Módulo teórico
(3 semanas)

• Unidad 1.Introducción y fundamentos del proceso de gestión de riesgos y de las evaluaciones de impacto. Régimen jurídico.
• Unidad 2.Aspectos preparatorios y organizativos del proceso de gestión de riesgos. Alto riesgo y valoración de si existe la obligación de incluir la EIPD en el proceso de gestión de riesgos; la detección de los tratamientos de alto riesgo.
• Unidad 3.La capacidad de cumplir con la normativa de protección de datos. La descripción de las operaciones de tratamiento. Concretar los objetivos y finalidades del tratamiento, y las bases de licitud. Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento.
• Unidad 4.Gestión del riego: identificación, análisis, valoración y tratamiento del riesgo. Informe de gestión de riesgos. La consulta previa a la autoridad de control. La implementación y supervisión de las medidas previstas en el plan de acción para la mitigación del riesgo.

Cuestionario de conocimientos

Módulo práctico
(7 semanas)

En este módulo práctico los alumnos tendrán que llevar a cabo el proceso de gestión de riesgos y evaluación de impacto de un tratamiento de datos personales concreto.

• Actividad 1 (semana 1): Valorar si procede la realización de la evaluación de impacto.
• Actividad 2 (semana 2): Verificación del cumplimiento normativo.
• Actividad 3 (semana 3): Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento y descripción sistemática del tratamiento objeto de EIPD.
• Actividad 4 (semanas 4 y 5): Evaluación del nivel de riesgo de las operaciones de tratamiento previstas.
• Actividad 5 (semanas 6 y 7): Elaboración del informe de evaluación de impacto y plan de acción.

Los alumnos dispondrán de materiales de apoyo para llevar a cabo el proceso de gestión de riesgos y de evaluación de impacto.

Metodología del Curso
Este curso se imparte en modalidad 100% online, lo que permite a los participantes avanzar desde cualquier lugar y en el horario que mejor se adapte a sus necesidades.

Seguimiento semanal

Cada semana se habilitan nuevos contenidos y actividades, organizados para facilitar un aprendizaje progresivo y autónomo. Los estudiantes pueden gestionar su tiempo dentro de los plazos establecidos, manteniendo un ritmo constante.

Sesiones de tutoría
7 sesiones webinar “video tutorías” en directo donde se expondrán los temas clave, se explicarán los casos prácticos, se resolverán dudas y se fomentará la interacción directa con el equipo docente y otros participantes.

Foro de consultas y participación
La plataforma incluye un foro activo donde los estudiantes pueden plantear preguntas, compartir reflexiones y colaborar con sus compañeros.

Materiales de estudio y actividades prácticas

Manual de estudio y consulta, que constituye el principal material de estudio del alumno

La documentación complementaria relacionada con la gestión de riesgos y evaluaciones de impacto

Evaluaciones con fecha límite
Algunas actividades y pruebas de evaluación tienen tiempo y fecha límite para su realización. Es responsabilidad del estudiante revisar el calendario del curso y cumplir con los plazos establecidos para cada actividad evaluativa.

Trabajo en grupo

El trabajo en grupo sobre un supuesto práctico específico, a desarrollar durante el módulo práctico.

Simulación real

El programa se estructura en dos módulos —teórico y práctico— interconectados, que combinan el estudio normativo con la aplicación de una metodología operativa de gestión de riesgos.

• El módulo teórico proporciona a los alumnos una base sólida para llevar a cabo el proceso de gestión de riesgos y evaluaciones de impacto, para ello se usarán diversos recursos formativos, con el necesario acompañamiento de un docente con el que resolver dudas y cuestiones complejas.
• El módulo práctico facilita a los alumnos un método de trabajo que les permita llevar a cabo el proceso de gestión de riesgos y evaluaciones de impacto desde una perspectiva profesional, de modo que en base a un único supuesto práctico, se realizarán todas y cada una de las actividades necesarias para gestionar el riesgo del tratamiento planteado, incluyendo los requisitos derivados de la evaluación de impacto.

