European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

¿Qué es una declaración de privacidad?

En caso de recogida directa de datos personales de las personas afectadas, las organizaciones deberán facilitar información sobre las operaciones de tratamiento de forma concisa y transparente, utilizando un lenguaje comprensible, fácilmente accesible, claro y sencillo. Esto puede hacerse por escrito (por ejemplo, en el reverso de una oferta) o por medios electrónicos (por ejemplo, en un sitio web). Si la persona en cuestión así lo solicita, también puede proporcionar esta información oralmente, pero debe poder demostrarlo posteriormente.

Incluso cuando los datos se recopilaron indirectamente, es decir, si usted no recopila directamente los datos personales de un individuo, sino, por ejemplo, a través de un tercero, debe proporcionar la misma información detallada a las personas físicas.

¿Cómo respondo a una solicitud de supresión?

Las personas físicas tienen derecho a solicitar la supresión de los datos personales que les conciernen y, en tal caso, el responsable del tratamiento tiene la obligación de suprimir los datos personales. Debes responder sin demora indebida y a más tardar en el plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse otros dos meses si la solicitud es demasiado compleja y se necesita más tiempo para dar cumplimiento a la solicitud, siempre que se informe a la persona en el plazo de un mes a partir de la recepción de la solicitud.

Es importante señalar que el derecho de supresión no es absoluto. No se aplica cuando los datos en cuestión son necesarios para:

  • ejercer el derecho a la libertad de expresión e información (por ejemplo, con fines periodísticos);
  • el cumplimiento de una obligación legal que requiera el tratamiento de datos personales (por ejemplo, el tratamiento de registros sobre las horas de trabajo de los empleados);
  • razones de interés público en el ámbito de la salud pública
  • fines de archivo de interés público o de investigación científica o histórica o fines estadísticos; y
  • el establecimiento, ejercicio o defensa de reclamaciones.

Cuando los datos personales que se van a borrar hayan sido transferidos previamente a otras organizaciones, debes informar a estos destinatarios de que la persona ha solicitado la supresión, a menos que esto resulte imposible o requiera esfuerzos desproporcionados.

Más información:

Can a Data Protection Authority (DPA) challenge an Art. 65 GDPR decision by the EDPB?

As addressees of the EDPB decisions, the relevant Data Protection Authorities (DPAs) that wish to challenge these decisions can bring an action for annulment before the European Court of Justice (CJEU) within two months of being notified.

¿Puedo grabar conversaciones telefónicas con los clientes para mejorar la calidad del servicio y necesito consentimiento para ello?

Sí, sus clientes deben ser informados, cuando hagan una llamada telefónica, de los fines de la grabación, de los destinatarios de las grabaciones, de su derecho de oposición y de su derecho de acceso a las grabaciones.

Más información:

I wish to lodge a complaint with a data protection authority (DPA), which authority should I contact?

Under the GDPR, you have the right to lodge a complaint with the Data Protection Authority (DPA) in the country of:

  • your habitual residence;
  • your place of work; or
  • the place where the alleged infringement took place.

Find the contact details for all EEA DPAs

Related questions
Who is data controller and who is data processor?

Can I lodge a complaint with the EDPB?

No. The EDPB does not handle complaints or conduct investigations. If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. Find the contact details for all EEA DPAs 

In which cases is the dispute resolution mechanism of Art. 65.1 (c) GDPR triggered?

While Art. 65 (a) and (b) relate to the one-stop-mechanism, Art.65.1 (c) GDPR concerns obligations of Data Protection Authorities (DPAs) stemming from the consistency mechanism.

More specifically, every competent DPA has the duty to request an opinion from the EDPB before adopting national measures pursuant to article 64.1 GDPR. Such measures include lists of processing operations for which a Data Protection Impact Assessment (DPIA) is required, or the approval of a new set of standard clauses. In addition, under Art. 64.2 GDPR, any SA may also request an EDPB consistency opinion on any matter of general application or producing effects in more than one Member State.

If an DPA does not request the opinion of the EDPB for the cases listed under Art. 64.1 GDPR or does not follow the EDPB opinion issued under Art. 64 GDPR, any DPA and the European Commission can launch the dispute resolution procedure of Art. 65.1 (c) GDPR about the matter.

How does cross-border cooperation work under the GDPR?

The General Data Protection Regulation (GDPR) requires the Data Protection Authority (DPA) of the European Economic Area (EEA) to cooperate closely - under the umbrella of the European Data Protection Board (EDPB) - to ensure the consistent application of the GDPR and the protection of individuals’ data protection rights across the EEA. One of their tasks is to coordinate decision-making in cross-border data processing cases.
A processing is cross-border when:

  • data processing takes place in more than one country;
  • or it substantially affects or it is likely to substantially affect individuals in more than one country.

Under the so-called one-stop-shop mechanism Art. 60 GDPR, the Lead Supervisory Authority (LSA) acts as the main point of contact for the controller or processor for a given processing, while the Concerned Supervisory Authorities (CSAs) act as the main point of contact for individuals in the territory of their Member State. The LSA is the authority in charge of leading the cooperation process. It will share relevant information with the CSAs, carry out the investigations, prepare the draft decision relating to the case, and cooperate with the other CSAs in an endeavour to reach consensus on this draft decision.

What is the EDPS?

The European Data Protection Supervisor (EDPS) is the European Union’s (EU) independent data protection authority.

The EDPS is responsible for monitoring the processing of personal data by the EU institutions, bodies, offices and agencies (EUIs) as well as providing advice on policies and legislation that affect privacy and cooperating with similar authorities to ensure consistent data protection.

For more information visit the EDPS website.

¿Qué significa el tratamiento de datos personales?

Por tratamiento de datos personales se entiende cualquier de actividad (operación de tratamiento) realizada sobre los datos personales de las personas físicas. Esto incluye la recogida, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, investigación, uso, revelación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, supresión o destrucción de datos personales.

¿Es posible tratar datos sensibles?

No, el tratamiento de datos sensibles está generalmente prohibido, excepto en circunstancias muy específicas:

  • La persona ha dado su consentimiento explícito para que sus datos sensibles sean tratados.
  • El tratamiento de datos sensibles es necesario para que el responsable del tratamiento cumpla sus obligaciones, en particular en el contexto del empleo, la seguridad social y la protección social. Por ejemplo, el responsable del tratamiento puede necesitar tratar datos sensibles de una persona para poder determinar si tiene derecho a ciertas prestaciones de seguridad social o a estipendios laborales.
  • El tratamiento de datos sensibles es necesario para proteger los intereses vitales de una persona cuando la persona es física o legalmente incapaz de dar su consentimiento. Por ejemplo, si una persona queda inconsciente como resultado de un accidente y requiere atención médica inmediata, es posible que sus datos de salud deban tratarse para que se brinde la atención médica adecuada.
  • El tratamiento de datos sensibles se lleva a cabo en el contexto de las actividades legítimas de una fundación, asociación u otra organización sin ánimo de lucro con fines políticos, filosóficos, religiosos o sindicales, y solo para el tratamiento de los datos personales de sus miembros, antiguos miembros o personas que tengan contacto regular con ellos.
  • Los datos sensibles fueron hechos públicos manifiestamente por individuos.
  • El tratamiento de datos sensibles es necesario en el contexto de procedimientos judiciales.
  • El tratamiento de datos sensibles es necesario para cuestiones de interés público sustancial.
  • El tratamiento de datos sensibles es necesario en el contexto de la medicina preventiva o laboral. Por ejemplo, la evaluación de los datos sensibles de una persona, como sus datos médicos, puede ser necesaria para determinar su capacidad de trabajo como empleado.
  • El tratamiento de datos sensibles es necesario para cuestiones de salud pública sobre la base de la legislación de la UE o nacional. Por ejemplo, el tratamiento de datos sensibles de las personas puede ser necesario para garantizar una alta calidad de la atención médica y una alta calidad de los productos médicos, o para combatir las amenazas graves para la salud, como los virus.
  • El tratamiento de datos sensibles es necesario para fines de archivo de interés público, o para fines de investigación científica o histórica, o fines estadísticos. Por ejemplo, el tratamiento de datos sensibles puede ser necesario para proporcionar estadísticas precisas sobre la situación de un país en un campo particular.

Más información:

¿Qué puedo hacer en caso de que el encargado del tratamiento de datos no quiera firmar un contrato responsable-encargado?

Un contrato válido entre el responsable del tratamiento y el encargado del tratamiento es obligatorio en virtud del RGPD. La infracción puede ser objeto de una multa administrativa de hasta 10 millones de euros o de hasta el 2 % del volumen de negocios anual total de una empresa, lo que sea mayor.

Para orientarte a la hora de establecer un acuerdo sobre el responsable del tratamiento, las autoridades danesas y eslovenas de protección de datos, así como la Comisión Europea, han elaborado acuerdos sobre modelos.

Más información:

¿Qué debo hacer cuando alguien pregunta cómo trato sus datos?

Las personas pueden preguntarte si estás tratando sus datos y, en su caso, tienen derecho a acceder a esos datos. Por lo tanto, cuando esto ocurra y si tratas sus datos, debes, por ejemplo, proporcionar una copia de sus datos personales, de forma gratuita, junto con cualquier información adicional necesaria. Cuando una solicitud se hace electrónicamente, tu organización debe proporcionar la información requerida en un formato electrónico de uso común, a menos que la persona solicite lo contrario.

Más información:

¿Cuánto tiempo tengo para responder a una solicitud de acceso?

Debes responder sin demora indebida y a más tardar en el plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse otros dos meses si la solicitud es demasiado compleja y se necesita más tiempo para responder, siempre que se informe a la persona en el plazo de un mes a partir de la recepción de la solicitud.

Debes hacerlo de forma gratuita.

Más información:

¿Está pidiendo al CEPD que emita orientaciones sobre un tema específico?

Tomamos nota de su sugerencia al CEPD de que considere este asunto para futuras orientaciones. Puede consultar los temas incluidos actualmente en el programa de trabajo del CEPD en nuestro sitio web: https://www.edpb.europa.eu/about-edpb/what-we-do/strategy-work-programme_es 

I have received a communication from someone claiming to be working for the EDPB informing me that I am not in compliance with the GDPR, is this something the EDPB does?

Please note that the EDPB does not contact individuals, via phone or other means of communication, to inform them of such matters.

Therefore, it could be that the call you received represents a phishing attack targeting you abusing our name.

Ir al formulario de contacto

The EDPB has adopted its binding decision: when is it notified to the relevant national Data Protection Authorities (DPAs), in which language and what happens next?

Once the EDPB has adopted a binding decision, the EDPB Chair notifies the binding decision to the relevant national Data Protection Authorities (DPAs) without undue delay.

Prior to the notification, the binding decision is translated into the languages of the relevant national DPAs that have to adopt a final decision or take measures at national level on the basis of the binding decision1. Translation and proofreading can take a few weeks. In any case, the English version of the decision is the only authentic language version.

Next step for the relevant  Data Protection Authorities (DPAs)

Once the relevant SAs have been notified of the binding decision, a decision has to be adopted at national level to implement the content of the binding decision. This decision will be adopted without undue delay and at the latest one month after the EDPB has notified its decision.
For cross-border cases where no consensus was found (Art. 65.1 (a) GDPR), the final decision will be addressed to the controller or processor and, where relevant, to the complainant.

  1. Please see paragraphs 6 and 7 of Art. 11 of the EDPB Rules of Procedure. In exceptional cases, other Concerned Supervisory Authority (CSAs) can request, providing the reasons, an urgent translation in their official EU language(s) no later than at the moment of adoption of the binding decision.

The dispute resolution mechanism of Art. 65 GDPR has been triggered - what happens next?

Within one month from the referral of the subject matter, the EDPB must adopt a decision by a two-thirds majority. 

The one-month deadline to adopt this binding decision can be extended by another month, if the case is complex. When the EDPB is not able to reach a decision within the abovementioned period, the decision must be adopted by a simple majority within two additional weeks. Should the members of the EDPB be split, the decision will be adopted by the vote of the EDPB Chair.

¿Necesito consentimiento para usar cookies en el sitio web de mi organización?

El RGPD se aplica al uso de cookies cuando se utilizan para tratar datos personales, pero también hay reglas más específicas para las cookies, incluida la Directiva sobre privacidad y comunicaciones electrónicas.

El almacenamiento de una cookie, o la obtención de acceso a una cookie ya almacenada, en el equipo terminal de un usuario solo está permitido a condición de que el abonado o usuario en cuestión haya sido adecuadamente informado (en particular sobre los fines del tratamiento) y haya dado su consentimiento.

La única excepción son las cookies técnicamente necesarias. Las organizaciones no necesitan solicitar su consentimiento cuando utilizan cookies técnicamente necesarias en sus sitios web.

Más información:

¿Cuál es la diferencia entre los datos seudonimizados y los datos anonimizados?

La seudonimización consiste en transformar los datos personales para que ya no puedan atribuirse a una determinada persona sin el uso de información adicional, siempre que dicha información adicional se conserve por separado y esté sujeta a medidas técnicas y organizativas para garantizar que los datos personales no se atribuyan a las personas físicas. En la práctica, puede significar la sustitución de datos personales (nombre, nombre, número personal, número de teléfono, etc.) en un conjunto de datos con datos de identificación indirecta (alias, número secuencial, etc.). Los datos seudonimizados siguen siendo datos personales y están sujetos al RGPD.

Los datos anonimizados son datos que se han convertido en anónimos de tal manera que el individuo no es o ya no es identificable por cualquier medio que sea razonablemente probable que se utilice. Cuando la anonimización se implementa correctamente, el RGPD ya no se aplica a los datos anonimizados.

Más información: