Читать книгу Acceso a la Abogacía y Procura. Preparación del examen de acceso 2022 - Alberto Palomar Olmeda - Страница 23

CASO PRÁCTICO

PLANTEAMIENTO

Fernando y Carlos, ambos procuradores de los tribunales, constituyen despacho colectivo. Ambos previamente habían ejercido la profesión de procuradores, y ya cuentan con una amplia red de despachos de abogados colaboradores y de clientes, es más, éste es el motivo por el que se constituyen como despacho colectivo. Ya que desean mejorar y gestionar mejor, los servicios que prestan.

Para la mejor gestión de su cartera de colaboradores y clientes, unifican los ficheros que previamente tenía cada profesional, en un solo fichero llamado «clientes». Este fichero cuenta con información y datos sensibles, datos de carácter personal de todas las personas e instituciones con las que han mantenido relación profesional ambos procuradores. Sistematizado y organizado, por temas, fechas y otros parámetros.

Después de un breve tiempo, uno de los clientes del despacho al que representaba Fernando, considera que la actuación del profesional no fue del todo acertada, ya que no le presto la atención que el cliente requería (pese a que Fernando cumplió escrupulosamente con sus obligaciones profesionales). Motivo por el cliente desea dar por finalizada la relación con el despacho. A la par se dirige, al despacho, mediante email, pidiendo acceso a los datos que sobre él tenga el despacho, los cuales una vez revisados, se solicita que sean cancelados.

El despacho le comenta que solo le puede dar acceso a los datos de carácter personal, sin embargo, no es posible su cancelación por imperativo legal. Para revisar su fichero debe acercarse al despacho un día y hora acordados con el responsable del fichero, ya que sus datos se encuentran en formato papel, debido a la reciente constitución del despacho, por lo cual no ha sido posible informatizar los ficheros de todos los clientes, entre ellos el suyo.

1. ¿Qué tipo de encaje constitucional tiene el derecho a la protección de datos?

2. ¿Qué obligaciones se les impone como despacho colectivo desde la Ley de Protección de Datos de Carácter Personal?

3. ¿Qué se debe entender por datos de carácter personal?

4. ¿Está obligado el despacho de procuradores a dar acceso al Cliente al fichero que contiene sus datos? ¿puede el cliente ordenar la cancelación de sus datos personales que obran en el fichero del despacho?

5. ¿Es importante el soporte o medio en el que se encuentran recogidos los datos, para entender por cumplidas las obligaciones que establece la LOPD a los despachos?

RESPUESTA

1. El derecho a la protección de datos es un derecho del máximo rango constitucional, protegido por el artículo 18.4 de la Constitución Española, que dice: «La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». A partir de este artículo, la Sentencia del Tribunal Constitucional 292/2000 estableció que el derecho a la protección de datos es un derecho fundamental autónomo.

Es, de acuerdo con la jurisprudencia constitucional, un derecho independiente pero relacionado con otros derechos fundamentales como el derecho a la intimidad personal y familiar, el derecho al honor o el derecho a la propia imagen.

Por su significación, merece la pena destacar algunos pronunciamientos de la mencionada sentencia constitucional (STC 292/2000):

«[El] derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad...atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos..».

«...Garantiza a los individuos un poder de disposición sobre esos datos...que...nada vale si el afectado desconoce qué datos son los que poseen terceros, quiénes los poseen y con qué fin..».

El objeto de protección no se reduce sólo a los datos íntimos «sino a cualquier dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el artículo 18.1 CE otorga, sino los datos de carácter personal».

2. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD.

La LOPD establece una serie de obligaciones para las empresas y los profesionales que sean titulares de ficheros con datos de carácter personal, al tiempo que contempla unos derechos de los ciudadanos titulares de los datos que es necesario tener en consideración para el caso de que los ejerza ante un responsable de un fichero o tratamiento. Por ejemplo, cualquier persona física (interesado o afectado, utilizando la nomenclatura de la LOPD) puede dirigirse a un procurador o despacho colectivo, titular de un fichero, ejerciendo un derecho de los contemplados en la LOPD (de entre los que destacan los derechos de acceso, rectificación, cancelación y oposición) y el titular del fichero (el procurador o despacho colectivo), está obligado a atender el ejercicio del derecho (a contestarle en los términos establecidos en la norma), aunque no tenga ningún dato sobre esa persona en sus ficheros.