Sesiones webinar en directo

• 14/05/2025 de 18:30 a 19:30h CET peninsular.
• 21/05/2025 de 18:30 a 19:30h CET peninsular.
• 02/06/2025 de 18.30h a 19.30h CET peninsular.
• 09/06/2025 de 18.30h a 19.30h CET peninsular.
• 16/06/2025 de 18.30h a 19.30h CET peninsular.
• 30/06/2025 de 18.30h a 19.30h CET peninsular.
• 14/07/2025 de 18.30h a 19.30h CET peninsular.

Todos los webinars serán grabados para facilitar el seguimiento.

Cuestionarios de conocimientos (1)

• Test de Conocimientos Módulo teórico: entre el 02/6/2025 y el 08/06/2025

El curso está dirigido a Delegados y Responsables de Protección de Datos, profesionales de cumplimiento, auditores, consultores y expertos en seguridad de la información que necesiten profundizar en la gestión de riesgos y evaluaciones de impacto (EIPD) conforme al RGPD y las directrices de la AEPD. También resulta de interés para organizaciones que utilicen tecnologías avanzadas o datos sensibles, donde la gestión del riesgo es clave para garantizar la protección de los derechos fundamentales.

• Delegados de Protección de Datos (DPO).
• Responsables de Cumplimiento Normativo o Auditoría Interna.
• Consultores de protección de datos.
• Profesionales de Seguridad de la Información
• CISO, responsables de ciberseguridad o gestores de riesgos tecnológicos.
• Técnicos responsables de SGSI o ENS.
• Auditores y Consultores Tecnológicos
• Profesionales que deseen ampliar su ámbito de auditoría hacia la protección de datos.
• Profesionales del Sector Público y Regulado
• Responsables de cumplimiento y seguridad en administraciones públicas o entidades sujetas al ENS.
• Abogados, asesores legales o responsables de procesos que gestionen información sensible.
• Responsables de proyectos de digitalización o inteligencia artificial.

Por lo que respecta a la obligación de gestionar los riesgos de los tratamientos, incluyendo en su caso las evaluaciones de impacto relativas a los datos personales (EIPD), la normativa parte de unos requisitos mínimos que deben cumplirse, pero no concreta cómo actuar para cumplir con esas obligaciones; los contenidos del curso están orientados a proporcionar la necesaria base de conocimientos teóricos y jurídicos para hacer llevar a cabo la gestión de los riesgos que, de manera inherente, implica el hecho de tratar datos personales, y en su caso, cuando ese riesgo se considere alto, reforzar la gestión de riesgos de las operaciones de tratamiento añadiendo los requisitos que la regulación prevé para las EIPD; asimismo, el curso propone poner en práctica una metodología o método de trabajo que permita a los alumnos afrontar el proceso de gestión de riesgos de los tratamientos de datos personales.

El curso se ha estructurado en 2 módulos diferenciados (teórico y práctico) y obviamente conectados, aunque independientes entre sí en cuanto a su realización, si bien para abordar adecuadamente el módulo práctico el alumno debe asegurarse de que dispone de un conocimiento completo de los aspectos teóricos, ya que estos en ningún caso serán abordados por parte de los docentes del segundo módulo, que se centrarán exclusivamente en la parte práctica, a fin de aprovecharla al máximo.

Al final del módulo teórico se incluye una prueba de evaluación tipo test, a los efectos de que los alumnos puedan valorar su nivel de adquisición de conocimientos teóricos; el curso se plantea como una formación avanzada, por lo que el alumno además debe contar también con una base adecuada en lo que respecta al conocimiento de la normativa de protección de datos personales.

Los nuevos tratamientos de datos de carácter personal cada vez son más complejos, sea por el uso de tecnologías emergentes o por el uso de datos sensibles, o por el hecho de que los tratamientos cada vez exponen a mayores riesgos a las personas, por ejemplo, entre otras, el uso de tecnologías de reconocimiento facial, combinadas con la inteligencia artificial, son cuestiones sobre la que las autoridades europeas han puesto su atención ya que su uso se está generalizando y, por supuesto, en tales tratamientos la gestión de riesgos debe incluir aquello que las evaluaciones de impacto añaden al mismo, en este sentido también se abordan de manera complementaria cuestiones relacionadas con la evaluación de impacto en los derechos

fundamentales (FRIA), prevista en el Reglamento de Inteligencia Artificial, a fin de conectarla con las evaluaciones de imapcto del RGPD.

El contenido del curso incopora principalmente las directrices y criterios la guía de “Gestión del riesgo y evaluación de impacto en tratamientos de datos personales”  de la Agencia Española de Protección de Datos (junio 2021), que sustituyó y unificó 2 guías anteriores sobre riesgos y evaluaciones de impacto, con un importante reenfoque en lo que supone la gestión de los riesgos de los tratamientos, en tanto se parte de la base de que todos los tratamientos deben ser objeto de gestión de riesgos y que, en algunos casos esa gestión de los riesgos implica añadirle una evaluación de impacto, con una clara intención de superar la idea de que solo es importante gestionar los riesgos cuando se analizan tratamientos de alto riesgo..

En la formación APEP·IA siempre desarrollamos competencias a la vez que incorporamos conocimientos. El alumno que sigue el programa con aprovechamiento desarrollará las siguientes competencias específicas de la privacidad y la protección de datos:

• Capacidad para analizar procesos de implementación del cumplimiento de las normas sobre protección de datos y otras normas sectoriales conexas.
• Capacidad para gestionar y supervisar la creación y mantenimiento del registro de actividades de tratamiento.
• Capacidad para identificar tratamientos y flujos de información sujetos a la legislación y diseñar proyectos de adecuación.
• Capacidad para evaluar la proporcionalidad, legalidad y viabilidad de los tratamientos de datos personales conforme a la legalidad vigente.
• Capacidad para informar al responsable o al encargado del tratamiento de las obligaciones que les incumben y documentar esta actividad.
• Capacidad para valorar prestaciones de servicios con acceso a datos personales y supervisar contratos de “encargado del tratamiento”.
• Capacidad para implementar modelos para cumplir con las obligaciones en materia de protección de datos (responsabilidad proactiva o accountability).
• Ser capaz de aplicar metodologías de protección de datos desde el diseño y protección de datos por defecto.
• Ser capaz de implementar modelos de gestión documental del cumplimiento de las obligaciones en materia de protección de datos (accountability).
• Capacidad para aplicar los principios de la evaluación de impacto de protección de datos.
• Capacidad para gestionar el diseño de procesos de recogida y tratamiento de datos personales en cualquier circunstancia (entrevista, formulario, formulario online, o proveniente de terceros).
• Capacidad para aplicar un procedimiento de trabajo en el ámbito de la protección de datos personales.
• Capacidad para detectar la necesidad de realizar consulta a la autoridad de protección de datos competente, de asesorar e informar al responsable respecto de las mismas y de elaborar y gestionar las consultas.
• Conocimiento de metodologías de análisis y gestión del riesgo, verificando las necesidades de seguridad en función del conjunto de amenazas que hay que considerar por su impacto en la protección de datos.
• Ser capaz de implementar los requerimientos de seguridad exigibles, realizar evaluaciones de impacto relativas a la protección de datos, gestionar violaciones de la seguridad de los datos.
• Capacidad para proponer metodologías de protección de datos desde el diseño y por defecto y, metodologías de análisis de impacto en la protección de datos en el desarrollo e implementación de proyectos.
• Conocimiento profundo de la legislación aplicable en materia de privacidad, incluyendo documentos elaborados por Autoridades de Control