TÍT V-X

La determinación de las responsabilidades en el tratamiento de datos entre corresponsables…

1. El reparto de obligaciones y la atribución de responsabilidades ante una posible infracción dependen de lo que esté escrito en el contrato o convenio.

2. Se efectuará de forma paritaria, a no ser que el contrato o convenio determine lo contrario.

3. Recaerá especialmente en el responsable principal del tratamiento.

4. Se realizará atendiendo a las actividades que efectivamente desarrolle cada uno de los corresponsables del tratamiento.

4

Una empresa argentina (responsable) trata datos de afectados en España sin cumplir el RGPD. Su representante en España es una persona física. La AEPD impone al representante una sanción de 50.000 €. El representante paga íntegramente la multa. ¿Qué acción puede ejercer a continuación?

A) Ninguna, porque el representante asume la responsabilidad como obligado principal frente a la AEPD.
B) Una acción de repetición contra el responsable argentino para recuperar los 50.000 €, siempre que el contrato entre ellos lo prevea expresamente.
C) Una acción de repetición contra el responsable argentino, con independencia de lo que diga el contrato, salvo que el representante hubiera actuado con dolo o negligencia grave.
D) Solo puede reclamar al responsable argentino si acredita que la infracción fue cometida exclusivamente por este y sin su conocimiento.

C)

Según el artículo 30.1 LOPDGDD, cuando el RGPD sea aplicable a un responsable no establecido en la UE (por lo dispuesto en su artículo 3.2) y el tratamiento se refiera a afectados en España, la AEPD o las autoridades autonómicas podrán:

A) Imponer medidas sal representante
B) Imponer medidas al representante solidariamente con el responsable o encargado
C) Imponer medidas al responsable o encargado, pero el representante solo responde si ha actuado con dolo
D) Imponer medidas al representante únicamente cuando el responsable o encargado sean insolventes.

B)

El artículo 30.1 LOPDGDD establece que la exigencia de responsabilidad al representante se entenderá:

A) Sin perjuicio de que el representante tenga responsabilidad exclusiva y el responsable quede exonerado.
B) Sin perjuicio de la responsabilidad que pudiera corresponder al responsable o encargado y del derecho del representante a ejercer la acción de repetición.
C) Siempre que el representante haya actuado con negligencia grave.
D) Siempre que el responsable o encargado no tengan bienes en la UE.

B)

Según el artículo 30.2 LOPDGDD, en caso de exigencia de responsabilidad en los términos previstos en el artículo 82 del RGPD (daños y perjuicios):

A) Solo responde el responsable, no el encargado ni el representante.
B) Responden el responsable y el encargado, pero el representante solo si así lo pactaron por escrito.
C) Los responsables, encargados y representantes responderán solidariamente de los daños y perjuicios causados.
D) El representante responde únicamente cuando el responsable o encargado no puedan ser localizados.

C)

¿Quién NO se encargará de mantener el registro de actividades de tratamiento, según el artículo 31?

1. El responsable del tratamiento.

2. El delegado de protección de datos designado.

3. El encargado del tratamiento.

4. El representante del responsable o del encargado, en su caso.

2. EL DELEGADO será informado de modificaciones en el registro por los restantes.

Según el artículo 32.1, ¿en qué momento está obligado el responsable del tratamiento a bloquear los datos?

Cuando proceda a su rectificación o supresión

El artículo 32.2 define el bloqueo como la identificación y reserva de los datos adoptando medidas técnicas y organizativas para impedir su tratamiento. ¿Qué excepción permite este mismo apartado para la exigencia de posibles responsabilidades derivadas del tratamiento? Señala la respuesta INCORRECTA.

A) Permitir su puesta a disposición de las Administraciones Públicas competentes, en particular de las autoridades de protección de datos.
B) Permitir su puesta a disposición del Ministerio fiscal.
C) Permitir su puesta a disposición de jueces, tribunales.
D) Permitir su puesta a disposición del Defensor del Pueblo.

D)

El artículo 32.2 define el bloqueo como la identificación y reserva de los datos adoptando medidas técnicas y organizativas para impedir su tratamiento. Podrá darse la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento:

1. Solo por el plazo de prescripción de las mismas. Transcurrido este plazo deberá procederse a la destrucción de los datos.

2. Incluso después del plazo de prescripción de las mismas, atendiendo a la obligación de bloqueo de los datos.

3. Siempre que cuenten con consentimiento expreso y por escrito del afectado.

4. Siempre y cuando haya un proceso judicial abierto.

1

¿El acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable se considerará comunicación de datos?

No

Un encargado utiliza los datos que está tratando para sus propias finalidades. ¿Tendrá la consideración de responsable del tratamiento?

Sí

Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de…

La legislación de contratación del sector público.

El responsable del tratamiento determinará si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.

No procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso…

1. El encargado del tratamiento podrá conservar los datos, debidamente bloqueados, hasta el plazo de prescripción.

2. Deberán ser devueltos al responsable, que garantizará su conservación mientras tal obligación persista.

3. Tal circunstancia deberá ser comunicada a la Agencia Española de Protección de Datos o a la autoridad autonómica correspondiente.

2

Mecanismo de coherencia: si el código de conducta español tiene un impacto transfronterizo, la AEPD debe suspender el proceso de aprobación y enviarlo al…

Comité Europeo de Protección de Datos

Los códigos de conducta son mecanismos de autorregulación. Permiten que un sector concreto adapte las normas generales del RGPD a su actividad diaria, creando un manual de buenas prácticas. Tienen carácter…

1. De adhesión obligatoria y serán vinculantes.

2. De adhesión voluntaria y no vinculantes.

3. De adhesión obligatoria y no serán vinculantes.

4. De adhesión voluntaria y serán vinculantes.

4

¿Cuándo surge la obligación para un responsable adherido a un código de conducta de remitir una reclamación al organismo de supervisión del mismo?

A. Solo cuando el afectado no haya recurrido previamente al Delegado de Protección de Datos según el artículo 37.

B. Cuando el tratamiento de datos esté fuera del ámbito de aplicación del código de conducta.

C. Únicamente cuando el responsable considere que no procede atender lo solicitado por el afectado.

D. Siempre que se reciba una reclamación de un afectado, independientemente de su resolución.

C)

Respecto a la verificación de conformidad de un tratamiento con el código de conducta ante el organismo de supervisión, ¿qué característica la define según el texto?

A. Debe realizarse necesariamente de forma simultánea al inicio del tratamiento de datos.

B. Es un trámite obligatorio para todos los adheridos antes de iniciar cualquier tratamiento.

C. Es una facultad voluntaria que se ejerce con anterioridad a la puesta en marcha del tratamiento.

D. Requiere la autorización previa de la autoridad de protección de datos competente para ser válida.

C

La actuación del organismo o entidad de supervisión de un código de conducta:

A. Anula la posibilidad del afectado de acudir a la vía prevista en el artículo 37 de la Ley Orgánica.

B. Se desarrolla sin perjuicio de las facultades de las autoridades de control y de la intervención del delegado de protección de datos.

C. Solo es vinculante si el tratamiento de datos ha sido verificado conforme antes de su inicio.

D. Sustituye las competencias de las autoridades de protección de datos en las materias sujetas al código.

B