Curso online de Nuevo Reglamento General de Protección de Datos bonificado

💻 Software

• Navegador web actualizado (Chrome, Firefox, Edge) — gratuito
• Lector de PDF (el visor del navegador es suficiente) — gratuito
• Editor de texto básico para tomar notas (Bloc de notas, Gedit, etc.) — gratuito
• Acceso a aepd.es para consultar guías y modelos oficiales — gratuito

?️ Hardware

• Cualquier PC o portátil de los últimos 6-7 años
• 4 GB de RAM son más que suficientes
• Conexión a internet estable para acceder al campus y documentación oficial

🔑 Cuentas y accesos

• No se requiere ninguna cuenta de pago ni suscripción externa
• Acceso libre a aepd.es, edpb.europa.eu y boe.es para consultar normativa

📚 Conocimientos previos

• No se exigen conocimientos técnicos ni jurídicos previos
• Saber leer documentos normativos en español es suficiente
• Útil (no obligatorio) haber gestionado datos de clientes o empleados en algún puesto de trabajo

Cada unidad del curso incluye casos prácticos sobre situaciones reales que cualquier organización puede enfrentar. Estos son los ejercicios representativos que trabajarás:

1. Auditoría de bases legitimadoras en una empresa tipo — analiza un conjunto de tratamientos ficticios y determina qué base legal (consentimiento, contrato, interés legítimo…) aplica a cada uno. Caso de uso: responsable de RRHH que revisa si los datos de candidatos están bien justificados.
2. Redacción de cláusulas informativas y avisos de privacidad — elabora textos de información en dos capas para una web de comercio electrónico y para un formulario de contacto. Caso de uso: administrativo o consultor que actualiza documentación legal.
3. Análisis de la necesidad de Evaluación de Impacto (EIPD) — a partir de un supuesto de videovigilancia y otro de perfilado de clientes, decides si es obligatorio realizar EIPD y redactas el esquema inicial. Caso de uso: DPO o mando intermedio de una empresa mediana.
4. Simulacro de notificación de brecha de seguridad a la AEPD — con un escenario de robo de portátil con datos de empleados, cumplimentas el modelo de notificación respetando el plazo de 72 horas. Caso de uso: técnico IT o responsable de seguridad ante un incidente real.
5. Borrador de contrato con encargado del tratamiento — redactas las cláusulas mínimas exigidas por el artículo 28 RGPD para un proveedor de servicios en la nube. Caso de uso: asesor legal o director de compras al contratar un SaaS.
6. Mapa de tratamientos y Registro de Actividades (RAT) — construyes una tabla de actividades de tratamiento para una clínica dental ficticia, incluyendo finalidad, categorías, plazos de conservación y medidas de seguridad. Caso de uso: cualquier profesional que deba mantener el RAT actualizado.

Estos son los errores más frecuentes al aplicar el RGPD en organizaciones reales. Conocerlos de antemano te ahorrará tiempo y, sobre todo, sanciones.

• Usar el consentimiento como base legal para todo. Muchos tratamientos tienen una base más adecuada (contrato, interés legítimo, obligación legal). Forzar el consentimiento donde no es necesario complica la gestión y puede invalidar el tratamiento.
• Registro de Actividades de Tratamiento (RAT) incompleto o desactualizado. Es obligatorio para organizaciones de más de 250 empleados y también en muchos casos con menos. Dejarlo en borrador sin revisar periódicamente es un riesgo directo en cualquier inspección.
• No notificar brechas de seguridad en el plazo de 72 horas. Las empresas suelen tardar días en escalar el incidente internamente. El reloj corre desde que la organización tiene conocimiento, no desde que el técnico lo documenta.
• Avisos de privacidad que no cumplen el deber de información. Textos genéricos copiados de otras webs, que no mencionan la base legal, los plazos de conservación o los derechos del interesado de forma clara y accesible.
• Contratos con encargados del tratamiento inexistentes o incompletos. Contratar un proveedor de cloud, nóminas o CRM sin firmar el acuerdo del artículo 28 RGPD es un incumplimiento habitual y fácilmente detectable.
• Realizar tratamientos de alto riesgo sin Evaluación de Impacto (EIPD). Videovigilancia masiva, perfilado de empleados o uso de datos de salud sin evaluar previamente los riesgos viola directamente el artículo 35 RGPD.
• Ignorar los derechos ARCO-POL en los plazos legales. Las solicitudes de acceso, rectificación, cancelación u oposición deben responderse en un mes. Dejarlas sin contestar o responder fuera de plazo genera reclamaciones a la AEPD.
• Designar un DPO sin la cualificación ni la independencia requeridas. Nombrar a alguien del departamento jurídico o IT sin formación específica, o con conflicto de interés (p. ej., también es responsable del tratamiento), no cumple el estándar del RGPD.
• Transferencias internacionales de datos sin garantías adecuadas. Usar herramientas SaaS con servidores fuera del EEE (EE.UU., India…) sin comprobar si existen cláusulas contractuales tipo o decisión de adecuación vigente.

Estos recursos gratuitos complementan el curso y te serán útiles tanto durante el aprendizaje como en tu trabajo diario con el RGPD.

⚖️ Normativa y guías oficiales

• aepd.es — Agencia Española de Protección de Datos: guías prácticas, modelos de cláusulas, herramienta FACILITA para pymes y canal de consultas. Es tu referencia principal en España.
• edpb.europa.eu — Comité Europeo de Protección de Datos: directrices, opiniones y resoluciones vinculantes a nivel europeo.
• boe.es — texto consolidado del RGPD (Reglamento UE 2016/679) y de la LOPDGDD (LO 3/2018) disponibles en abierto.

?️ Herramientas gratuitas de la AEPD

• FACILITA RGPD — herramienta online de la AEPD para que pymes y autónomos generen su registro de actividades y cláusulas básicas sin conocimientos jurídicos avanzados.
• GESTIONA — herramienta de la AEPD para gestionar solicitudes de derechos de los interesados (acceso, rectificación, etc.).
• Evaluación de impacto (EIPD) — guía de la AEPD con metodología paso a paso y plantillas descargables en aepd.es.

📖 Documentación de referencia rápida

• Listado de tratamientos que requieren EIPD publicado por la AEPD — imprescindible para saber cuándo es obligatoria la evaluación de impacto.
• Directrices del EDPB sobre notificación de brechas — explica con ejemplos cuándo notificar a la autoridad y cuándo también al interesado.
• Cláusulas contractuales tipo de la Comisión Europea — para transferencias internacionales de datos, disponibles en el registro oficial de la UE.

👥 Comunidades y foros

• r/gdpr en Reddit — comunidad activa en inglés con casos reales, dudas de implementación y noticias regulatorias.
• LinkedIn grupos RGPD España — grupos de profesionales DPO y compliance donde se comparten resoluciones recientes de la AEPD.
• ISMS Forum Spain (ismsforum.es) — asociación española que publica recursos gratuitos sobre seguridad de la información y cumplimiento normativo.

⌨️ Atajos conceptuales para no perderte

• Bases legales del art. 6 RGPD: consentimiento, contrato, obligación legal, interés vital, misión pública, interés legítimo. Memoriza las siglas CCOLMI para no confundirlas.
• Derechos ARCO-POL: Acceso, Rectificación, Cancelación/Supresión, Oposición — más Portabilidad, Olvido y Limitación del tratamiento.
• Plazo 72 h para notificar brechas a la AEPD — y sin dilación indebida al interesado si el riesgo es alto.