F. Javier Sempere
Letrado del Consejo General del Poder Judicial. Doctorando CEINDO
Empiezo a escribir estas líneas a principios de marzo de 2022, en el marco de un libro de merecido homenaje al profesor Davara, que tanto ha aportado, y sigue aportando, a lo que algunos cariñosamente llamamos «el mundo del dato». Me han pedido un artículo sobre las diferentes figuras profesionales vinculadas a la protección de datos, como pueden ser abogados, consultores, responsables de seguridad o delegados de protección de datos, así como su evolución, desde un punto de vista nada teórico, ofreciendo mi experiencia personal. Como verán en el encabezamiento, he decidido agruparlos todos como «profesionales de la privacidad», incluyendo también a aquellos que no haya citado textualmente pero que también se dediquen a esta profesión.
Vamos para casi cuatro años desde que se produjo el cambio radical que ha supuesto el Reglamento General de Protección de Datos (RGPD), y que ha conllevado un impulso brutal en esta profesión. Este año 2022 promete bastante, ya que ha empezado de forma intensa. Como ejemplos podemos citar, las recientes resoluciones sobre Google Analytics (1) , las multas impuestas por la AEPD a varias empresas de telecomunicaciones como consecuencia de fraudes en las tarjetas SIM (2) , o también sendas multas impuestas por la CNIL a Google y Facebook vinculadas al uso de cookies (3) . Sólo han transcurrido tres meses en lo que va de año, así que ya veremos como acaba. A todo ello, añadir que tenemos una estrella invitada en el marco de aplicación del RGPD. Un invitado que cuando se adoptó la norma europea no aparecía entre lo más comentado, ya que las luces se dirigían, por ejemplo, al concepto de responsabilidad proactiva, la privacidad por diseño y desde el defecto, la notificación de las brechas de seguridad tanto a las autoridades de control como los afectados, o las evaluaciones de impacto de protección de datos de datos. Nos referimos a las transferencias internacionales, convertidas en una estrella emergente desde que se produjo la anulación del denominado «Privacy Shield» (Escudo de Privacidad) (4) .
Quién nos iba a decir que las transferencias internacionales iban a dar tanto problema, aunque ya habíamos tenido un preludio con la anulación del «Safe Harbour» (Puerto Seguro) (5) . Y venimos de un 2021 que ya de por si ha sido bastante intenso, con asuntos muy destacados como las primeras grandes multas o los problemas derivados del uso de los datos biométricos, tanto el uso de la huella para el control de accesos o fichaje, así como el reconocimiento facial.
Tras este breve recorrido para conocer en qué situación se encuentra el ya citado «mundo del dato», permítanme que utilice una «tecnología ficticia» como es «mi personal máquina del tiempo», y retrocedamos más de 20 años, concretamente al 20 de abril del 2001, el día en el que empiezo a prestar mis servicios en la ya desaparecida Agencia de Protección de Datos de la Comunidad de Madrid (APDCM), la primera autoridad de control autonómica que se creó y la única que hasta la fecha ha sido suprimida. Recuerdo mis primeras lecturas de la «cuasi» derogada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) (6) , de la cual me llamó poderosamente la atención dos cosas: la primera, es que no poseía Exposición de Motivos, nunca había visto una ley sin ella; la segunda, su farragosa terminología como «responsable del fichero», «encargado del tratamiento», «impugnación de valoraciones» o «fuentes accesibles al público». La lectura se completaba con la Ley 13/1995, de 21 de abril, de Regulación del Uso de la Informática en el Tratamiento de Datos
Personales por la Comunidad de Madrid (7) , si bien fue derogada por la Ley 8/2001, de 13 de julio de Protección de Datos de Carácter Personal en la Comunidad de Madrid.
No obstante, sin perjuicio de las funciones clásicas de por aquel entonces de las autoridades de control, como eran el registro de ficheros, asesoramiento jurídico el ejercicio de la función de control a través de inspecciones y procedimientos sancionadores, la APDCM llevó a cabo una gran labor divulgativa a través de varios medios como serían la publicación de guías sectoriales, y jornadas también de tal carácter. Sobre todo, se trataba de cubrir los diferentes ámbitos en los que la autoridad de control ejercía sus funciones como eran la Administración de la Comunidad de Madrid, los Entes Locales que forman parte de la misma, Universidades Públicas, Colegios Profesionales, Cámara de Comercio y Cámara Agraria, así como aquellos que requerían una dedicación especial como eran sanidad, servicios sociales y seguridad. Recuerdo también que uno de los eventos que mayor acogida tuvo fue uno celebrado cuando ya existía un borrador de lo que hoy conocimos como RGPD.
Pues bien, en todos ellos, y puesto que estaban abiertos al público, si bien con carácter previo se invitaba a personal de las Administraciones citadas, acudían también profesionales de la privacidad, los cuales se mostraban bastante agradecidos tanto en lo referente a las jornadas como a las Guías de carácter gratuito que se publicaban y se facilitaban a todos aquellos que acudían.
Charlar con algunos de ellos, fue la segunda vez que tomaba contacto con los profesionales de la privacidad, en conversaciones en las cuales mostraban sus altos conocimientos, y obviamente, también estaban al tanto y leían todo aquello que iba publicando la Agencia Española de Protección de Datos.
La mayor parte de ellos se dedicaba a la consultoría o lo que podemos denominar adecuación a la normativa de protección de datos personales, sin que por aquel entonces pudiésemos hablar de la figura, tan de moda hoy en día, del delegado de protección de datos. La razón principal de su no existencia fue provocada por el hecho de que al traducir la Directiva 95/46, el «data protection officer» se tradujo como «encargado de datos», traducción que se confundía con la figura del »encargado del tratamiento» y que como resultas de esta confusión al transponer la Directiva 95/46, la LOPD guardó silencio al respecto, sin contemplar al delegado de protección de datos, como sí habían hecho otros países al transponer la norma europea a su ordenamiento jurídico. Obviamente, el hecho de que no se regulase el delegado de protección de datos no fue óbice para el surgimiento y desarrollo de los profesionales de la privacidad, así como para que pasados unos años ya se ejerciese también como delegados.
Pero además de estas actuaciones divulgativas, me falta mencionar la joya de la corona, que no es otra que la revista digital datospersonales.org , lanzada durante el mandato de Antonio Troncoso Reigada, impulsada por el tristemente fallecido Emilio Aced, y en la cual participé activamente, incluyendo la dirección de varios de sus números.
Era un tiempo en que apenas existían los blogs, ni casi redes sociales, por lo que todo era diferente a la actualidad a la hora de recabar conocimientos sobre esta materia. Por ello, datospersonales.org era un marco de referencia para los profesionales de la privacidad en su más de 60 números, tanto aquellos que mostraban su conocimiento en los temas que se abordaban y eran objeto de publicación, como los que consultaban la revista. Profesionales ya en un sentido amplio, no sólo quienes realizaban labores de consultoría, sino también abogados, asesores jurídicos, empleados públicos, profesores de Universidad, jueces y magistrados, y personal al servicio de las Autoridades de Control, incluyendo a sus Directores.
Por ejemplo, citemos algunos de los temas que fueron objeto de publicación en la revista y que muestran además su calidad, como el acceso a la historia clínica y sus límites, el tratamiento de datos personales en los equipos de atención psicopedagógica, datos genéticos y datos biológicos, el reglamento de desarrollo de la LOPD, la modificación de la LOPD que trajo consigo la aplicación en materia sancionadora de la figura del apercibimiento, el sello de privacidad «EuroPrise» (European Privacy Shield), la sentencia sobre si los ficheros de la Fundación Alcorcón ostentaban el carácter de públicos, la tecnología RFID, la declaración de ficheros en base a un modelo centralizado o descentralizado, la confidencialidad en la prevención de riesgos laborales, y un sinfín de temas más. Hoy en día, con el RGPD, los temas son otros, como pueden ser y como ya indiqué anteriormente, las transferencias internacionales, el posible uso o no de los datos biométricos ya que han pasado a calificarse como categorías especiales de datos, o si se sustituyen las «cookies» por otro sistema. Es decir, no venimos de la nada, antes del RGPD existió también la protección de datos y existieron también los profesionales de privacidad que se han ido formando a lo largo de todo este tiempo.
Para terminar este breve recorrido de datospersonales.org , destacar que contamos con la colaboración del Profesor Davara como miembro del comité de expertos de la revista y con la publicación de diversos artículos. Precisamente, en el primer número de la revista contamos con su artículo titulado «Humanismo tecnológico», que no ha perdido nada de vigencia aunque se publicase en el 2003, cuando se publicó este primer número (8) . Permítanme que les muestre un extracto de este artículo en el que se darán cuenta de esa actualidad:
«Estamos presenciando impasibles —o impotentes—, una loca carrera en la que se centra el éxito en la mayor o menor utilización de los medios que proporcionan las tecnologías de la información y las comunicaciones y, en particular, en la mayor o menor presencia en internet; todo el mundo navega por internet aunque, irónicamente, pensamos que, como mucho, flotan en la red, porque para navegar hace falta rumbo y los incontrolados accesos a internet, diciendo estar en un lugar que nadie garantiza que se encuentra, es flotar y, si se me apura, a la deriva.
La realidad indica que en el mundo profesional es necesario estar en internet, no se es nadie, si no se está en internet; cuando se encargan unas sencillas tarjetas de presentación profesional, el artista pregunta confiado que cuál es nuestra dirección de correo electrónico y de nuestra web; hay que estar en la red, a veces más como imagen que como efectividad práctica.
… revelan un futuro en el que primará el comercio electrónico y la posibilidad de navegar a través de redes en un mundo de servicios multimedia, interactivos, que proporcione una nueva dinámica a las actividades profesionales, mercantiles, privadas, de ocio e incluso del hogar, haciendo que la denominada sociedad de la información abarque a todos creando unas nuevas clases sociales y, sin duda alguna, una nueva masa marginal.
Decimos esto porque, hasta ahora, la marginación se encontraba en ambientes y lugares distintos, incluso distantes, de nuestro ámbito social y cultural; a partir de ahora, probablemente, la marginación se sentará en el sofá del cuarto de estar al tener todos algún familiar, o nosotros mismos, que no haya podido adecuarse a este nuevo escenario comercial y laboral que se presenta».
¿Verdad que siguen siendo estas palabras aplicables a nuestra actualidad?
Si se habrán fijado, al referirme anteriormente a los eventos que organizaba la APDCM mencioné que era la segunda vez que intercambiaba algunas palabras con los profesionales de la privacidad, por lo que habría que preguntarse, «Y entonces, ¿Cuál fue la primera?». Pues precisamente cuando entro a prestar servicios en la APDCM, con el personal de allí, que también son profesionales de la privacidad. Y me refiero obviamente, que si bien los más visibles por razones obvias son los Directores de las Autoridades de Control, a todo el personal que trabaja en las mismas, cada uno haciendo su respectiva función, que pueden ser, por ejemplo, de elaboración de materiales, asesoramiento jurídico, labores inspectoras o tramitación de expedientes sancionadores. Son los grandes olvidados del sector porque también son profesionales de la privacidad, pero su labor constituye un elemento indispensable en nuestro sector, interpretando en muchas ocasiones como aplicar la normativa de protección de datos, ofreciendo soluciones al respecto como guías, informes y herramientas de cumplimiento.
Sigamos con este recorrido en el que mi «máquina del tiempo» nos sitúa ahora en el período 2006-2007 para comentar dos normas que provocaron un fuerte impulso de la profesión.
La primera de ellas, la ya derogada Instrucción 1/2006, de 8 de noviembre de la AEPD (9) , sobre el tratamiento de datos personales con fines de videovigilancia a través de sistemas de cámaras o videocámaras, que si bien su finalidad principal consistía no sólo en regular este tratamiento conforme a la LOPD, sino también en cierta forma limitar la implementación de las cámaras aunque realmente se produjo su efecto contrario (10) . ¡Cuántas adaptaciones en este ámbito habrán realizado los profesionales de la privacidad! Posteriormente, se publicarían por las autoridades de control autonómicas instrucciones también al respecto, y la propia AEPD una guía que trataba de solventar otras cuestiones derivadas del uso de la videovigilancia (11) .
La segunda, la norma que desarrollaría la LOPD, el Real Decreto 1720/2007, de 21 de diciembre, que supondría a su vez, en parte de su contenido, más adaptaciones. Sobre todo, en lo referente a las medidas de seguridad, que aunque ya estaban reguladas en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, con esta nueva publicación normativa se produce una mayor concienciación a la hora de deber adoptar las mismas respecto a los tratamientos de datos personales, y con la novedad respecto a la norma reglamentaria del año 1999 en que también serían de aplicación, con ciertos matices, respecto a los tratamientos no automatizados.
Ambas normas comparten que contienen un precepto dedicado a otro profesional de la privacidad, y que se contempla como una medida de seguridad de carácter organizativo. Nos referimos al responsable de seguridad, con la finalidad de coordinar y controlar que se cumplen las medidas de seguridad, tanto técnicas como organizativas implantadas. Y que también aparecería varias veces mencionado unos años después, en el Esquema Nacional de Seguridad de la Administración Electrónica (12) .
Sobre este profesional de la privacidad se ha planteado con la aplicación del RGPD su compatibilidad, a efectos de no afectar a su independencia, con la figura del delegado de protección de datos. Es decir, si puede recaer en la misma persona o entidad ser responsable de seguridad y delegado de protección de datos, resolviendo la AEPD, que salvo alguna excepción, sería incompatible (13) .
Avanzamos un paso más para recordar dos momentos que podemos calificar como históricos, como serían la organización de la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada el 5 de noviembre de 2009 en Madrid organizada por la AEPD, y la configuración del denominado «derecho al olvido» como manifestación de los derechos de oposición y cancelación al tratamiento de los datos personales que realizan los buscadores de Internet (14) .
Sobre la 31 Conferencia Internacional, celebrada con un éxito abrumador tanto de público como de temas abordados, supuso un espacio en el que los profesionales de la privacidad de nuestro país se mostraban al exterior. Durante su celebración se aprobaron los «Estándares Internacionales sobre Protección de Datos Personales y Privacidad» (15) , impulsado por la AEPD, sentando las bases para esa consideración hoy en día del RGPD como estándar internacional, ya que otros países han seguido la estela del contenido de la norma europea. Recuerdo también de esa conferencia como la Asociación Profesional Española de la Privacidad (APEP) (16) , que contaba con un pequeño «stand» informativa, daba ya sus primeros pasos.
En cuanto al «derecho al olvido», su impulso vino dado por nuestros profesionales de la privacidad, principalmente por la AEPD a través de sus primeras resoluciones que estimaba los derechos de oposición y cancelación ante el tratamiento de datos del buscador Google, y también por aquellos que en vía judicial representaron a Mario Costeja, El RGPD lo ha recogido expresamente en su artículo 17 al denominarse Derecho de supresión («el derecho al olvido»), por lo que podemos calificarlo como un derecho perfectamente consolidado, si bien en los últimos tiempos se ha planteado alguna cuestión relativa a su aplicación universal (17) o si se aplicaría cuando la búsqueda en los motores se realiza no por nombre y apellidos sino por apellidos (18) .
De todo lo mencionado hasta ahora observamos toda una evolución del profesional de la privacidad en sus diferentes vertientes, cada vez más formado, e incidiendo en cuestiones muy relevantes, como la del «derecho al olvido». Sin embargo, no ha sido un camino de rosas, por lo que en ocasiones en este recorrido han existido «piedras», siendo la que más daño ha hecho el denominado «LOPD a coste cero».
Y llegamos a nuestra última parada de este trayecto, formada por el RGPD y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), con la regulación de la figura del delegado de protección de datos. Sí, obviamente, y aunque como hemos mencionado la LOPD no lo recogía, existían ya profesionales de la privacidad que ejercían como delegados, pero tanto sus características, funciones así como el establecimiento de una serie de responsables y encargados en los que deben ser nombrados de forma obligatoria ha supuesto un gran impulso para esta profesión (19) . Teniendo en cuenta también aquellos que consideran la necesidad de contar con un delegado sin que sea obligatorio su nombramiento, lo que puede llevarnos a concluir con un… ¡ponga un delegado de protección de datos en su organización! (20)
Respecto a la LOPDGDD, resulta esencial señalar la modificación del Consejo Consultivo de la AEPD respecto a lo que regulaba la LOPD (21) , al haber incluido tanto a un representante de los profesionales de la protección de datos y la privacidad, como un representante de los profesionales de la seguridad de la información, en ambos casos propuestos por la asociación estatal con mayor número de asociados.
