Frequently Asked Questions

El RGPD distingue entre dos funciones principales: las del responsable del tratamiento y del encargado del tratamiento de datos. Esta distinción es crucial, ya que el responsable del tratamiento tiene más responsabilidad y tiene que cumplir más obligaciones que el encargado del tratamiento.

Los responsables y encargados del tratamiento pueden ser personas físicas o jurídicas, por ejemplo: una PYME, una autoridad pública, una empresa, una organización, un organismo estatal, una asociación, etc.

Un responsable del tratamiento determina los fines y medios de una operación de tratamiento. En otras palabras, el responsable del tratamiento decide el cómo y por qué de una operación de procesamiento. Considerando que los encargados tratan datos personales en nombre del responsable del tratamiento. El tratamiento realizado por los encargados del tratamiento debe estar regulado por un contrato con el responsable del tratamiento u otro acto jurídico.

Ejemplos de responsables del tratamiento de datos:

• empresas que tratan los datos personales de sus clientes para completar una venta;
• instituciones financieras que procesan datos personales de sus clientes;
• asociaciones que traten los datos de sus miembros;
• escuelas o universidades que traten datos personales de estudiantes y profesores;
• hospitales que tratan datos personales de sus pacientes;
• agencias gubernamentales que tratan datos personales de los ciudadanos.

Ejemplos de encargados del tratamiento de datos:

• una PYME contrata un servicio de contabilidad para mantener sus libros y registros, la PYME es responsable del tratamiento de datos y el servicio de contabilidad es un encargado del tratamiento de datos;
• una empresa de nóminas trata datos personales para una pyme. La empresa de nóminas actuará como encargado si únicamente procesa los datos personales en nombre de la pyme. La PYME determina los fines y medios del tratamiento de datos y, por lo tanto, es responsable del tratamiento de los datos.
• una PYME encarga a una empresa de marketing que recopile direcciones de correo electrónico a través de sitios web de terceros.  La empresa de comercialización lo hace de acuerdo con las instrucciones explícitas de la PYME y para los fines exclusivos de la PYME. La empresa de marketing actúa como encargada de esta colección.

Más información:

• Responsable o encargado del tratamiento

Algunos tipos de datos personales pertenecen a categorías especiales de datos personales, lo que significa que merecen más protección, los llamados datos sensibles. Los datos sensibles incluyen datos que revelan información sobre:

• la salud de una persona;
• la orientación sexual de un individuo;
• el origen racial o étnico de una persona;
• las opiniones políticas, las creencias religiosas o filosóficas de un individuo; la afiliación sindical de una persona;
• datos biométricos y genéticos de un individuo.

El tratamiento de los datos sensibles de una persona está generalmente prohibido, excepto en circunstancias específicas que justifiquen su procesamiento.

Más información:

• Aspectos básicos de la protección de datos

El DPD puede ser un empleado existente con suficiente conocimiento del RGPD (si las tareas profesionales del empleado son compatibles con las del DPD y esto no conduce a conflictos de intereses) o una persona externa. El DPD debe poder llevar a cabo las tareas de forma independiente y debe poder informar directamente a la alta dirección.

Más información:

• Delegado de Protección de Datos

The archived documents adopted by the Article 29 Working Party (1997-2016) are available on the website of the European Commission here: WP29 archive.

Should you experience any difficulty accessing WP29 documents, we recommend contacting the European Commission's DG Justice. The European Commission provided the Secretariat for the Article 29 Working Party and was responsible for all its publications. 

You can contact them by filling out the following form

Every organisation, regardless of the their size or sector, established in the European Economic Area (EEA) or offering products or services to individuals in the EEA, processing personal data whether or not by automated means needs to comply with the GDPR. The GDPR applies to the automated processing of personal data and to processing operations carried out manually from the moment the paper files are organised in a systematic manner, e.g. ordered alphabetically in a filing cabinet.

Examples of processing operations include collecting, recording, organising, using, modifying, storing, disclosing, altering and erasing individuals’ personal data.

Nevertheless, the application of the GDPR is modulated according to the nature, context, purposes and risks of the processing operations carried out. For SMEs whose core business is not the processing of personal data, the obligations can be less strict than for a large company.

Once a public consultation is closed, all contributions to the public consultation are reviewed and, where necessary, the guidelines may be adapted. Once this process has been completed, the guidelines will be up for final adoption at a subsequent EDPB plenary.

Por datos personales se entiende cualquier información relacionada con una persona identificada o identificable. Un individuo identificable es cualquier persona que pueda ser identificada, ya sea directa o indirectamente. Los diferentes elementos de información que se suman podrían conducir a la identificación de una persona en particular también constituyen datos personales.

Ejemplos de datos personales incluyen:

• nombre y apellidos;
• una dirección de domicilio;
• una dirección de correo electrónico;
• un número de documento de identidad;
• datos de localización;
• una dirección de protocolo de Internet (IP);
• un ID de cookie;
• cuentas bancarias;
• informes fiscales;
• datos biométricos (como huellas dactilares);
• un número de seguridad social;
• número de pasaporte;
• resultados de los ensayos;
• grados en la escuela;
• historial de navegación;
• fotografía de una persona;
• número de matrícula del vehículo, etc.

Más información:

• Aspectos básicos de la protección de datos

All comments submitted are screened and reviewed manually before being displayed on our website. There should have been a visual confirmation after submitting your comments on our website.

In any case, please allow for some time before your comments are published.

The GDPR puts in place clear procedures in case of a data breach. If a data breach poses a risk, companies and organisations holding your data have to inform the relevant data protection authority within 72 hours or without undue further delay. If the leak poses a high risk to you, then you must also be informed personally.

For more information on data breaches, please consult the EDPB Data Protection Guide for small business.

We are constantly working on the translation of our documents into the official EU languages.
All static content, as well as press releases and documents officially adopted by the Board, such as Guidelines, will be made available in these languages.

This process takes time and various steps need to be completed in order to provide translations of the best quality.

Please note that documents undergoing public consultation are usually not translated. It is only after the public consultation has been concluded and a final version of the document has been adopted by the Board that these documents will be translated.

Certification bodies are accredited by the national data protection authorities (DPA) or by the national accreditation body (named in accordance with Regulation 17065/2012). For further information regarding certification bodies, we recommend contacting the national DPA in your country. You can find an overview of all EEA DPAs here.

You can find further information regarding accreditation of certification bodies here: Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)

1. Asegúrate de que los datos se recopilaron legítimamente y de que las personas afectadas han sido informadas sobre el tratamiento de sus datos personales.
2. En caso de que un tercero esté tratando datos personales en tu nombre, asegúrate de que tiene un contrato responsable-encargado, que detalle las operaciones de tratamiento y los medios para tratar los datos personales.

Y por supuesto, cumplir con todas las obligaciones de los responsables del tratamiento.

Más información:

• Responsable o encargado del tratamiento

Las medidas de seguridad necesarias pueden diferir en función de la naturaleza de los datos personales que trata y los riesgos asociados para las personas. En cualquier caso, hay algunas medidas mínimas que debes poner en marcha:

• acceso seguro a los locales;
• utilizar programas antivirus actualizados periódicamente;
• elegir cuidadosamente las contraseñas;
• hacer que los usuarios se autentiquen antes de utilizar los equipos informáticos;
• tener una política de copia de seguridad y recuperación de datos en su lugar en caso de un incidente.

Además, algunas medidas básicas como bloquear la pantalla mientras estás fuera y cerrar la oficina al final del día nunca están fuera de lugar…

Más información:

• Datos personales seguros

Publicar los nombres de los ganadores de un concurso en tu sitio web podría considerarse un interés legítimo, si puedes probarlo llevando a cabo una prueba de sopesamiento para determinar si tus intereses legítimos prevalecen sobre el derecho de las personas.

Una buena práctica sería establecer un procedimiento interno en el que se expliquen las normas sobre la publicación de datos personales de los ganadores.

Además, el tratamiento de datos personales para estos fines debe formar parte de la política de privacidad del concurso, de modo que los participantes sean informados de antemano sobre cómo se van a tratar sus datos.

Más información:

• Procesar datos personales legalmente

All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

Once published, recently adopted documents will be listed under “latest publications” on the main page of this website.

You can also find overviews of the documents adopted per plenary on the EDPB news page.

El CEPD no ofrece asesoramiento jurídico personalizado a los ciudadanos ni a las organizaciones privadas o públicas sobre cómo aplicar la legislación en materia de protección de datos en casos específicos. 

El papel principal del CEPD es emitir orientaciones y dictámenes generales. Todas las orientaciones y dictámenes aprobados pueden consultarse aquí: Directrices, recomendaciones, mejores prácticas y dictámenes. También recomendamos leer la Guía de protección de datos para pequeñas empresas. Esta guía le ayudará a comprender los conceptos clave de protección de datos, los derechos de las personas en virtud del RGPD, los requisitos de cumplimiento, las medidas de seguridad y cómo manejar las violaciones de datos.

También puede encontrar información adicional sobre el papel del CEPD y la aplicación del RGPD aquí: Frequently Asked Questions 

También le invitamos a consultar los sitios web de la autoridad de protección de datos de su país. Los enlaces a los sitios web de nuestros Miembros se pueden encontrar aquí: Our members.

Once the Lead Supervisory Authority (LSA) or, in some cases the Concerned Supervisory Authority (CSA), with which the complaint was lodged has notified the EDPB of the date its final decision was communicated to the controller or processor and, where relevant, to the complainant, the EDPB will publish its own decision on its website.

The European Data Protection Board (EDPB) is an independent European body, which contributes to the consistent application of data protection rules throughout the European Union, and promotes cooperation between the EU’s data protection authorities (DPAs), as well as the DPAs of Iceland, Liechtenstein and Norway (the European Economic Area or EEA).

The EDPB aims to ensure the consistent application of the General Data Protection Regulation and of the Law Enforcement Directive in the European Economic Area (EEA). The EDPB also looks into the application of certain aspects of the ePrivacy Directive.

Our main tasks and duties are:

• providing general guidance (including guidelines, recommendations and best practices) to clarify the law and to promote a common understanding of EU data protection laws;
• adopting opinions addressed to the European Commission or to the national Data Protection Authorities (DPAs):
  • to advise the European Commission on any issue related to the protection of personal data and newly proposed legislation in the European Union (Art. 70 GDPR). In some instances, we issue Joint Opinions together with the EDPS (Art.42 of Regulation 2018/1725);
  • to ensure consistency of the activities of national data protection authorities (DPAs) on cross-border matters (Art. 64 GDPR). If authorities fail to respect an opinion issued by the EDPB, we may adopt a binding decision;
• adopting binding decisions addressed to the national DPAs and aiming to settle disputes between them when they cooperate in cross-border cases, with the purpose of ensuring the correct and consistent application of the GDPR in individual cases;
• promoting and supporting the cooperation among national DPAs.

Sí, puedes, pero el RGPD impone ciertas obligaciones a las empresas que comparten datos personales. Su organización debe informar a las personas que compartirá sus datos con un tercero. También debes informarles de sus propósitos, seguridad, acceso y las medidas de retención que se aplicarán.