3. Son datos personales cualquier información concerniente a personas físicas identificadas o identificables. Simplemente el nombre y los apellidos de una persona física ya son datos personales, pero también lo son, por ejemplo, otros datos de carácter identificativo (número de DNI, domicilio, la imagen, la dirección de correo electrónico...); datos de características personales (nacionalidad, sexo, fecha de nacimiento...); datos académicos, profesionales y de detalles del empleo; o datos de información comercial, económico-financieros o de transacciones.

Por ejemplo, en los despachos, podemos encontrar habitualmente:

– Nombre y apellidos de los clientes

– Número de documento identificativo (NIF, Pasaporte, etc.) de los clientes – Dirección de los clientes

– Teléfonos de contacto de los clientes

– Nombre y apellidos de los procuradores

– Dirección y teléfono de los procuradores

– Datos de información económica que puedan configurar el perfil económico de una persona (nóminas, declaraciones de renta, etc.)

– Datos sobre infracciones penales o administrativas en las que hubiera podido incurrir algún cliente

– etc.

4. Las principales obligaciones del responsable del fichero serán:

a) Declarar los ficheros de datos personales, tanto informatizados como manuales, previa identificación e inventario.

b) Informar de modo expreso, preciso e inequívoco a los interesados que se les soliciten los datos.

c) Recoger y tratar adecuadamente los datos. La fase de recogida y tratamiento debe cumplir con los principios rectores de la protección de datos. El tratamiento debe ser legal y leal.

d) Garantizar la seguridad en el tratamiento de los datos personales, mediante la elaboración e implementación de documentos de seguridad.

e) Facilitar el ejercicio de sus derechos a los interesados que lo soliciten: de acceso, rectificación, cancelación y oposición, cuando proceda.

f) Garantizar también estos aspectos, en su caso, cuando el tratamiento de datos personales sea realizado por un tercero.

Con respecto a la obligación de facilitar el ejercicio de los derechos del interesado. La LOPD prevé el derecho del afectado a cancelar sus datos de carácter personal que estén sometidos a tratamiento automatizado o no automatizado de datos.

Al referirse a la cancelación, indica el Reglamento de la LOPD que es un procedimiento en virtud del cual el responsable cesa en el uso de los datos. El afectado tendrá por lo tanto derecho a solicitar al Responsable del fichero que cancele los datos objeto de tratamiento cuando éstos sean inexactos o incompletos, inadecuados o excesivos. Esto es, el interesado tendrá derecho a solicitar del procurador que cese en el uso de los datos cuando éstos sean inexactos o incompletos, inadecuados o excesivos.

Mediante este derecho el interesado puede requerir y obtener del procurador la cancelación de los datos que resulten ser inadecuados o excesivos de los que se encuentren en los ficheros o sean tratados por él.

Es en el Reglamento de la LOPD en donde se encuentran regulados los requisitos del derecho de rectificación y el procedimiento. Este procedimiento es el común para el ejercicio de todos los derechos (de acceso, rectificación, cancelación y oposición). El procedimiento para el ejercicio de cualquier derecho ARCO (acceso, rectificación, cancelación y oposición), y, en particular, para el derecho de acceso, deberá llevarse a cabo mediante comunicación dirigida al responsable del fichero, que contendrá:

a) Nombre y apellidos del interesado; fotocopia de su documento nacional de identidad, o de su pasaporte u otro documento válido que lo identifique y, en su caso, de la persona que lo represente, o instrumentos electrónicos equivalentes; así como el documento o instrumento electrónico acreditativo de tal representación.

b) Petición en que se concreta la solicitud.

c) Documentación justificativa de lo solicitado.

d) Dirección a efectos de notificaciones, fecha y firma del solicitante.

Ejercicio del derecho de cancelación

En la solicitud de cancelación el interesado deberá indicar a qué datos se refiere aportando al efecto la documentación que lo justifique, en su caso.

En nuestro caso, si bien la mayoría de las personas pueden acceder a sus datos, su cancelación dependerá de si hay un imperativo legal que obligue al responsable del fichero a conservar dichos datos. En este caso, así es, y la cancelación del fichero no procede, ya que los datos de carácter personal deben ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre el procurador responsable del fichero o tratamiento y el interesado que justificaron el tratamiento de los datos.

5. El soporte o medio físico en que se encuentren los datos, en principio, de cara a su esencial protección es indiferente (aunque sí tendrá gran importancia en el momento de adoptar las medidas de seguridad mínimas exigibles que son las que figuran en el Título VIII del Reglamento de la LOPD); siendo un principio en esta materia el de la neutralidad tecnológica: las garantías del derecho se pretenden que sean aplicables cualquiera que sea la tecnología, utilizada en el tratamiento de los datos, de las que existen en este momento o, incluso, de las que puedan desarrollarse en el futuro.

MINI-CASOS

1. Doña María es la responsable del «tratamiento de los datos de carácter personal» del despacho colectivo de procuradores en el cual trabaja. Según la LOPD ¿qué es un tratamiento de datos de carácter personal? Señale la respuesta correcta

a) Operaciones y procedimientos técnicos de carácter exclusivamente automatizado, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

b) Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

c) Procedimientos técnicos de carácter exclusivamente automatizado, que permitan la recogida, grabación, conservación, modificación y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

d) Procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, modificación y cancelación, así como las cesiones de datos que resulten de comunicaciones y transferencias.

2. Doña Lucia es la encargada del «tratamiento de los datos de carácter personal» del despacho colectivo de procuradores en el cual trabaja. ¿qué es un encargado del Tratamiento? Señale la respuesta correcta

a) Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente, con otros, trate datos personales por cuenta del responsable del fichero.

b) Persona física encargada de tratar datos personales por cuenta del responsable del fichero.

c) Persona jurídica encargada de tratar datos personales por cuenta del responsable del fichero.

d) Profesional persona física o jurídica, encargada de tratar datos personales por cuenta del responsable del fichero, también denominado «compliance officer».

3. D. Alberto es el responsable del «tratamiento de los datos de carácter personal» del despacho colectivo de procuradores en el cual trabaja. ¿Cuáles son las principales responsabilidades del responsable del fichero? Señale la respuesta correcta

a) La principal responsabilidad del responsable del fichero es el borrado de datos personales en el caso de solicitud de cancelación solicitada por un superior.

b) Declarar los ficheros de datos personales frente a los superiores jerárquicos del despacho y así llevar un control estructural de los datos personales.

c) El responsable del fichero debe adoptar las medidas de índole técnica y organizativa necesarias que garanticen un control de los datos personales de los ficheros que maneje, con responsabilidades limitadas.

d) Declarar los ficheros de datos personales; informar a los interesados; recoger y tratar adecuadamente los datos personales; garantizar la seguridad en el tratamiento; facilitar el ejercicio de los derechos de los interesados.

4. D. Juan es el director de un despacho colectivo de procuradores, despacho recién constituido. Tiene dudas de los beneficios del cumplimiento de la normativa de protección de datos. Señale la respuesta correcta

a) Además de evitar la imposición de sanciones, el cumplimiento de la normativa de protección de datos dará una buena imagen al despacho de cara a clientes actuales y potenciales

b) No tiene beneficios, es una carga normativa de obligado cumplimiento, encaminada a la matización de posibles responsabilidades del despacho, por la pérdida o fuga de datos.

c) No tiene beneficios, es una carga normativa de obligado cumplimiento, encaminada a la matización de posibles responsabilidades del despacho en caso de robo de información sensible de clientes y colaboradores.

d) Es una carga normativa, cuyo incumplimiento lleva aparejado la imposición de sanciones, con lo cual su principal beneficio es el de evitar las mismas.

TEST

1. Alberto, procurador de los tribunales, ante los numerosos clientes con que cuenta en su despacho decide crear un fichero de datos de carácter personal de sus clientes. ¿Debe comunicar la creación de dicho de dicho fichero?

a) Sí, debe comunicar la creación de dicho fichero a la Agencia Española de Protección de Datos.

b) No, no hace falta comunicar la creación de dicho fichero, por ser de uso restringido.

c) Sí, deberá comunicar la creación de dicho fichero al Colegio de Procuradores donde se encuentre colegiado.

d) No, solo debe comunicar la creación de dicho fichero cuando pretenda ceder los datos a terceros

2. Bernardo, procurador de los tribunales, reciente colegiado, es informado de que su domicilio profesional, que además se corresponde con su domicilio particular, aparece en el Registro que lleva el Consejo General de Procuradores y que, además, es accesible al público. No está muy conforme con ello ¿Puede hacer algo?

a) Sí, puede exigir que desaparezcan sus datos del registro, aunque el domicilio sólo fuera el profesional.

b) No puede hacer nada al respecto, porque ejerce una profesión colegiada de carácter público.

c) Sí, puede oponerse a que ese domicilio figure en el registro que se divulgue como fuente accesible al público cuando el domicilio profesional coincida con el particular.

d) Presentar denuncia ante el Consejo General de Procuradores.

3. ¿Cuándo entró en vigor el Reglamento General de Protección de Datos (RGPD)?

a) El 25 de mayo de 2016.

b) El 25 de mayo de 2017.

c) El 25 de mayo de 2018.

d) El 25 de mayo de 2015

4. ¿Cuándo comenzará a aplicarse el Reglamento General de Protección de Datos (RGPD)?

a) El 25 de mayo de 2016.

b) El 25 de mayo de 2017.

c) El 25 de mayo de 2018.

d) El 25 de mayo de 2015

5. ¿Cuáles son los nuevos principios que el art. 5 del RGPD contiene y que deben tenerse en cuenta en el tratamiento de datos personales?

a) Responsabilidad proactiva, precisión y actualización de los mismos.

b) Pertinencia, limitación de la finalidad y transparencia.

c) Transparencia, limitación de la finalidad y minimización de los datos.

d) Minimización de datos, razonabilidad y transparencia.

6. La Ley Orgánica de Protección de Datos establecía 4 derechos para los interesados: Acceso, Rectificación, Cancelación y Oposición (conocidos en España como derechos ARCO). Pues bien, con el nuevo Reglamento Europeo de Protección de Datos, esta lista se amplía. Además de los derechos ARCO, se contemplan también los siguientes derechos:

a) Derecho a la transparencia de la información, derecho de supresión (derecho al olvido), derecho de limitación y derecho de portabilidad.

b) Derecho a la transparencia de la información, derecho de reclamación y derecho de portabilidad.

c) Derecho de supresión, derecho de reclamación y derecho de limitación.

d) Derecho de limitación, derecho de portabilidad, derecho de consulta.

7. Nuestra legislación actual establece que a la hora de recoger el consentimiento de los interesados se les debía informar de la persona responsable del fichero, de la existencia de los ficheros inscritos en el Registro General de Protección de Datos, de la finalidad de la recogida de los datos y de la posibilidad de ejercitar los Derechos ARCO. Pues bien, además de estos datos, el Reglamento exige la obligación de informar sobre nuevos aspectos

a) Se debe informar acerca del periodo de conservación, se debe informar acerca de la posibilidad de hacer reclamaciones y se debe informar de los demás derechos que incorpora el nuevo RGDP.

b) Se tiene que explicar la base legal para el tratamiento de los datos, se debe informar acerca del periodo de conservación, se debe informar acerca de la posibilidad de hacer reclamaciones y se debe informar de los demás derechos que incorpora el nuevo RGDP.

c) Se tiene que explicar la base legal para el tratamiento de los datos, se debe informar acerca del periodo de conservación y se debe informar de los demás derechos que incorpora el nuevo RGDP.

d) Se tiene que explicar la base legal para el tratamiento de los datos, se debe informar acerca del periodo de conservación, se debe informar acerca de la posibilidad de hacer reclamaciones y consultas a organismos de la UE y se debe informar de los demás derechos que incorpora el nuevo RGDP.

8. El GDPR mantendrá los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco. Sin embargo, como novedad respecto de la LOPD, el nuevo RGDP indica que

a) Para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad. En este sentido, el silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento.

b) Para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad. En este sentido, el silencio, las casillas ya marcadas o la inacción constituirán prueba de consentimiento.

c) Para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva u omisiva que manifieste su conformidad. En este sentido, el silencio, las casillas ya marcadas o la inacción constituirán prueba de consentimiento.

d) Para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva u omisiva que manifieste su conformidad. En este sentido, el silencio, las casillas ya marcadas o la inacción constituirán prueba de consentimiento.

9. Los datos de carácter personal proporcionados por el cliente

a) Podrán ser comunicados en los escritos y en los documentos anejos a éstos a los Juzgados y Tribunales o, en su caso, Administraciones Públicas, para el cumplimiento del encargo encomendado, así como a abogados procuradores, peritos y otros profesionales que deban intervenir o sea conveniente que intervengan.

b) Podrán ser comunicados en los escritos y en los documentos anejos a éstos única y exclusivamente a los Juzgados y Tribunales.

c) Podrán ser comunicados en los escritos y en los documentos anejos a éstos única y exclusivamente a las Administraciones Públicas, para el cumplimiento del encargo encomendado, así como a abogados procuradores, peritos y otros profesionales que deban intervenir o sea conveniente que intervengan.

d) Podrán ser comunicados en los escritos y en los documentos anejos a éstos a los Juzgados y Tribunales o, en su caso, Administraciones Públicas, para el cumplimiento del encargo encomendado, así como a abogados y procuradores.

10. El cliente tiene los derechos reconocidos en el Reglamento General de Protección de Datos a

a) Acceder, rectificar y suprimir los datos, solicitar la portabilidad de los mismos y oponerse al tratamiento.

b) Acceder, rectificar, suprimir los datos, pedir una copia, solicitar la portabilidad de los mismos, oponerse al tratamiento y solicitar la limitación de éste.

c) Acceder, rectificar y suprimir los datos, solicitar la portabilidad de los mismos, oponerse al tratamiento y solicitar la limitación de éste.

d) Acceder, rectificar y suprimir los datos, solicitar la portabilidad de los mismos y solicitar la limitación de éste.

11. En determinadas circunstancias previstas en el artículo 18 RGPD, los clientes podrán solicitar a los procuradores

a) La limitación del tratamiento de sus datos, en cuyo caso únicamente se conservarán para el ejercicio o la defensa de reclamaciones.

b) La prohibición del tratamiento de sus datos, en cuyo caso se conservarán para el ejercicio o la defensa de reclamaciones.

c) La limitación del tratamiento de sus datos, en cuyo caso únicamente se conservarán para la defensa de reclamaciones.

d) Ninguna de las respuestas anteriores es correcta.

12. Señale cuál es la respuesta más CORRECTA con relación a las comunicaciones entre Procurador y cliente a efectos de constancia

a) Los clientes acuerdan como medio de comunicación preferente para el desarrollo del trabajo aplicaciones de mensajería instantánea.

b) Los clientes acuerdan como medio de comunicación preferente para el desarrollo del trabajo el correo electrónico, conociendo y asumiendo el cliente bajo su responsabilidad, que el correo electrónico puede presentar fallo o vulnerabilidades, sin perjuicio de la posibilidad de utilizar otros medios.

c) Los clientes acuerdan como medio de comunicación preferente para el desarrollo del trabajo el correo electrónico, conociendo y asumiendo el procurador cualquier fallo o vulnerabilidades que pueda presentar.

d) Los clientes acuerdan como medio de comunicación preferente para el desarrollo del trabajo el correo postal.

