European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

How can my processing operations or my organisation become GDPR certified?

Under the GDPR, certification is conducted by national certification bodies or by the competent national data protection authorities (Art. 42(5) GDPR).

For further information, we recommend contacting the relevant national DPA for your organisation. You can find a overview of all EEA DPAs here.

You can find further information regarding certification in the EDPB guidelines on the topic: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation - version adopted after public consultation

I think my data protection rights have been violated, what can I do?

If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. You can find the contact details for all EEA DPAs here.

How can I apply for the European Data Protection Seal?

Controllers should formally submit their EU-wide certification criteria to:

  1. the competent data protection authority (DPA) in the EEA country where the scheme owners have their headquarters;
  2. the competent data protection authority (DPA) in the EEA country where a certification body operating the certification mechanism have their headquarters, considering the member state in which the most certificates are likely to be issued.

¿Debo nombrar un Delegado de Protección de Datos (DPD)?

El nombramiento de un DPD es obligatorio en los tres casos siguientes:

  • la organización es una autoridad pública;
  • las actividades principales de la organización consisten en un seguimiento regular y sistemático de las personas a gran escala, por ejemplo, la geolocalización a través de una aplicación móvil, o la vigilancia de centros comerciales y espacios públicos a través de CCTV;
  • las actividades principales de la organización consisten en el tratamiento a gran escala de datos sensibles o datos personales relacionados con condenas y delitos penales.

Siempre puede designar un DPD de forma voluntaria, incluso si esto no es legalmente requerido. Tenga en cuenta que, en ese caso, debe cumplir con todas las disposiciones del RGPD relativas a las tareas y el cargo del delegado de protección de datos.

Más información:

¿Estoy obligado a hacer público mi registro de tratamientos?

No, no es necesario hacer público su registro de tratamientos. Sin embargo, debe poder poner el registro a disposición de la autoridad de protección de datos previa solicitud.

Más información:

¿Su mensaje es sobre la aplicación del RGPD u otras normas?

¿Pide al CEPD que investigue y tome medidas contra una organización que considera que está infringiendo la legislación de la UE, también a través de tecnologías específicas, como la IA, las redes sociales o los servicios de mensajería? 

En el contexto de las normas de protección de datos, puede presentar una reclamación ante su autoridad de protección de datos (DPA) (encuentre una lista de ellas en nuestro sitio web: https://edpb.europa.eu/about-edpb/our-members). La aplicación de las normas de protección de datos es responsabilidad de las APD. Puede ponerse en contacto con la autoridad de protección de datos donde vive o trabaja, o donde se produjo la presunta infracción, por ejemplo.

Otra alternativa es acudir a los tribunales nacionales en los que vive o en los que está establecido el responsable o el encargado del tratamiento. 

Si el GDPR se aplica en su situación pero no tiene su sede en Europa, aún puede presentar una queja ante un DPA en Europa y / o ir a los tribunales.

El CEPD no tiene competencia para tramitar solicitudes o reclamaciones individuales específicas ni para prestar servicios de consultoría individuales. El CEPD no es un organismo supranacional que pueda investigar denuncias.

Por último, si desea presentar una queja sobre cómo una institución, agencia u organismo de la UE está utilizando sus datos personales, puede presentar una queja ante el Supervisor Europeo de Protección de Datos (consulte los datos de contacto en nuestro sitio web: https://edpb.europa.eu/about-edpb/our-members).

Tenga en cuenta que no enviamos su mensaje a las APD nacionales ni al SEPD. Por lo tanto, debe ponerse en contacto con ellos directamente.

¿Cómo puedo obtener un consentimiento válido?

Para que el consentimiento se considere válido, debe ser:

  • libre;
  • específico;
  • informado; e
  • inequívoco.

Esto significa que las personas deben tener una verdadera libertad de elección en cuanto a si están de acuerdo o no con el tratamiento de sus datos personales; necesitan información suficiente para comprender qué datos se tratan, con qué finalidad y cómo se hace; también necesitan suficiente granularidad en las solicitudes de consentimiento.

Además, debe haber una acción afirmativa clara por parte de la persona (sin casillas premarcadas y hecha por al margen de las condiciones generales aplicables).

Además, las personas deben poder retirar libremente su consentimiento (sin consecuencias negativas) si cambian de opinión más adelante.

Más información:

¿Cuándo debe compartir esta información?

Si su organización está recogiendo los datos personales directamente de los individuos, debes proporcionar la información necesaria en el momento de la recogida.

En caso de recogida indirecta de datos personales, tu organización debe proporcionar la información a más tardar en el plazo de un mes a partir de la obtención inicial de los datos personales. Este período máximo de un mes puede reducirse:

  • si los datos personales se utilizan para fines de comunicación con el interesado. En tal caso, debes informar al interesado a más tardar en el momento de la primera comunicación al interesado;
  • si los datos se transmiten a otro destinatario, la organización informará de ello a los interesados a más tardar cuando se transfieran los datos personales.

Más información:

What is the purpose of the dispute resolution mechanism of Art. 65.1 (a) and (b) GDPR?

The dispute resolution mechanism triggered under Art.65.1 (a) and (b) GDPR contributes to the good functioning of the cooperation mechanism by addressing any disagreements Concerned Supervisory Authorities (CSAs) may have in a given case or if there are conflicting views as to which authority is the Lead Supervisory Authority (LSA).
The EDPB will act as a dispute resolution body. It must adopt a decision to address the conflict between the involved Data Protection Authorities (DPAs), which is binding on them (Art. 65 GDPR). The decision is adopted by a two-thirds majority of the members of the Board, and in case a decision cannot be adopted within 2 months, the decision is adopted within the next 2 weeks by a simple majority.

How are the EDPB & EDPS related?

The European Data Protection Supervisor (EDPS) is a Member of the European Data Protection Board. In addition, the EDPS provides the EDPB Secretariat. The Secretariat offers administrative and logistic support to the EDPB, performs analytical work and contributes to the EDPB’s tasks.

Although staff at the Secretariat is employed by the EDPS, staff members only work under the instructions of the Chair of the EDPB.

The terms of cooperation between the EDPB and the EDPS are established by the Memorandum of Understanding.

¿Mi organización tiene que cumplir con el RGPD?

Cada organización, independientemente de su tamaño o sector, establecida en el Espacio Económico Europeo (EEE) o que ofrezca productos o servicios a personas en el EEE, trata datos personales, ya sea por medios automatizados o no, para cumplir con el RGPD. Incluso si el RGPD se refiere principalmente al tratamiento automatizado de datos personales, las operaciones de tratamiento realizadas manualmente también estarán sujetas al RGPD desde el momento en que los archivos en papel se organizan de manera sistemática, por ejemplo, ordenados alfabéticamente en un archivador.

Ejemplos de operaciones de tratamiento incluyen la recopilación, grabación, organización, uso, modificación, almacenamiento, divulgación, alteración y borrado de los datos personales de las personas.

No obstante, la aplicación del RGPD se modula en función de la naturaleza, el contexto, los fines y los riesgos de las operaciones de tratamiento realizadas. Para las pymes cuya actividad principal no es el tratamiento de datos personales, las obligaciones pueden ser menos estrictas que para una gran empresa.

Más información:

¿Cuáles son las funciones del Delegado de Protección de Datos (DPD)?

La tarea del DPD incluye, entre otras:

  • informar y asesorar a la organización y a sus empleados sobre el cumplimiento de la protección de datos;
  • supervisar el cumplimiento de la protección de datos;
  • prestar asesoramiento sobre las solicitudes relativas a la evaluación de impacto en materia de protección de datos (EIPD);
  • actuar como punto de contacto de la autoridad de protección de datos y cooperar con dicha autoridad de protección de datos;
  • actuar como punto de contacto para las personas.

Además, generalmente se recomienda la presencia del DPD cuando se toman decisiones con implicaciones en la protección de datos. El DPD también debe ser consultado rápidamente una vez que se haya producido una violación de datos u otro incidente.

