El tratamiento de datos personales está permitido si existe una base legal para ello. Además del consentimiento libre, específico, informado e inequívoco, se pueden utilizar otras bases legales para el tratamiento.

En otras palabras, el consentimiento es necesario cuando no se aplica ninguna de las otras bases jurídicas.

 

Más información:

• Tratar datos personales legalmente

Publicar los nombres de los ganadores de un concurso en tu sitio web podría considerarse un interés legítimo, si puedes probarlo llevando a cabo una prueba de sopesamiento para determinar si tus intereses legítimos prevalecen sobre el derecho de las personas.

Una buena práctica sería establecer un procedimiento interno en el que se expliquen las normas sobre la publicación de datos personales de los ganadores.

Además, el tratamiento de datos personales para estos fines debe formar parte de la política de privacidad del concurso, de modo que los participantes sean informados de antemano sobre cómo se van a tratar sus datos.

Más información:

• Procesar datos personales legalmente

Sí, sus clientes deben ser informados, cuando hagan una llamada telefónica, de los fines de la grabación, de los destinatarios de las grabaciones, de su derecho de oposición y de su derecho de acceso a las grabaciones.

Más información:

• Procesar datos personales legalmente

El primer paso para instalar CCTV es identificar el propósito o propósitos para hacerlo. Los propósitos de instalación de CCTV pueden ser variados, tales como garantizar la seguridad de las instalaciones, ayudar en la prevención y detección de robos y otros delitos, o la protección de la vida y la salud de los empleados, debido a la naturaleza del trabajo.

Al igual que con cualquier tratamiento de datos personales, el registro de las personas debe tener una base legal en virtud del RGPD. El consentimiento puede proporcionar una base legal para dicho tratamiento de datos. Sin embargo, es poco probable que esto se aplique al uso de CCTV en la mayoría de los casos, ya que será difícil obtener el consentimiento libremente dado de todas las personas que probablemente sean grabadas. El fundamento jurídico más común para este tipo de tratamiento de datos personales es el interés legítimo. Cuando el tratamiento se basa en un interés legítimo, tendrá que llevar a cabo una ponderación para determinar si sus intereses legítimos prevalecen sobre los derechos individuales.

Tendrás que informar a las personas que están siendo grabadas. Esto se puede hacer colocando carteles de fácil lectura en lugares visibles. Además, debe colocarse en todas las entradas un letrero que indique la finalidad del sistema de circuito cerrado de televisión y la identidad y los datos de contacto del responsable del tratamiento.

Las personas cuyas imágenes están siendo grabadas por un sistema de CCTV deben recibir la siguiente información:

• la identidad y los datos de contacto del responsable del tratamiento;
• los fines del tratamiento;
• la base jurídica del tratamiento (si el interés legítimo, la información específica sobre qué intereses legítimos se relacionan con el tratamiento específico, y sobre qué entidad persigue cada interés legítimo.);
• los datos de contacto del delegado de protección de datos, RPD (si existe un RPD);
• los destinatarios o categorías de destinatarios de los datos;
• las disposiciones de seguridad para las imágenes de CCTV;
• el período de retención de las imágenes de CCTV;
• la existencia de los derechos de las personas en virtud del RGPD y el derecho a presentar una reclamación ante la autoridad nacional de protección de datos.

Más información:

• Procesar datos personales legalmente
• Respetar los derechos de las personas

Sí, puedes, pero el RGPD impone ciertas obligaciones a las empresas que comparten datos personales. Su organización debe informar a las personas que compartirá sus datos con un tercero. También debes informarles de sus propósitos, seguridad, acceso y las medidas de retención que se aplicarán.

Según el RGPD, existen, en principio, dos formas principales de transferir datos personales a un país no perteneciente al EEE o a una organización internacional. Las transferencias pueden efectuarse sobre la base de una decisión de adecuación o, a falta de tal decisión, sobre la base de garantías adecuadas, incluidos derechos exigibles y recursos legales para las personas.

Más información:

• Transferencias internacionales

Sí, los encargados del tratamiento (es decir, las personas u organismos que procesan datos en nombre de un responsable del tratamiento), tienen obligaciones en virtud del RGPD. Sin embargo, existen algunas diferencias entre las responsabilidades de los responsables del tratamiento y los encargados del tratamiento.

Los encargados del tratamiento deben cumplir con las responsabilidades establecidas en el contrato responsable-encargado del tratamiento, que detalla las operaciones de tratamiento y los medios para tratar los datos personales. Por ejemplo, el encargado del tratamiento tendrá que llevar a cabo las operaciones de tratamiento con las medidas técnicas y organizativas adecuadas según las instrucciones del responsable del tratamiento. Al hacerlo, el encargado ayuda al responsable a cumplir con el RGPD.

Más información:

• Responsable o encargado del tratamiento

En términos generales, cada organización debe mantener un registro de sus actividades de tratamiento. Este es un inventario de todas las operaciones de tratamiento y puede ayudarte a asumir correctamente tus responsabilidades bajo el RGPD y los posibles riesgos.

Cada una de estas operaciones de tratamiento se describirá en el registro con la siguiente información:

• el propósito del tratamiento (por ejemplo, lealtad al cliente);
• las categorías de datos tratados (por ejemplo, para la nómina de sueldos: nombre, nombre, fecha de nacimiento, salario, etc.);
• quién tiene acceso a los datos (los destinatarios, por ejemplo: el departamento encargado de la contratación, el servicio informático, la gestión, los proveedores de servicios, los socios...);
• cuando proceda, información relacionada con transferencias de datos personales fuera del Espacio Económico Europeo (EEE),
• en la medida de lo posible, el período de almacenamiento (período durante el cual los datos son útiles desde el punto de vista operativo y desde una perspectiva de archivo).
• en la medida de lo posible, una descripción general de las medidas de seguridad.

El registro de las actividades de tratamiento es responsabilidad del gerente de su organización.

Este registro debe estar a disposición de la autoridad de protección de datos del país del EEE en el que opere, si se solicita.

No es necesario que las organizaciones que emplean a menos de 250 personas mencionen actividades puramente ocasionales en su registro (por ejemplo, datos tratados para eventos puntuales como la apertura de una tienda).

Más información:

• Cumplir la normativa

El RGPD se aplica al uso de cookies cuando se utilizan para tratar datos personales, pero también hay reglas más específicas para las cookies, incluida la Directiva sobre privacidad y comunicaciones electrónicas.

El almacenamiento de una cookie, o la obtención de acceso a una cookie ya almacenada, en el equipo terminal de un usuario solo está permitido a condición de que el abonado o usuario en cuestión haya sido adecuadamente informado (en particular sobre los fines del tratamiento) y haya dado su consentimiento.

La única excepción son las cookies técnicamente necesarias. Las organizaciones no necesitan solicitar su consentimiento cuando utilizan cookies técnicamente necesarias en sus sitios web.

Más información:

• Procesar datos personales legalmente

No, usted no necesita tener una certificación para convertirse en un DPD.

Sin embargo, los DPD deben poder demostrar que tienen las cualificaciones necesarias requeridas por el RGPD, como el conocimiento experto de la legislación y las prácticas en materia de protección de datos.

Más información:

• Delegado de Protección de Datos