13. Las finalidades legítimas del tratamiento de los datos de carácter personal son

a) La gestión profesional, contable y fiscal del encargo de defensa o asesoramiento, así como el archivo de expedientes.

b) La gestión profesional, administrativa, organizativa contable y fiscal del encargo de defensa o asesoramiento, así como el archivo de expedientes.

c) La gestión administrativa, contable y fiscal del encargo de defensa o asesoramiento, así como el archivo de expedientes.

d) La gestión profesional, administrativa, contable y fiscal del encargo de defensa o asesoramiento, así como el archivo de expedientes.

14. El cliente tiene derecho a acceder a sus datos personales y a obtener

a) Una copia de los datos personales objeto del tratamiento y a solicitar la rectificación de los datos inexactos o, en su caso, solicitar su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines para los que fueron recogidos.

b) Una copia de los datos personales objeto del tratamiento, a actualizarlos, así como a solicitar la rectificación de los datos inexactos o, en su caso, solicitar su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines para los que fueron recogidos.

c) Una copia de los datos personales objeto del tratamiento, a actualizarlos, así como a solicitar la rectificación de los datos inexactos y solicitar su supresión.

d) Dos copias de los datos personales objeto del tratamiento, a actualizarlos, así como a solicitar la rectificación de los datos inexactos o, en su caso, solicitar su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines para los que fueron recogidos.

15. Como consecuencia de la aplicación del derecho a la supresión u oposición al tratamiento de datos personales en el entorno on-line

a) Los interesados tienen el derecho al olvido según la jurisprudencia del Tribunal de Justicia de la UE.

b) Los interesados tienen el derecho al perdón según la jurisprudencia que del Tribunal de Justicia de la UE.

c) Los interesados tienen el derecho a la reclamación según la jurisprudencia del Tribunal de Justicia de la UE.

d) Los interesados tienen el derecho a la súplica según la jurisprudencia del Tribunal de Justicia de la UE.

16. Señale cuál es la respuesta CORRECTA

a) Se recomienda el uso de aplicaciones de mensajería instantánea para comunicaciones con el letrado y procurador dada su flexibilidad, rapidez y eficacia.

b) No se recomienda el uso de aplicaciones de mensajería instantánea para comunicaciones con el letrado y procurador porque la confidencialidad puede verse comprometida. El uso de las mismas por el cliente será bajo su propia y exclusiva responsabilidad.

c) No se recomienda el uso de aplicaciones de mensajería instantánea para comunicaciones con el letrado y procurador porque la confidencialidad puede verse comprometida. El uso de las mismas por el cliente será bajo su propia y exclusiva responsabilidad.

d) No se recomienda el uso de aplicaciones de mensajería instantánea para comunicaciones con el letrado y procurador porque la imparcialidad puede verse comprometida.

17. El nuevo RGDP no distingue entre los niveles de los ficheros, sino que especifica que se apliquen medidas de seguridad teniendo en cuenta

a) El estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

b) El estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento.

c) Los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

d) El estado de la técnica, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

18. Señale la respuesta INCORRECTA

a) Las autorizaciones de transferencias que las autoridades nacionales de protección de datos hayan otorgado sobre la base de garantías contractuales seguirán siendo válidas en tanto las autoridades no las revoquen.

b) Las decisiones de adecuación que la Comisión ha adoptado con anterioridad a la aplicación del RGPD seguirán siendo válidas y, por tanto, podrán seguir realizándose transferencias basadas en ellas, en tanto la Comisión no las sustituya o derogue.

c) Las garantías sobre la protección que recibirán los datos en destino las debe ofrecer el exportador, que podrá ser sólo un responsable de tratamiento.

d) Las autorizaciones de transferencias que las autoridades nacionales de protección de datos hayan otorgado sobre la base de garantías contractuales seguirán siendo válidas en tanto las autoridades no las revoquen.

19. Con el RGPD El número de posibles instrumentos para ofrecer garantías se amplía, incluyéndose expresamente, entre otros

a) Las Normas Corporativas Vinculantes para responsables y encargados, los códigos de conducta y esquemas de certificación así como las cláusulas contractuales modelo que puedan aprobar las autoridades de protección de datos.

b) Sólo las Normas Corporativas Vinculantes para responsables y encargados y los códigos de conducta y esquemas de certificación.

c) Las Normas Corporativas Vinculantes para responsables y encargados, los códigos de conducta y esquemas de certificación así como las cláusulas contractuales modelo que puedan aprobar las autoridades de protección de datos y organismos internacionales.

d) Los códigos de conducta y esquemas de certificación así como las cláusulas contractuales modelo que puedan aprobar las autoridades de protección de datos.