Más información:

¿Cuáles son mis responsabilidades bajo el RGPD?

El RGPD impone obligaciones a todas las organizaciones que tratan datos personales, independientemente de si son responsables o encargados del tratamiento de datos.

En particular, debes:

  • Preguntarte si el propósito para el que se pueden recopilar datos personales está justificado, y solo recopilar los datos personales que sean necesarios para los fines específicos previstos;
  • Mantener los datos personales de los individuos precisos y actualizados, y eliminarlos cuando ya no sean necesarios;
  • Respetar los derechos de las personas, informándoles sobre cómo y por qué se tratan sus datos, y permitiéndoles ejercer sus derechos;
  • Comprobar  si tienes una base legal adecuada para el tratamiento de datos personales. En caso de que vayas a utilizar el consentimiento, debes solicitarlo antes de tratar sus datos personales;
  • Asegurarse de que los datos personalesse traten de manera segura;
  • Mantener un registro de las operaciones de procesamiento.

Los encargados del tratamiento tendrán que cumplir con las responsabilidades establecidas en el contrato responsable-encargado del tratamiento, y no deben tratar los datos de otro modo que no sea conforme a las instrucciones del responsable del tratamiento.

Más información:

¿Cuáles son los principios básicos de tratamiento bajo el RGPD?

  • Todo tratamiento de datos personales debe ser lícito, justo y transparente.
  • Solo recopilar datos personales para fines específicos, explícitos y legítimos. El tratamiento de los datos de una persona debe limitarse estrictamente a los fines inicialmente establecidos y, por lo tanto, no tratarlos para fines posteriores o de otro tipo que sean incompatibles con los fines iniciales.
  • Solo tratar datos personales que sean necesarios y proporcionados a la luz de la finalidad prevista.
  • Todos los datos personales que usted trate deben ser exactos y mantenerse actualizados. Los datos personales inexactos deben ser rectificados o borrados.
  • El almacenamiento de los datos personales de las personas físicas debe estar limitado en el tiempo, a la luz de la finalidad para la que se recopilaron y procesaron estos datos. Como tal, los datos personales deben eliminarse o anonimizarse una vez que estos datos ya no sean necesarios.
  • El tratamiento de los datos personales debe realizarse de manera segura. En este sentido, deben establecerse controles sólidos de ciberseguridad para garantizar que los datos personales estén adecuadamente protegidos.

Finalmente, el responsable del tratamiento tiene que rendir cuentas. Esto significa que es responsabledel cumplimiento de los principios anteriores y debe poder demostrarlo.

Más información:

¿Durante cuánto tiempo puedo almacenar datos personales?

No puedes almacenar datos personales para siempre.

Por regla general, los datos personales solo pueden almacenarse durante el tiempo necesario a la luz de los fines para los que se tratan los datos personales.

En algunos casos, el período de almacenamiento puede ser determinado por leyes específicas, por ejemplo, las regulaciones laborales determinan un período de almacenamiento para las listas de nómina.

Las organizaciones deben establecer políticas de conservación de datos para asegurarse de que los datos personales no se conserven durante más tiempo del necesario. Los datos personales de las personas físicas deben eliminarse o anonimizarse una vez que estos datos ya no sean necesarios para el fin para el que se trataron.

Más información:

Who are the members of the Board?

The EDPB brings together the EU DPAs and the European Data Protection Supervisor (EDPS). The EEA EFTA countries (Iceland, Liechtenstein and Norway) are also members with regard to GDPR-related matters and without the rights to vote and to be elected as chair or deputy chair. The European Commission and - with regard to GDPR-related matters - the EFTA Surveillance Authority have the right to participate in the activities and meetings of the Board without voting rights.

You can find an overview of the EEA DPAs here.

What is the dispute resolution mechanism of Art. 65 GDPR?

When a Lead Supervisory Authority (LSA) issues a draft decision, it consults the Concerned Supervisory Authorities (CSAs), which can express their disagreement with the draft decision by submitting relevant and reasoned objections (RRO) within a period of four weeks (Art. 60.4 GDPR).
When none of the CSAs objects, the LSA may proceed to adopt the decision.

In case at least one of the CSAs has expressed an RRO, and if the LSA intends to follow the objection, it shall submit a revised draft decision to all the CSAs. The CSAs then have a period of two weeks (Art. 60.5 GDPR) to express their RROs to the revised draft decision.

However, if the LSA does not intend to follow the objection(s), since no consensus can be reached, the consistency mechanism is triggered. This means that the LSA is obliged to refer the case to the European Data Protection Board (EDPB) and the dispute resolution role of the EDPB is activated (Art. 65.1(a) GDPR).

The dispute resolution mechanism can be triggered in two further cases:

  • there is a disagreement as to which authority is the LSA (Art. 65.1(b) GDPR);
  • an SA does not seek the opinion of the EDPB as obliged under Art. 64.1 GDPR or does not follow such an opinion (Art. 64.1 - 2 GDPR) (Art. 65.1(c) GDPR).

¿Está escribiendo porque no está satisfecho con la forma en que su DPA ha manejado su solicitud o queja?

El CEPD no tiene competencia para ejercer la supervisión de las actividades de las APD a petición de particulares.

Téngase en cuenta que la competencia para emitir orientaciones generales no puede entenderse como un mecanismo para que el CEPD ejerza la supervisión de la forma en que las APD gestionan su caso individual. 

Si cree que se ha infringido el RGPD y no está satisfecho con la respuesta de la APD, la solución restante es que inicie un procedimiento judicial.

¿Necesito un registro de actividades de tratamiento?

En términos generales, cada organización debe mantener un registro de sus actividades de tratamiento. Este es un inventario de todas las operaciones de tratamiento y puede ayudarte a asumir correctamente tus responsabilidades bajo el RGPD y los posibles riesgos.

Cada una de estas operaciones de tratamiento se describirá en el registro con la siguiente información:

  • el propósito del tratamiento (por ejemplo, lealtad al cliente);
  • las categorías de datos tratados (por ejemplo, para la nómina de sueldos: nombre, nombre, fecha de nacimiento, salario, etc.);
  • quién tiene acceso a los datos (los destinatarios, por ejemplo: el departamento encargado de la contratación, el servicio informático, la gestión, los proveedores de servicios, los socios...);
  • cuando proceda, información relacionada con transferencias de datos personales fuera del Espacio Económico Europeo (EEE),
  • en la medida de lo posible, el período de almacenamiento (período durante el cual los datos son útiles desde el punto de vista operativo y desde una perspectiva de archivo).
  • en la medida de lo posible, una descripción general de las medidas de seguridad.

El registro de las actividades de tratamiento es responsabilidad del gerente de su organización.

Este registro debe estar a disposición de la autoridad de protección de datos del país del EEE en el que opere, si se solicita.

No es necesario que las organizaciones que emplean a menos de 250 personas mencionen actividades puramente ocasionales en su registro (por ejemplo, datos tratados para eventos puntuales como la apertura de una tienda).

Más información:

¿Qué constituye un conflicto de intereses para un Delegado de Protección de Datos (DPD)?

Los DPD pueden desempeñar otras tareas dentro de la organización, pero esto no puede dar lugar a un conflicto de intereses. Esto implica que el DPD no puede tener una posición en la que determine los fines y medios de las actividades de tratamiento. Las funciones en conflicto incluyen principalmente puestos de dirección (jefe ejecutivo, jefe de operaciones, director financiero, jefe de recursos humanos, jefe de TI, director gerente), pero también pueden implicar otras funciones si conducen a la determinación de los fines y medios de tratamiento.

El DPD debe poder desempeñar sus funciones y tareas de manera independiente. Esto significa que su organización:

  • no podrá dar instrucciones al DPD con respecto al ejercicio de sus funciones de DPD;
  • no podrá sancionar o destituir al DPD por el desempeño de sus tareas.

Más información: