European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

¿Qué debo hacer en caso de una brecha de datos?

Una brecha de datos personales es una violación de seguridad que conduce a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a datos personales.

  • Si la brecha de datos plantea un riesgo para las personas afectadas, debe notificarlo a la autoridad de protección de datos pertinente en un plazo de 72 horas.
  • Si es probable que la violación resulte en un alto riesgo para las personas, también tendrá que comunicar esa violación a las personas afectadas sin demora indebida.

En cualquier caso, para todas las infracciones, incluso las que no se notifiquen a una DPA, debe registrar al menos los detalles básicos de la infracción, la evaluación de la misma, sus efectos y las medidas adoptadas en respuesta.

Más información:

¿Cómo puedo respetar los derechos de protección de datos de las personas?

El RGPD prevé derechos específicos para las personas que deben respetarse. Para ello:

  • informa a las personas cuyos datos tratas sobre sus operaciones de tratamiento y los fines de tratamiento cuando recoge sus datos, por ejemplo, a través de una declaración de privacidad en su sitio web;
  • responde a las solicitudes de las personas para ejercer sus derechos, como las solicitudes de acceso, rectificación, oposición, supresión o portabilidad.

Las organizaciones que son transparentes sobre su uso de datos personales y que respetan los derechos de las personas tienen menos probabilidades de ser objeto de quejas.

Más información:

¿Desea ejercer los derechos de los interesados (supresión, corrección, acceso) a los datos personales conservados en el Sistema de Información de Schengen (SIS)?

El Comité de Supervisión de la Coordinación (CSC), que existe en el seno del CEPD, coordina la supervisión del tratamiento de datos personales en el Sistema de Información de Schengen (SIS). La legislación pertinente de la UE es el Reglamento (UE) 2018/1862 (en particular, su artículo 71) y el Reglamento (UE) 2018/1861 (en particular, su artículo 57).

Para los datos personales incluidos en el SIS, usted tiene derechos de acceso, rectificación y supresión. Estos derechos incluyen:

  • El derecho a saber si la información relacionada con usted se procesa en el SIS;
  • El derecho de acceso a esos datos;
  • El derecho a la rectificación de los datos inexactos o a la supresión de los mismos cuando se hayan almacenado ilegalmente; y
  • El derecho a actuar ante los tribunales, su autoridad de protección de datos y / o autoridades competentes, según corresponda, para corregir o eliminar los datos relacionados con usted u obtener una compensación.

Para ejercer sus derechos, póngase en contacto con su autoridad nacional competente del país Schengen de su elección. Para obtener más información sobre las autoridades nacionales competentes y sobre la autoridad de protección de datos de cada país Schengen, consulte la «Guíapara el ejercicio de los derechos de los interesados»,disponible en nuestro sitio web. Allí también puede encontrar modelos de cartas para ayudarle con el ejercicio de sus derechos. 

Téngase en cuenta que el CEPD no tiene competencia para tramitar reclamaciones o solicitudes individuales. Además, el CEPD no tiene acceso al contenido de estos sistemas de información y bases de datos.

Encontrará más información sobre cómo ejercer sus derechos en nuestro sitio web https://www.edpb.europa.eu/our-work-tools/our-documents/csc-data-subject-rights/schengen-information-system-guide-exercising_es.

¿Cómo puedo mantenerme al día del trabajo del CEPD?

El CEPD publica regularmente comunicados de prensa, noticias, blogs y otros contenidos en el sitio web del CEPD y sus canales de redes sociales (Twitter: N.º @EU_EDPB; LinkedIn: Consejo Europeo de Protección de Datos) para mantener a la comunidad de protección de datos y al público en general al día de su labor.

El sitio web del CEPD también tiene dos canales RSS, a los que puede suscribirse para recibir actualizaciones automáticas sobre las noticias del CEPD y las últimas publicaciones del CEPD.

¿Qué es el RGPD?

El RGPD o el Reglamento General de Protección de Datos crea un conjunto armonizado de normas aplicables a todos los tratamientos de datos personales por parte de organizaciones (públicas o privadas, independientemente de su tamaño) establecidas en el Espacio Económico Europeo (EEE) o dirigidas a personas físicas en la UE. El objetivo principal del RGPD es garantizar que los datos personales disfruten del mismo alto nivel de protección en todo el EEE, aumentando la seguridad jurídica tanto para las personas como para las organizaciones que procesan datos, y ofreciendo un alto grado de protección a las personas.

El Reglamento entró en vigor el 24 de mayo de 2016 y es aplicable desde el 25 de mayo de 2018.

What are my rights under the GDPR?

All individuals residing in the European Economic Area (EEA) have the right to the protection of their personal data.

More specifically, under the GDPR, you have several rights

  • Right to be informed
  • Right of access
  • Right to rectification
  • Right to restriction of processing
  • Right to data portability
  • Right to object
  • Right not be subject to a decision based solely on automated processing.

For more information on your rights, please consult our leaflet The GDPR and your rights or the EDPB Data Protection Guide for small business.

¿El RGPD también se aplica a los registros en papel?

Sí, el RGPD se aplica si los datos personales están contenidos o están destinados a ser contenidos en un sistema de archivo. Esto significa que el RGPD también se aplica a los registros en papel y no solo al tratamiento automatizado de datos personales.

Más información:

¿Qué es un corresponsable?

Cuando hay dos o más responsables del tratamiento que determinan conjuntamente la finalidad y los medios de tratamiento, se consideran corresponsables del tratamiento. Deciden conjuntamente tratar datos personales para un fin conjunto. La corresponsabilidad puede adoptar muchas formas y la participación de los diferentes controladores puede ser desigual. Por lo tanto, los corresponsables del tratamiento deben determinar sus respectivas responsabilidades para el cumplimiento del RGPD.

Es importante señalar que la corresponsabilidad del tratamiento conduce a la responsabilidad conjunta de una actividad de tratamiento.

  • Ejemplo de corresponsabilidad: Las empresas A y B han lanzado un producto de marca compartida y desean organizar un evento para promocionar este producto. Con ese fin, deciden compartir datos de sus respectivos clientes y bases de datos de clientes potenciales y deciden la lista de invitados al evento sobre esta base. También acuerdan las modalidades para enviar las invitaciones al evento, cómo recopilar comentarios durante el evento y acciones de marketing de seguimiento. Las empresas A y B pueden ser consideradas corresponsables del tratamiento de datos personales relacionados con la organización del evento promocional, ya que deciden conjuntamente sobre el propósito definido conjuntamente y los medios esenciales del tratamiento de datos en este contexto.

Más información:

Estoy organizando un evento como parte de mis actividades empresariales, ¿puedo hacer fotos y videos del evento y de las personas que asisten?

Sí, pero para ello, primero deberá determinar la base legal para el tratamiento de este tipo de datos personales. Por ejemplo, el tratamiento podría considerarse un interés legítimo para su organización. Cuando se procesan datos personales sobre la base de un interés legítimo, siempre es necesario sopesar para determinar si tus intereses legítimos superan los derechos de las personas, especialmente si se trata de niños.

Otro posible fundamento jurídico para dicho tratamiento podría ser el consentimiento. En cualquier caso, las personas siempre deben ser informadas con antelación de que el evento está siendo fotografiado o filmado.

Más información:

Si quiero almacenar currículums de candidatos para futuros procedimientos de contratación, ¿necesito pedir el consentimiento de los candidatos?

De hecho, el consentimiento podría ser una base jurídica válida para almacenar los currículums de los solicitantes de empleo. Otro posible fundamento jurídico podría ser el interés legítimo. En ese caso, tendrías que sopesar la situación para demostrar que los intereses legítimos de tu organización superan los derechos de los solicitantes.

En cualquier caso, deberás informar a los candidatos que tienes previsto almacenar sus datos y para qué fines.

Más información:

¿Está escribiendo sobre un país no perteneciente a la UE reconocido como proveedor de un nivel adecuado de protección de datos (decisiones de adecuación)?

La Comisión Europea puede decidir si un país fuera de Europa (o una organización internacional) ofrece un nivel «adecuado» de protección de datos, lo que facilita los flujos de datos entre Europa y este país. 

El CEPD se encarga de emitir dictámenes sobre los proyectos de decisiones de adecuación, antes de la decisión de la Comisión Europea. Los dictámenes no son vinculantes para la Comisión Europea, pero suelen ser útiles para las demás organizaciones consultadas en este marco, como los Estados miembros de la UE.

Además, la Comisión Europea es la competente para supervisar la evolución en países no europeos que podría afectar a las decisiones de adecuación. Algunas decisiones de adecuación prevén una regularidad específica para la revisión de la decisión y pueden referirse a la posibilidad de que los representantes del CEPD participen en el proceso de revisión organizado por la Comisión Europea.

Tenga en cuenta también que las Autoridades Europeas de Protección de Datos pueden proteger a las personas con respecto a las transferencias de datos realizadas en el contexto de la decisión de adecuación (consulte una lista de ellas en nuestro sitio web: https://edpb.europa.eu/about-edpb/our-members).

Si considera que una decisión de adecuación existente no se ajusta a sus derechos fundamentales de la persona a la privacidad y la protección de datos, puede presentar una reclamación ante su APD, que puede presentar dichas objeciones ante un órgano jurisdiccional nacional que pueda verse obligado a plantear una petición de decisión prejudicial al Tribunal de Justicia [véase el artículo 58, apartado 5, del RGPD y la sentencia Schrems del TJUE (asunto C-362/14)].

Para más información, véase: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_es 

The deadline for submitting comments to a public consultation has expired, can I still submit comments?

Unfortunately, the EDPB cannot consider late contributions as part of the public consultation.

¿Solo puedo tratar datos personales cuando tenga el consentimiento de la persona?

El tratamiento de datos personales está permitido si existe una base legal para ello. Además del consentimiento libre, específico, informado e inequívoco, se pueden utilizar otras bases legales para el tratamiento.

En otras palabras, el consentimiento es necesario cuando no se aplica ninguna de las otras bases jurídicas.

 

Más información:

¿Es necesario tener certificación para convertirme en un Delegado de Protección de Datos (DPD)?

No, usted no necesita tener una certificación para convertirse en un DPD.

Sin embargo, los DPD deben poder demostrar que tienen las cualificaciones necesarias requeridas por el RGPD, como el conocimiento experto de la legislación y las prácticas en materia de protección de datos.

Más información:

¿Qué es una evaluación de impacto sobre la protección de datos y cuándo es obligatoria?

Una evaluación de impacto de protección de datos o EIPD es una evaluación escrita que su organización debe realizar para evaluar el impacto de una operación de procesamiento planificada. Le ayuda a identificar las medidas adecuadas para abordar los riesgos y demostrar el cumplimiento.

Si bien siempre es preferible anticipar el impacto de las operaciones de tratamiento planificadas de su organización haciendo EIPD, es obligatorio llevar a cabo una EIPD cuando el tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas.

Concretamente, este es el caso cuando el tratamiento previsto implica:

  • el tratamiento, a gran escala, de datos personales sensibles o datos relacionados con condenas penales;  
  • una evaluación sistemática y exhaustiva de los aspectos personales de una persona basada en el tratamiento automatizado, incluida la elaboración de perfiles, y en la que se basen decisiones que produzcan efectos jurídicos sobre la persona en cuestión o afecten significativamente de manera similar a las personas;
  • seguimiento sistemático de una zona de acceso público a gran escala.

El CEPD ha elaborado directrices que enumeran los criterios que debe tener en cuenta al evaluar si una EIPD es obligatoria o no. Las autoridades de protección de datos también han publicado listas de operaciones de tratamiento sujetas a una EIPD. Además, varias DPA han desarrollado guías, software o herramientas de autoevaluación para ayudarlo con su evaluación.

