019]
• Nota técnica: Control del usuario en la personalización de anuncios en Android [may 2019]
• Análisis de los flujos de información en Android. Herramientas para el cumplimiento de la responsabilidad proactiva [mar 2019]
• Nota técnica: Avance del estudio de IMDEA NETWORKS y UC3M: “Análisis del Software Pre-instalado en Dispositivos Android y sus Riesgos para la Privacidad de los Usuarios”  [mar 2019]
• Estudio Fingerprinting o Huella digital del dispositivo [feb 2019]
• Informe sobre políticas de privacidad en internet [oct 2018]
• Decálogo para la adaptación al RGPD de las políticas de privacidad en internet [oct 2018]
• Guía de privacidad y seguridad en Internet [oct 2016]

Informes jurídicos y comunicados

• Informe 0017/2019 del Gabinete Jurídico de la AEPD sobre el tratamiento de la señal recibida por los dispositivos de captación y análisis de señales Wi-Fi – “WiFi tracking” [jun 2020]

Posts

• Identificación en servicios de pago online [dic 2020]
• Riesgos para la privacidad al iniciar sesión con tus cuentas de redes sociales en otras aplicaciones [oct 2020]
• Los acortadores de URLs y la protección de datos [jul 2020]
• Recomendaciones para prevención del acoso digital [may 2020]
• El examen de apps (y IV): los datos [dic 2018]
• El examen de aplicaciones (III): los términos y condiciones [nov 2018]
• El examen de aplicaciones (II): Los permisos que solicita la app [nov 2018]
• El examen de aplicaciones (I) [nov 2018]
• ¿Cuánto sabe Facebook sobre mi? [mar 2018]

 

Pandemia: Covid-19

Guías y notas técnicas

• Nota técnica: El uso de las tecnologías en la lucha contra el COVID19 [may 2020]

Informes jurídicos y comunicados

• Comunicado de la AEPD en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos [may 2020]

Posts

• Tratamientos de datos personales en situaciones de emergencia [abr 2020]
• Campañas de phishing sobre el COVID-19 [mar 2020]

Recomendaciones y directrices internacionales

• EDPS: Seguimiento de contactos con aplicaciones móviles [mayo 2020]

 

Protección de datos desde el diseño y por defecto

Guías y notas técnicas

• Guía de Protección de Datos por Defecto [oct 2020]
• Protección de datos por defecto: Listado de medidas [oct 2020]
• Guía de Privacidad desde el Diseño [oct 2019]

Posts

• Ingeniería de la Privacidad [sep 2019]

Recomendaciones y directrices internacionales

• Differential Privacy for Complex Data: Answering Queries Across Multiple Data Tables [mar 2021]
• NIST (National Institute of Standards and Technology): Workloads of Counting Queries: Enabling Rich Statistical Analyses with Differential Privacy [feb 2021]
• NIST (National Institute of Standards and Technology): Summation and Average Queries: Detecting Trends in Your Data [dic 2020]
• NIST (National Institute of Standards and Technology): Counting Queries: Extracting Key Business Metrics from Datasets [oct 2020 ]
• EDPB: Directrices 4/2019 sobre el artículo 25 Protección de Datos desde el Diseño y por Defecto [oct 2020]
• NIST (National Institute of Standards and Technology): Threat Models for Differential Privacy [sep 2020 ]
• NIST (National Institute of Standards and Technology): Differential Privacy for Privacy-preserving Data Analysis: An Introduction to our Blog Series [ jul 2020]
• EDPB: Respuesta a la propuesta de un miembro del Parlamento Europeo respecto a la posibilidad de exigir que los nuevos portátiles que se comercialicen en el mercado de la Unión Europea vengan equipados con pestaña de bloqueo de la cámara [jun 2020]
• ENISA: Recommendations on shaping technology according to GDPR provisions - Exploring the notion of data protection by default [dic 2018]
• NIST: Privacy Framework
• NIST: Privacy Engineering Program
• Harvard University: Privacy Tools Project

 

Teletrabajo

Guías y notas técnicas

• Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo [abr 2020]

Posts

• Privacidad en reuniones online [feb 2021]