20. Están exentas de mantener un registro de operaciones de tratamiento en el que contenga la información que establece el RGPD:

a) Las organizaciones que empleen a menos de 200 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados.

b) Las organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados.

c) Las organizaciones que empleen a menos de 150 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados.

d) Las organizaciones que empleen a menos de 300 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados.

21. Conforme al RGPD, las medidas técnicas y organizaciones deberán establecerse teniendo en cuenta

a) El coste de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto, los fines del tratamiento y los riesgos para los derechos y libertades.

b) El coste de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento.

c) El coste de la técnica, la naturaleza, el alcance, el contexto, los fines del tratamiento y los riesgos para los derechos y libertades.

d) El coste de la técnica, la naturaleza, el alcance, los fines del tratamiento y los riesgos para los derechos y libertades.

22. La notificación de la quiebra de seguridad en materia de protección de datos a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella. En este sentido, la notificación NO ha de incluir como contenido mínimo

a) La naturaleza de la violación.

b) Categorías de datos y de los interesados afectados.

c) Medidas adoptadas por el responsable para solventar la quiebra.

d) Recomendaciones para evitar futuras vulneraciones.

23. El RGPD establece la figura del Delegado de Protección de Datos (DPD), que no será obligatorio en

a) Autoridades y organismos públicos.

b) Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de Interesados a gran escala.

c) Responsables o encargados que tengan entre sus actividades principales el tratamiento a pequeña escala de datos sensibles.

d) Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.

24. La posición del DPD en las organizaciones tiene que cumplir los requisitos establecidos entre los que se encuentran

a) Total autonomía en el ejercicio de sus funciones, necesidad de que se relacione con el nivel superior de la dirección y obligación de que el responsable o el encargado faciliten al DPD todos los recursos necesarios para desarrollar su actividad.

b) Autonomía parcial en el ejercicio de sus funciones, necesidad de que se relacione con el nivel superior de la dirección y obligación de que el responsable o el encargado faciliten al DPD todos los recursos necesarios para desarrollar su actividad.

c) Total autonomía en el ejercicio de sus funciones y obligación de que el responsable o el encargado faciliten al DPD todos los recursos necesarios para desarrollar su actividad.

d) Total autonomía en el ejercicio de sus funciones, necesidad de que se relacione con el nivel superior de la dirección y obligación de que el responsable facilite al DPD todos los recursos necesarios para desarrollar su actividad.

25. En los casos de Normas Corporativas Vinculantes, cláusulas contractuales estándar, códigos de conducta y esquemas de certificación

a) La transferencia requerirá la autorización de las autoridades de supervisión en los casos previstos por el presente Reglamento.

b) La transferencia no requerirá la autorización de las autoridades de supervisión.

c) La transferencia no requerirá la autorización de las autoridades de supervisión, sin perjuicio de las excepciones contenidas en el presente Reglamento.

d) La transferencia no requerirá la autorización de las autoridades de inspección.

26. Se requiere que las empresas y organizaciones tengan una actitud proactiva en el establecimiento de medidas de seguridad destinadas a garantizar que la infraestructura de la empresa asegura un correcto tratamiento y almacenamiento de los datos de sus clientes o usuarios. A estos efectos, las principales medidas que se deben adoptar son

a) Establecer accesos seguros al sistema de la empresa y/o a sus bases de datos.

b) Establecer procedimientos de copias de seguridad suficientes.

c) Tomar medidas especiales para evitar fugas de datos, instalación de malware o evitar o prevenir que otros riesgos relacionados ocurran, como ataques por parte de crackers, denegaciones de servicio, daño a los sistemas informáticos, etc.

d) Todas las respuestas anteriores son correctas.