Curso online de Delegado de protección de datos bonificado

💻 Software

• Navegador moderno: Firefox, Chrome o Edge actualizados — para consultar documentación oficial AEPD, EDPB y material del curso.
• Lector de PDF: cualquiera vale (el propio navegador es suficiente) — para textos normativos y plantillas.
• Editor de texto o procesador: LibreOffice Writer (gratis) o Microsoft Word — para redactar políticas, cláusulas y registros de actividades de tratamiento.
• Hoja de cálculo: LibreOffice Calc (gratis) o Excel — para registros RAT y matrices de riesgo.

?️ Hardware

• Cualquier PC o portátil de los últimos 6-7 años con 4 GB de RAM es más que suficiente.
• Conexión a internet estable para acceder a portales oficiales (aepd.es, edpb.europa.eu).
• No se necesita ningún equipo especializado ni servidor.

🔑 Cuentas y accesos

• Sin cuentas de pago obligatorias. Toda la normativa (RGPD, LOPDGDD, LO 7/2021) es de acceso público gratuito en el BOE y EUR-Lex.
• Las guías y listas de verificación de la AEPD son 100% gratuitas en aepd.es.

📚 Conocimientos previos

• No se requiere formación jurídica previa ni experiencia en IT.
• Útil (no obligatorio): haber trabajado en entornos empresariales donde se manejen datos de clientes o empleados.
• Saber redactar documentos en un procesador de texto es suficiente.

Estos son los ejercicios prácticos que trabajarás durante el curso, orientados a situaciones reales que afrontará un DPD o un responsable de cumplimiento en cualquier organización.

1. Registro de Actividades de Tratamiento (RAT) completo: elabora el RAT de una empresa ficticia de 30 empleados con clientes, nóminas y videovigilancia — el documento que el RGPD exige tener actualizado y disponible para la AEPD.
2. Política de privacidad y cláusulas informativas por capas: redacta la política de privacidad de un e-commerce y sus textos de captación de datos (formulario web, contrato, email), aplicando el principio de transparencia y la información en dos capas.
3. Contrato de encargado del tratamiento: elabora el clausulado mínimo exigido por el RGPD para el contrato con un proveedor SaaS que accede a datos personales — caso real habitual con CRMs o herramientas de RRHH en la nube.
4. Evaluación de Impacto (EIPD): realiza una EIPD simplificada para un tratamiento de alto riesgo (sistema de control horario biométrico) siguiendo la metodología y plantilla oficial de la AEPD.
5. Protocolo de gestión de brechas de seguridad: diseña el procedimiento interno de detección, contención y notificación a la AEPD en 72 horas ante una brecha de datos, con formulario de registro del incidente.
6. Respuesta a solicitudes de derechos ARCO-POL: gestiona tres casos prácticos de ejercicio de derechos (acceso, rectificación y supresión) por parte de un interesado, redactando las respuestas y controlando plazos legales.

Estos son los fallos más frecuentes que cometen quienes empiezan a gestionar la protección de datos en una organización — evitarlos puede marcar la diferencia entre cumplir y recibir una sanción.

• Pedir consentimiento cuando existe otra base legal más adecuada: usar el consentimiento como base legal para tratar datos de empleados cuando la base correcta es la ejecución del contrato laboral. El consentimiento no es libre si hay una relación de dependencia.
• Registro de Actividades de Tratamiento incompleto o desactualizado: crear el RAT una vez y no revisarlo cuando cambian los sistemas, los proveedores o las finalidades de tratamiento. La AEPD puede pedirlo en cualquier momento.
• No firmar contrato de encargado del tratamiento con proveedores SaaS: contratar herramientas cloud (CRM, nóminas, correo corporativo) sin formalizar el contrato exigido por el artículo 28 del RGPD.
• Superar el plazo de 72 horas para notificar brechas: no tener un protocolo interno activo hace que se pierda tiempo valioso investigando antes de notificar, incumpliendo el plazo legal.
• Política de privacidad genérica copiada de internet: usar textos estándar que no reflejan los tratamientos reales de la organización. Si hay videovigilancia, datos de menores o transferencias internacionales, deben mencionarse explícitamente.
• No realizar EIPD en tratamientos de alto riesgo: implantar sistemas biométricos, de geolocalización o de perfilado sin evaluar previamente el impacto, cuando el RGPD lo exige obligatoriamente.
• Confundir anonimización con seudonimización: tratar datos seudonimizados como si estuvieran fuera del ámbito del RGPD cuando siguen siendo datos personales si se puede reidentificar al interesado.
• No atender solicitudes de derechos en plazo: ignorar o responder tarde (más de un mes) a solicitudes de acceso, rectificación o supresión, lo que puede derivar en reclamación directa ante la AEPD.
• Transferencias internacionales sin garantías: usar proveedores fuera del Espacio Económico Europeo (por ejemplo, en EE.UU.) sin verificar si existe decisión de adecuación o cláusulas contractuales tipo vigentes.

Recursos gratuitos y herramientas que te acompañarán durante el curso y en tu día a día como DPD o responsable de cumplimiento.

⚖️ Normativa y guías oficiales

• aepd.es: sede oficial de la Agencia Española de Protección de Datos — guías prácticas, listas de verificación, plantillas de RAT y EIPD, resoluciones y criterios de la autoridad.
• edpb.europa.eu: directrices del Comité Europeo de Protección de Datos (EDPB) — interpretaciones vinculantes del RGPD, incluidas las guías sobre consentimiento, brechas y transferencias internacionales.
• eur-lex.europa.eu: texto oficial del RGPD (Reglamento UE 2016/679) y sus considerandos completos.
• boe.es: texto de la LOPDGDD (LO 3/2018) y la LO 7/2021 en castellano, acceso gratuito.

?️ Plantillas y herramientas gratuitas

• Facilita RGPD (AEPD): herramienta online gratuita de la AEPD para pymes y autónomos — genera el RAT, identifica obligaciones y produce documentación básica adaptada al tamaño de la organización.
• Gestiona EIPD (AEPD): herramienta oficial gratuita para realizar evaluaciones de impacto paso a paso siguiendo la metodología de la propia autoridad.
• LibreOffice Writer y Calc: para redactar políticas, contratos y registros sin coste.

📑 Referencias y consulta rápida

• EUR-Lex considerandos del RGPD: los 173 considerandos del reglamento son clave para interpretar correctamente los artículos — están disponibles en el mismo texto oficial.
• Resoluciones AEPD: consulta expedientes sancionadores resueltos en aepd.es para entender qué criterios aplica la autoridad en casos reales.
• CNIL (cnil.fr): la autoridad francesa publica guías técnicas muy detalladas (seudonimización, cookies, IA) compatibles con el RGPD y disponibles en inglés y francés.

👥 Comunidades y foros profesionales

• r/gdpr (Reddit): foro activo en inglés donde profesionales de toda Europa debaten casos reales, interpretaciones y novedades normativas.
• LinkedIn — grupos DPD España: comunidades de delegados de protección de datos en activo donde se comparten criterios, resoluciones y convocatorias de formación continua.
• APEP (Asociación Profesional Española de Privacidad): referente sectorial con publicaciones, jornadas y actualización normativa para DPDs en España.