¿Qué nos deparará el futuro? La verdad es que como bien apuntaba hace casi 20 años el Profesor Davara, en su artículo que citamos al principio, evolucionamos hacia una sociedad cada vez más hiperconectada y dependiente del uso de herramientas tecnológicas, quizás demasiado, y que supone mayores tratamientos de datos personales, donde el profesional de la privacidad, en sus distintas versiones, se configura como un elemento esencial tanto de salvaguarda de los derechos de los afectados como de asesoramiento en aras del cumplimiento de la normativa. En muchas ocasiones, será la «primera barrera» para evitar un perjuicio a los afectados.
Además, y dada la evolución no sólo tecnológica, sino también legislativa de nuevas normas que se encuentran en tramitación por parte de la Unión Europea, como pueden ser los futuros Reglamentos de E-Privacy (22) , que sustituirá a la Ley de Servicios de la Sociedad de la Información (23) , e Inteligencia Artificial (24) , supondrán nuevos retos donde el profesional de la privacidad debe estar sí o sí.
Y como guinda, asistimos en la actualidad a un bombardeo de documentos, tales como resoluciones, directrices, guías, informes de las autoridades de protección de datos, Supervisor Europeo de Protección de Datos y Comité Europeo de Protección de Datos, así como los llamados «papers» de investigadores, que necesitan de su lectura redundando todo ello en un mayor conocimiento de esta cada vez más atractiva materia.
¡Larga vida a los profesionales de la privacidad!
Tienen su origen en reclamaciones interpuestas por la ONG encabezada por Max Schrems, tras la anulación del «Privacy Shield» (Escudo de Privacidad) que constituía la base para poder realizar transferencias internacionales de datos a los Estados Unidos. Estas reclamaciones tuvieron como destinatarios páginas webs de diferentes países de la Unión Europea por transferir datos personales a ese país mediante el uso de Google Analytics y Facebook Conect. En el caso español, las webs denunciadas son eDreams, Freepik, Real Academia Española, y País de los Juegos.
Tanto la resolución de la Autoridad Francesa de Protección de Datos (CNIL) como la Autoridad Austriaca determinan que se realizan transferencias internacionales de datos usando Google Analytics sin cumplir los requisitos que al respecto establece el RGPD.
Nota de prensa sobre la resolución de la CNIL:
Resolución adoptada por la autoridad Austriaca de Protección de Datos:
https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_EN_bk.pdf
También la Autoridad de Protección de Datos de Liechternsteni, que forma parte del Espacio Económico Europeo y aplica el RGPD
https://www.datenschutzstelle.li/aktuelles/google-analytics-und-der-datenschutz
Véase al respecto las resoluciones sancionadoras de la AEPD de los procedimientos PS/00001/2021 (multa a Vodafone de casi 4 millones €), PS/00021/2021 (a Telefónica España SAU con 900.000 €), PS/00022/2021 (Orange Espagne SAU con 700.000€), PS/00027/2021 (Xfera Móviles S.A con 200.000 €), y PS/00046/2021 (SIMYO con 70.000).
https://www.aepd.es/es/documento/ps-00001-2021.pdf
https://www.aepd.es/es/documento/ps-00021-2021.pdf
https://www.aepd.es/es/documento/ps-00022-2021.pdf
https://www.aepd.es/es/documento/ps-00027-2021.pdf
https://www.aepd.es/es/documento/ps-00046-2021.pdf
Puede consultarse la nota de prensa y las resoluciones en Google, multa de 150 millones €
https://www.cnil.fr/en/cookies-google-fined-150-million-euros
Facebook, multa de 60 millones € https://www.cnil.fr/en/cookies-facebook-ireland-limited-fined-60-million-euros
Sentencia de 16 de julio de 2020 del Tribunal Superior de Justicia de la Unión Europea
Sentencia de 6 de octubre de 2015 del Tribunal Superior de Justicia de la Unión Europea
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales, establece en su Disposición adicional decimocuarta que «Las normas dictadas en aplicación del artículo 13 de la Directiva 95/46 del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que hubiesen entra en vigor con anterioridad a 25 de mayo de 2018, y en particular los artículos 23 y 24 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, siguen vigentes en tanto no sean expresamente modificadas, sustituidas o derogadas» y en su Disposición transitoria cuarta «Los tratamientos sometidos a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular el artículo 22 y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada Directiva» .
La transposición de la Directiva (UE) 2016/680 se ha realizado con la aprobación de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Su artículo 24 recoge una serie de restricciones al ejercicio de los derechos por razones, entre otras, de seguridad pública, seguridad nacional, o de protección de los derechos y libertades de otras personas, por lo que a nuestro juicio, sólo quedaría vigente el apartado 2 del artículo 23 de la LOPD relativo a que la Hacienda Pública pueda denegar el ejercicio de los derechos de acceso, rectificación y cancelación (hoy llamado supresión), cuando se obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras, puesto que sería un supuesto que a los efectos de las limitaciones del art.23 RGPD, que son del mismo que el art.13 de la Directiva 95/46, y que no se han desarrollado salvo en lo actualidad ya contempla el artículo 24 de la Ley Orgánica 7/2021, de 26 mayo.
Esta norma contenía dos previsiones que llaman poderosamente la atención. En primer lugar, la posibilidad de solicitar al responsable de los ficheros automatizados la certificación de que los sistemas de tratamiento están sujetos a las condiciones de seguridad que reglamentariamente se establezcan (art.13). En segundo lugar, la denominada Sección de Interesados del Registro de Ficheros, con la función de facilitar a los ciudadanos información sobre los ficheros que contengan sus datos personales (art. 32).
Otro de los artículos que me gustaría reseñar del Profesor Davara publicado en datospersonales.org fue el titulado «La muy joven LORTAD. Hace solo 20 años». Se publica en el número 59 de la revista dedicado a la LORTAD, ya que se cumplía 20 años desde se aprobación.
En la actualidad, el tratamiento de datos derivado de la videovigilancia se regula en el art.22 de la LOPDGDD.
Tanto la APDCM como la Autoridad Catalana de Protección de Datos también aprobaron Instrucciones sobre videovigilancia.
Desde nuestro punto de vista, el problema radicó en que la realización del juicio de proporcionalidad necesario para analizar si resulta conforme instalar la videovigilancia, aparece de forma escueta en el apartado 2 del art. 4 de la Instrucción, cuando debería haberse incluido en este precepto lo que sí recoge la introducción de la norma, mucho más desarrollado.
Con el RGPD, la AEPD publicó la «Guía sobre el uso de videocámaras para fines de seguridad y otras finalidades» https://www.aepd.es/sites/default/files/2019-12/guia-videovigilancia.pdf
Véase al respecto el Real Decreto 3/2010, de 8 enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica https://www.boe.es/buscar/act.php?id=BOE-A-2010-1330
Puede consultarse el informe de la AEPD en https://www.aepd.es/es/documento/2018-0170.pdf
Sentencia de 13 de mayo de 2014 del Tribunal de Justicia de la Unión Europea https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:62012CJ0131&from=es
Pueden consultarse en https://edps.europa.eu/sites/edp/files/publication/09-11-05_madrid_int_standards_es.pdf
En la actualidad existen también otras asociaciones de profesionales de la privacidad.
Sentencia del Tribunal de Justicia de la Unión Europea de 24 de septiembre de 2019
Sentencia de la Sala de lo Contencioso-Administrativo del Tribunal Supremo, de 27 de noviembre de 2020.
Los supuestos de designación obligatoria se regulan en el art.37.1 del RPGD y 34.1 de la LOPDGDD.
SEMPERE SAMANIEGO, Javier. «Ponga un Delegado de Protección de Datos en su organización». Publicado en Lawyerpress el 28 de enero de 2013, día en que se celebra anualmente en Europa la protección de datos personales. https://www.lawyerpress.com/news/2013_01/2801_13_001.html
Véase al respecto el art.49 de la LOPDGDD que regula tanto su composición como funciones. Con mayor detalle, los art. 23 a 26 del Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la AEPD.
Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el respeto a la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre privacidad y las comunicaciones electrónicas) https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A52017PC0010
La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico es fruto de la transposición a nuestro ordenamiento jurídico de la Directiva 2002/58/CE.
Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (ley de inteligencia artificial) y se modifican determinados actos legislativos de la Unión https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:52021PC0206