Skip to content

Curso: Movimientos nacionales e internacionales de datos

Curso dedicado al estudio de los movimientos nacionales e internacionales que pueden darse a los datos personales que son tratados en el desarrollo de cualquier actividad empresarial o profesional. Los movimientos de datos personales pueden tener lugar dentro de un grupo de empresas; entre co-rresponsables del tratamiento; entre un responsable y un encargado del tratamiento o entre dos responsables del tratamiento. La externalización de servicios es, cada vez más, el día a día de casi todos los profesionales. Para garantizar la protección de los datos personales durante los distintos tratamientos a los que pueden estar sometidos por distintos responsables o encargados del tratamiento, la normativa prevé un conjunto de garantías que bien articuladas reducen al mínimo el riesgo que para los datos supone salir de la esfera de control del responsable del tratamiento de origen.

Este curso se divide en 2 partes:

Parte I: Régimen jurídico de los movimientos nacionales e internacionales de datos

Parte II: Talleres sobre movimientos internacionales de datos 

El programa incluye participaciones de especialistas invitados a lo largo del curso:

  • Webinar para ahondar en la gestión de riesgos de los contratos con terceros
  • Taller práctico 1: BCRs como ejemplo de garantía adecuada en las TID.
  • Taller práctico 2: TID a EEUU y Reino Unido

 

Parte I: Régimen jurídico de los movimientos nacionales e internacionales de datos

Uno de los objetivos esenciales del curso es saber identificar y dotar de las garantías contractuales necesarias a los movimientos de datos que tienen lugar entre responsables o entre responsables y encargados del tratamiento dentro de un mismo país o entre países del Espacio Económico Europeo. Se abordarán los contratos entre corresponsables y la figura de un prestador de servicios que actúa como encargado del tratamiento al tratar datos personales por cuenta del responsable del tratamiento, para poder diferenciarla de figuras afines, aprendiendo a reconocer cuándo la contratación de un servicio conlleva el acceso a datos por dicho encargado.

Estas contrataciones pueden tener lugar con empresas dentro del Espacio Económico Europeo o fuera del mismo, por tanto, en este curso se estudia el régimen jurídico en materia de transferencias internacionales de datos, al cual se dedica una parte específica y separada. En concreto, en la segunda parte, se atenderá al concepto y requisitos aplicables a las transferencias internacionales de datos.

El alumno aprenderá a saber cómo dotar a la relación jurídica de las garantías contractuales necesarias para los corresponsables, así como para una prestación de servicios o acceso a datos por cuenta de terceros. Respecto de este último supuesto, se analizarán las exigencias que derivan del hecho de subcontratar determinadas partes del servicio contratado; de la obligación de garantizar la seguridad de los datos a los que se tenga acceso para la prestación del servicio conociendo qué comprobaciones se deben realizar para elegir al encargado adecuado y cómo debe reflejar el encargado del tratamiento y el responsable del fichero la existencia de su relación en sus documentos de seguridad respectivos. También se tratarán aspectos como los supuestos en los que el encargado debe y puede comunicar los datos a un tercero, las obligaciones relacionadas con la terminación del contrato y con la conservación de los datos y los acuerdos que se pueden adoptar para la correcta atención y respuesta al ejercicio de los derechos de los titulares de los datos afectados por la prestación del servicio atendiendo a los distintos supuestos de hecho que se pueden plantear.

Parte II: Talleres sobre movimientos internacionales de datos

En esta edición hemos preparado dos talleres prácticos de plena actualidad en materia de movimientos internacionales de datos. Uno para conocer a fondo uno de los instrumentos que el RGPD impulsa como garantía adecuada, que son las Normas Corporativas Vinculantes o BCRS por sus siglas en inglés. Y otro para conocer la actualidad en estos movimientos internacionales desde el Espacio Económico Europeo a países como Reino Unido y Estados Unidos. A través de un supuesto práctico y de la mano de profesores expertos invitados trabajaremos estos temas.

Programa

Parte I: Régimen jurídico de los movimientos nacionales e internacionales de datos (2 semanas)

Figuras implicadas en los movimientos de datos

  • Introducción.
  • Delimitación de conceptos.
  • Distinción con figuras afines

Contratos derivados de los movimientos de datos

  • Contrato de acceso a datos por cuenta de terceros
  • Otros contratos: comunicación de datos, corresponsables y subcontrataciones

Obligaciones legales de los sujetos implicados en los movimientos de datos

  • Introducción
  • Tratamiento legal de datos
  • Registro de actividades del tratamiento
  • Garantizar la seguridad de los datos
  • Atención y respuesta al ejercicio de los derechos en protección de datos
  • Incumplimiento: régimen sancionador

Webinar especial sobre Gestión de riesgos de terceros:

  • Selección y gestión del riesgo de terceros: Gloria Rodríguez Mármol

Transferencias Internacionales de Datos

  • Concepto
  • Régimen general aplicable a las transferencias internacionales de datos
  • Instrumentos para las transferencias internacionales de datos

Parte II: Talleres sobre movimientos internacionales de datos 

Taller I. BCRs como ejemplo de garantía adecuada en las TID.  

  • Ponente: Cristina Sirera.

Taller II. TID a EEUU y Reino Unido

  • Ponentes: Eduardo Ustarán y Gonzálo Gállego.

 

 

Fechas clave del curso:

  • Webinar 1: Jueves 29/02/24 de 19:00 a 20:30
  • Webinar 2: jueves 7/03/24 de 19:00 a 20:30
  • Webinar 3: Jueves 14/03/24 de 19:00 a 20:30
  • Taller I: webinars el martes 2/04 y jueves 11/04 2024 de 19:00 a 20:30
  • Taller II: webinars el martes 16/03 de 19:00 a 20:30 y miércoles 24/03 2024 de 18:30 a 20:00
  • Cuestionario final: entre el 26/04 y el 28/04 2024

Objetivos académicos

  • Conocer los conceptos clave y el régimen jurídico aplicable a los movimientos nacionales de datos como a las transferencias internacionales de datos.
  • Aprender los requisitos que debe incluir un contrato de corresponsables del tratamiento o un contrato de externalización de servicios y los aplicables a una transferencia internacional de datos a partir de ejemplos prácticos.
  • Conocer los instrumentos existentes para las transferencias internacionales de datos, prestando especial atención al Comité Europeo de Protección de Datos, a las Decisiones de la Comisión Europea y el RGPD.
  • Conocer el significado y alcance del concepto de nivel adecuado y el origen de las garantías adecuadas aplicables a las transferencias internacionales de datos.
  • Atender a la aplicación práctica de instrumentos para las transferencias internacionales de datos en casos específicos, tales como las transferencias internacionales encargado a encargado del tratamiento.

Competencias

En la formación APEP siempre desarrollamos competencias a la vez que incorporamos conocimientos. El alumno que sigue el programa con aprovechamiento desarrollará las siguientes competencias específicas de la privacidad y la protección de datos:

  • C1      Conocimiento especializado de la legislación aplicable en materia de protección de datos.
  • C2      Capacidad para integrar la normativa de protección de datos en el conjunto del Ordenamiento Jurídico para adoptar soluciones sectoriales válidas.
  • C4      Ser capaz de definir el ámbito de aplicación de la legislación vigente, identificar tratamientos y flujos de información sujetos a la misma.
  • C5      Ser capaz de implementar los aspectos básicos para el cumplimiento del RGPD y de la LOPD: registro de actividades, elaborar políticas de privacidad, redactar contratos de prestación de servicios, aplicar los principios de privacidad desde el diseño y por defecto, establecer procedimientos de gestión de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento o portabilidad de los datos.
  • C10    Capacidad para informar al responsable o al encargado del tratamiento de las obligaciones que les incumben y documentar esta actividad.
  • C11    Capacidad para valorar prestaciones de servicios con acceso a datos personales y supervisar contratos de “encargado del tratamiento”.
  • C12    Ser capaz de verificar el grado de cumplimiento normativo en materia de privacidad de una organización.
  • C13    Capacidad para implementar modelos para cumplir con las obligaciones en materia de protección de datos (responsabilidad proactiva o accountability).
  • C15    Ser capaz de implementar modelos de gestión documental del cumplimiento de las obligaciones en materia de protección de datos (accountability).
  • C22    Capacidad para detectar la necesidad de realizar consulta a la autoridad de protección de datos competente, de asesorar e informar al responsable respecto de las mismas y de elaborar y gestionar las consultas.
  • C 36   Supervisión continuada del cumplimiento.
  • C 38   Capacidad para impulsar los procedimientos de formación y sensibilización, en particular en relación con las medidas y los procedimientos técnicos y organizativos.
  • C 43   Capacidad para asesorar y supervisar las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales y supervisar su aplicación.
  • C45    Capacidad para colaborar con profesionales de distintos perfiles para ofrecer soluciones de cumplimiento normativo.
  • C46    Ser capaz de auditar las necesidades de privacidad de una organización teniendo en cuenta el ordenamiento sectorial.
  • C51    Capacidad para aplicar un procedimiento de trabajo en el ámbito de la protección de datos personales.
  • C54    Conocimiento profundo de la legislación aplicable en materia de privacidad, incluyendo documentos elaborados por Autoridades de Control

Fechas del curso

Del 26/02 al 28/04 2024

Con una semana de descanso en Semana Santa (25/03 al 31/03)

Duración

8 semanas / 60 horas

Formato

100% Online

FUNDAE

Bonificable

Precios

450 € (asociados) 900 € (no asociados) IVA incluido

Lo que dicen nuestros alumnos

Muy útil para conocer los requisitos esenciales a considerar para regular las relaciones de los
intervinientes en los movimientos de datos, incluso en los internacionales, con ejemplos
prácticos. Esencial.

Excelente Maria Arias Pou. Muy profesional, gran trabajadora y gran comunicadora

El mejor curso que he hecho, y llevo unos cuantos. Maria es una formadora estupenda. Clases muy preparadas. Gracias

El curso me ha parecido muy interesante, el nivel del curso y de la docente son de gran calidad
y excelencia, he aprendido mucho sobre la materia. Un básico para cualquier profesional de la protección de datos.

Dos cursos en uno: relaciones de encargo y TID. El a, b, c que necesita todo DPO o profesional en ejercicio para poder ser operativo. Destaco los talleres prácticos que van cambiando cada año con invitados excelentes.

Encuesta del curso 2023

Profesores
María Arias Pou

María Arias Pou es doctora en Derecho y profesora en distintas universidades y centros de negocios nacionales e internacionales. Consultora en materia de protección de datos y comercio electrónico con más de 15 años de experiencia. Ha trabajado en proyectos para la empresa privada y para la Administración Pública.

Ha trabajado como consultor experto en protección de datos para el Banco Interamericano de Desarrollo, BID, en proyectos de desarrollo normativo y capacitación para la República de Panamá.

Actualmente ejerce como Delegado de protección de datos externo, está certificada como DPO Senior ECPP-DPO por APEP (2023-2026) y participa como investigadora en proyectos relacionados con las garantías de los derechos digitales en el ámbito laboral para la Universidad de Alcalá de Henares.

Autor de numerosas publicaciones relacionadas con la protección de datos y el comercio electrónico.

Vicepresidenta primera de APEP y responsable desde 2016 del desarrollo y ejecución del plan de formación de la Asociación.

Ha participado como vicepresidente en el Capítulo de la Asociación Internacional de Profesionales de Privacidad, IAPP, para Panamá, durante los años 2018 a 2020. Actualmente reside en Buenos Aires.

Linkedin

Profesores invitados
Eduardo Ustarán

Global co-head Privacy and Cybersecurity de la firma Hogan Lovells, Eduardo Ustaran, es ampliamente reconocido como uno de los principales abogados y líderes intelectuales del mundo en materia de privacidad y protección de datos. Con más de 25 años de experiencia, Eduardo asesora a multinacionales y gobiernos de todo el mundo en la adopción de estrategias y políticas de privacidad y ciberseguridad. Eduardo ha estado involucrado en el desarrollo del marco Europeo de protección de datos y fue destacado por Político en su ‘matriz de poder GDPR’ como la persona más preparada.

Reside en Londres donde lidera un equipo altamente dedicado a la asesoría en todos los aspectos de la ley de protección de datos. Desde cuestiones estratégicas relacionadas con los últimos desarrollos tecnológicos, como inteligencia artificial y dispositivos conectados, hasta la implementación de programas y mecanismos de cumplimiento de privacidad global para legitimar los flujos de datos internacionales.

Eduardo es el autor de The Future of Privacy (DataGuidance, 2013), un libro pionero en el que anticipa los elementos clave que las organizaciones y los profesionales de la privacidad deberán abordar para cumplir con el marco regulatorio del futuro.

Eduardo es cofundador y editor de Data Protection Leader, miembro del panel de profesionales de DataGuidance y ex miembro del Consejo de Administración de la IAPP. Eduardo es editor ejecutivo de European Data Protection Law and Practice (IAPP, 2018) y coautor de Data Protection: A Practical Guide to UK and EU Law (OUP, 2018), Beyond Data Protection (Springer, 2013), E- Privacidad y Online Data Protection (Tottel Publishing, 2007) y del Manual de protección de datos de la Law Society (2004). Eduardo ha dado conferencias en la Universidad de Cambridge sobre protección de datos como parte de su Master en Biociencias Empresariales y habla regularmente en conferencias internacionales.

Linkedin

Gloria Rodríguez Mármol

Gerente del área de Protección de Datos del Grupo Mutua Madrileña. Anteriormente, fue DPO del Grupo CEU. Es Doctora en Derecho por la Universidad Alfonso X el Sabio y posee el título de Máster en Protección de Datos de la USP CEU.

Es Doctora en Derecho por la Universidad Alfonso X el Sabio. Su tesis doctoral titulada “La protección de datos en centros educativos. Guía para superar sus principales retos y dificultades” obtuvo la calificación de Sobresaliente cum laude. Posee también el título de Máster Oficial Universitario en Protección de Datos, Transparencia y Acceso a la Información impartido por la Universidad CEU San Pablo y es licenciada en Derecho por la Universidad Complutense de Madrid.

Desde el año 2017 imparte docencia en el Máster Universitario en Protección de Datos, Transparencia y Acceso a la Información de la Universidad CEU San Pablo. Desde el año 2018 y hasta el 2021 fue profesora en el Programa Avanzado en DPO de CEU IAM Business School para la certificación de DPO.

Actualmente es Gerente del área de Protección de Datos del Grupo Mutua Madrileña. Anteriormente fue Delegada de Protección de Datos del Grupo CEU.

Linkedin

Gonzalo F. Gállego

Socio en Hogan Lovells Madrid en las áreas de Propiedad Intelectual, Medios y Tecnología. Jefe de la práctica de Tecnología de la Información, Medios y Protección de Datos.

Gonzalo F. tiene un amplio conocimiento en Protección de Datos/Privacidad, Ciberseguridad, Outsourcing, Derecho de las TIC, derechos de autor y propiedad intelectual comercial. Asesora sobre seguridad y brechas de datos, cumplimiento del GDPR, evaluaciones de impacto de protección de datos (PIAs) y evaluaciones de impacto relativas a la protección de datos (DPIAs), minería de datos y Big Data, planes de gobernanza de datos, BCRs, investigaciones internacionales/eDiscovery, tratos en la nube, investigaciones por supervisores de protección de datos y litigios en este campo.

Gonzalo también asesora sobre transacciones de outsourcing; contratos de TI y software; firmas electrónicas; telecomunicaciones; licenciamiento y distribución de derechos de autor (obras audiovisuales, música, videojuegos, etc.); comercio electrónico; nombres de dominio y problemas legales relacionados con Internet, derechos de la personalidad y publicidad.

Realiza contribuciones regulares a publicaciones especializadas y libros sobre protección de datos y Derecho de las TIC, y también es un orador habitual en seminarios y conferencias sobre estos temas. Ha liderado el asesoramiento en algunos de los asuntos más sofisticados de protección de datos y Derecho de las TIC en España, como grandes investigaciones de la Agencia Española de Protección de Datos (AEPD) (incluyendo litigios contra la AEPD ante los tribunales), algunos de los mayores Outsourcings multinacionales de TI ejecutados en España, así como brechas de datos y la redacción de varias leyes que regulan el Derecho de las TIC, las firmas electrónicas y la privacidad en la República Dominicana.

Linkedin

Cristina Sirera

Abogada con 19 años de experiencia profesional en ambientes legales diversificados relacionados con derechos regulados, cumplimiento, software, protección de datos y seguridad en un entorno multilingüe.

Responsable del Área Legal de HRAS Iberia en un entorno internacional, gestionando y negociando Licencias de Software, Servicios, Educación, Acuerdos de Outsourcing y Licitaciones Públicas, así como todos los asuntos legales de la empresa, proporcionando asesoramiento legal y de cumplimiento.

Responsabilidad directa en la gestión de asuntos de protección de datos y cumplimiento en EMEA y responsable de planificar, gestionar, auditar e implementar las Reglas Corporativas Vinculantes de HRAS en todas las empresas de HRAS ubicadas en Europa y África.

Consejera Legal EMEA gestionando todo el ciclo contractual desde la redacción hasta las negociaciones finales de Licencias de Software, Servicios y Acuerdos de Educación en la región de Iberia, Europa del Norte y Sudamérica en Siebel Systems y Oracle. Experta en Iberia y Europa para acuerdos públicos, logrando la homologación de Siebel Ireland como proveedor oficial de servicios de software para licitaciones públicas en toda Europa. Responsabilidad directa en el asesoramiento legal y fiscal en alimentos multinacionales y derechos regulados trabajando con personal internacional. Director y docente en programas especializados en protección de datos en varias universidades y escuelas de negocio. Miembro de APEP, IAB España y ISACA. Certificado como Profesional de Privacidad de la Información / Europa por IAPP.

Linkedin

Antonio Ramos

Antonio Ramos es Licenciado en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid y Máster en Auditoría de Cuentas por la Universidad Pontificia de Salamanca, Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) y Certified in Risk and Information System Control (CRISC) por ISACA, Certificate of Cloud Security Knowledege (CCSK) por CSA – Cloud Security Alliance, Certified Data Privacy Professional (CDPP) por el DPI – Data Privacy Institute, ITIL Service Manager, COBIT 5 Foundation / Implementation / Assessor / Trainer por APMG Internacional.

En la actualidad es Socio Director de n+1 Intelligence and Research y CEO de leet security, además de VicePresidente de ISACA Madrid e integrante de la Lista de Expertos de ENISA. Comenzó su carrera profesional como Auditor Informático en EY llegando a ser responsable del área Information Security Management del departamento de gestión de riesgos informáticos (TSRS). Continuó en S21sec, empresa especializada en seguridad de la información como Director de la unidad de Consultoría y Auditoría Informática, ocupando posteriormente la responsabilidad del área de servicios gestionados de seguridad (UMSS) y participando en la puesta en marcha de su CERT y en la definición de la estrategia para la protección de infraestructuras críticas y la creación de equipos de respuesta a incidencias.

Especialista en gestión de la seguridad de la información conforme a estándares internacionales (COBIT, ITIL, ISO 27001…), actualmente se ha especializado en la consultoría estratégica y buen gobierno de seguridad. Adicionalmente, está homologado como auditor por ASIMELEC para la certificación de prestadores de servicios de certificación y ha estado homologado por PCI Security Standards Council para la realización de auditorías de su estándar Payment Card Industry – Data Security entre 2005 y 2010.

Profesor y colaborador en diferentes programas e instituciones como el Instituto de Empresa, ISMS Forum Spain, la Universidad de Alcalá de Henares, la Universidad Autónoma de Madrid y APEP.

Linkedin

Javier Aparicio

Javier Aparicio cuenta con más de 20 años de experiencia asesorando y representando a entidades e instituciones en el ámbito de la protección de datos, con alta especialización en sector financiero.

Es Abogado del Estado en excedencia. Fue Jefe del Gabinete jurídico de la Agencia Española de Protección de Datos y socio responsable del departamento de protección de Datos y Nuevas Tecnologías de Cuatrecasas, Durante 15 años. Javier es Socio en finReg desde enero de 2017.

Durante su carrera profesional podríamos destacar que Javier: (i) representó a España en el grupo del artículo 29 de la Directiva de PD en la Comisión Europea, (ii) fue parte del equipo redactor de la Ley Orgánica de Protección de Datos en el Congreso de los Diputados, (iv) abogado de Google en el caso del buscador frente a la AEPD.  Abogado de reconocido prestigio y recomendado por los directorios de abogados internacionales, Chambers & Partners y Best Lawyers.

Linkedin

Maria Alcolea
Volver arriba