Más información:

¿Cuáles son las bases legales para el tratamiento bajo el RGPD?

Los responsables del tratamiento solo pueden tratar datos personales en una de las siguientes circunstancias:

  • con el consentimiento de las personas afectadas;
  • cuando el tratamiento sea necesario para la ejecución de un contrato (un contrato entre su organización y una persona);
  • cumplir una obligación legal en virtud de la legislación de la UE o nacional;
  • cuando el tratamiento sea necesario para la realización de una tarea realizada en interés público con arreglo a la legislación de la UE o nacional;
  • proteger los intereses vitales de una persona;
  • para los intereses legítimos de su organización, excepto cuando estén anulados por los derechos y libertades de las personas.

Además, el RGPD establece condiciones adicionales para el tratamiento de datos sensibles.

Más información:

¿Los encargados del tratamiento también tienen que respetar el RGPD?

Sí, los encargados del tratamiento (es decir, las personas u organismos que procesan datos en nombre de un responsable del tratamiento), tienen obligaciones en virtud del RGPD. Sin embargo, existen algunas diferencias entre las responsabilidades de los responsables del tratamiento y los encargados del tratamiento.

Los encargados del tratamiento deben cumplir con las responsabilidades establecidas en el contrato responsable-encargado del tratamiento, que detalla las operaciones de tratamiento y los medios para tratar los datos personales. Por ejemplo, el encargado del tratamiento tendrá que llevar a cabo las operaciones de tratamiento con las medidas técnicas y organizativas adecuadas según las instrucciones del responsable del tratamiento. Al hacerlo, el encargado ayuda al responsable a cumplir con el RGPD.

Más información:

¿Qué debe incluirse en un contrato de responsable-encargado del tratamiento?

El contrato entre el responsable y el encargado del tratamiento debe estipular que el encargado del tratamiento de datos:

  • trata los datos personales únicamente siguiendo instrucciones del responsable del tratamiento, incluso en lo que respecta a las transferencias de datos personales a un país no perteneciente al EEE;
  • garantiza que las personas autorizadas para tratar los datos se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada;
  • garantiza la seguridad del tratamiento;
  • no contratará a otro encargado del tratamiento sin previa autorización específica o general por escrito del responsable del tratamiento;
  • asiste al responsable del tratamiento para el cumplimiento de la obligación del responsable del tratamiento de responder a las solicitudes individuales de ejercicio de derechos;
  • ayuda al responsable del tratamiento a proteger el tratamiento, notificar las brechas de datos y llevar a cabo las EIPD;
  • a elección del responsable del tratamiento, suprime o devuelve todos los datos personales al responsable del tratamiento una vez finalizada la prestación de los servicios;
  • pone a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones derivadas del RGPD;
  • permite y contribuye a las auditorías, incluidas las inspecciones realizadas por el responsable del tratamiento u otro auditor encargado por el responsable del tratamiento.

Además, el encargado del tratamiento informará inmediatamente al responsable del tratamiento si, en su opinión, las instrucciones infringen el RGPD u otras disposiciones de protección de datos de la UE o nacionales.

Más información:

¿Puedo transferir datos personales fuera del Espacio Económico Europeo (EEE)?

Según el RGPD, existen, en principio, dos formas principales de transferir datos personales a un país no perteneciente al EEE o a una organización internacional. Las transferencias pueden efectuarse sobre la base de una decisión de adecuación o, a falta de tal decisión, sobre la base de garantías adecuadas, incluidos derechos exigibles y recursos legales para las personas.

Más información:

¿Es el Delegado de Protección de Datos (DPD) responsable del cumplimiento del RGPD?

El DPD no puede ser considerado responsable por el incumplimiento del RGPD. El cumplimiento del RGPD es responsabilidad de la organización que designó al DPD.

Más información: