Las cookies son pequeños archivos almacenados en un dispositivo, como un ordenador, un dispositivo móvil o cualquier otro dispositivo que pueda almacenar información. Las cookies cumplen una serie de funciones importantes, como recordar a los usuarios y sus interacciones anteriores con un sitio web. Se pueden utilizar para realizar un seguimiento de los artículos en un carrito de compras en línea o para realizar un seguimiento de la información cuando los detalles se insertan en un formulario de solicitud en línea.

Las cookies de autenticación también son importantes para identificar a los usuarios cuando inician sesión en servicios bancarios y otros servicios en línea. La información almacenada en las cookies puede incluir datos personales, como una dirección IP, un nombre de usuario, un identificador único o una dirección de correo electrónico.

El RGPD impone obligaciones a todas las organizaciones que tratan datos personales, independientemente de si son responsables o encargados del tratamiento de datos.

En particular, debes:

• Preguntarte si el propósito para el que se pueden recopilar datos personales está justificado, y solo recopilar los datos personales que sean necesarios para los fines específicos previstos;
• Mantener los datos personales de los individuos precisos y actualizados, y eliminarlos cuando ya no sean necesarios;
• Respetar los derechos de las personas, informándoles sobre cómo y por qué se tratan sus datos, y permitiéndoles ejercer sus derechos;
• Comprobar  si tienes una base legal adecuada para el tratamiento de datos personales. En caso de que vayas a utilizar el consentimiento, debes solicitarlo antes de tratar sus datos personales;
• Asegurarse de que los datos personalesse traten de manera segura;
• Mantener un registro de las operaciones de procesamiento.

Los encargados del tratamiento tendrán que cumplir con las responsabilidades establecidas en el contrato responsable-encargado del tratamiento, y no deben tratar los datos de otro modo que no sea conforme a las instrucciones del responsable del tratamiento.

Más información:

• Cumplir la normativa
• Responsable o encargado del tratamiento
• Aspectos básicos de la protección de datos

• Todo tratamiento de datos personales debe ser lícito, justo y transparente.
• Solo recopilar datos personales para fines específicos, explícitos y legítimos. El tratamiento de los datos de una persona debe limitarse estrictamente a los fines inicialmente establecidos y, por lo tanto, no tratarlos para fines posteriores o de otro tipo que sean incompatibles con los fines iniciales.
• Solo tratar datos personales que sean necesarios y proporcionados a la luz de la finalidad prevista.
• Todos los datos personales que usted trate deben ser exactos y mantenerse actualizados. Los datos personales inexactos deben ser rectificados o borrados.
• El almacenamiento de los datos personales de las personas físicas debe estar limitado en el tiempo, a la luz de la finalidad para la que se recopilaron y procesaron estos datos. Como tal, los datos personales deben eliminarse o anonimizarse una vez que estos datos ya no sean necesarios.
• El tratamiento de los datos personales debe realizarse de manera segura. En este sentido, deben establecerse controles sólidos de ciberseguridad para garantizar que los datos personales estén adecuadamente protegidos.

Finalmente, el responsable del tratamiento tiene que rendir cuentas. Esto significa que es responsabledel cumplimiento de los principios anteriores y debe poder demostrarlo.

Más información:

• Protección de datos básica

Los responsables del tratamiento solo pueden tratar datos personales en una de las siguientes circunstancias:

• con el consentimiento de las personas afectadas;
• cuando el tratamiento sea necesario para la ejecución de un contrato (un contrato entre su organización y una persona);
• cumplir una obligación legal en virtud de la legislación de la UE o nacional;
• cuando el tratamiento sea necesario para la realización de una tarea realizada en interés público con arreglo a la legislación de la UE o nacional;
• proteger los intereses vitales de una persona;
• para los intereses legítimos de su organización, excepto cuando estén anulados por los derechos y libertades de las personas.

Además, el RGPD establece condiciones adicionales para el tratamiento de datos sensibles.

Más información:

• Procesar datos personales legalmente

El cumplimiento del RGPD es supervisado por las autoridades nacionales de protección de datos (APD). Las APD pueden llevar a cabo investigaciones e imponer sanciones en caso necesario. Las APD tienen a su disposición una serie de herramientas, incluidas multas de hasta 20 millones de euroso el 4 % del volumen de negocios anual mundial, la que sea mayor, amonestaciones y prohibiciones temporales o permanentes de tratamiento.

Puedes encontrar los datos de contacto de todas las APD del EEE en el sitio web del CEPD: Miembros

Más información:

• La Autoridad de protección de datos y tú

La tarea del DPD incluye, entre otras:

• informar y asesorar a la organización y a sus empleados sobre el cumplimiento de la protección de datos;
• supervisar el cumplimiento de la protección de datos;
• prestar asesoramiento sobre las solicitudes relativas a la evaluación de impacto en materia de protección de datos (EIPD);
• actuar como punto de contacto de la autoridad de protección de datos y cooperar con dicha autoridad de protección de datos;
• actuar como punto de contacto para las personas.

Además, generalmente se recomienda la presencia del DPD cuando se toman decisiones con implicaciones en la protección de datos. El DPD también debe ser consultado rápidamente una vez que se haya producido una violación de datos u otro incidente.

Más información:

• Delegado de Protección de Datos

Un contrato válido entre el responsable del tratamiento y el encargado del tratamiento es obligatorio en virtud del RGPD. La infracción puede ser objeto de una multa administrativa de hasta 10 millones de euros o de hasta el 2 % del volumen de negocios anual total de una empresa, lo que sea mayor.

Para orientarte a la hora de establecer un acuerdo sobre el responsable del tratamiento, las autoridades danesas y eslovenas de protección de datos, así como la Comisión Europea, han elaborado acuerdos sobre modelos.

Más información:

• Responsable o encargado del tratamiento

Los DPD pueden desempeñar otras tareas dentro de la organización, pero esto no puede dar lugar a un conflicto de intereses. Esto implica que el DPD no puede tener una posición en la que determine los fines y medios de las actividades de tratamiento. Las funciones en conflicto incluyen principalmente puestos de dirección (jefe ejecutivo, jefe de operaciones, director financiero, jefe de recursos humanos, jefe de TI, director gerente), pero también pueden implicar otras funciones si conducen a la determinación de los fines y medios de tratamiento.

El DPD debe poder desempeñar sus funciones y tareas de manera independiente. Esto significa que su organización:

• no podrá dar instrucciones al DPD con respecto al ejercicio de sus funciones de DPD;
• no podrá sancionar o destituir al DPD por el desempeño de sus tareas.

Más información:

• Delegado de Protección de Datos

Por tratamiento de datos personales se entiende cualquier de actividad (operación de tratamiento) realizada sobre los datos personales de las personas físicas. Esto incluye la recogida, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, investigación, uso, revelación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, supresión o destrucción de datos personales.

El RGPD otorga a las personas el control sobre el tratamiento de sus datos personales. Para ello, la transparencia es clave. Esto significa que debe informar a las personas cuyos datos trata sobre sus operaciones de tratamiento y los fines. En otras palabras, hay que explicar quién trata sus datos, pero también cómo y por qué. Solo si el uso de datos personales es «transparente» para los involucrados, pueden evaluar los posibles riesgos y tomar decisiones sobre sus datos personales.

En virtud del RGPD, estás obligado a compartir la siguiente información con las personas físicas:

• la identidad y los datos de contacto del responsable del tratamiento;
• los fines del tratamiento;
• la base jurídica del tratamiento (si el interés legítimo, la información específica sobre qué intereses legítimos se relacionan con el tratamiento específico, y sobre qué entidad persigue cada interés legítimo.)
• los datos de contacto del responsable del tratamiento;
• los datos de contacto del DPD (si existe un DPD);
• los destinatarios o categorías de destinatarios de los datos;
• Información sobre si los datos se transferirán fuera del Espacio Económico Europeo (EEE) (si procede: la existencia o no de una decisión de adecuación o referencia a las garantías adecuadas y la forma en que esta información puede ponerse a disposición de los interesados;
• las categorías de datos personales tratados, cuando los datos no se obtienen de la persona.

Además, el RGPD requiere que tu organización proporcione la siguiente información para garantizar un procesamiento justo y transparente:

• el período de retención o, cuando esto no sea posible, los criterios utilizados para determinar dicho período;
• el derecho a solicitar el acceso, la supresión, la rectificación, la limitación, la objeción y la portabilidad de los datos personales;
• el derecho a presentar una reclamación ante una autoridad de protección de datos;
• si la base jurídica del tratamiento es el consentimiento: el derecho a retirar el consentimiento en cualquier momento;
• en el caso de la toma de decisiones automatizada, información pertinente sobre la lógica subyacente y las consecuencias previstas del tratamiento para el interesado;
• la fuente de los datos personales (si no los recibió directamente de la persona en cuestión;
• si la persona está obligada a proporcionar los datos personales (por ley o por contrato o para celebrar un contrato) y cuáles son las consecuencias de negarse a proporcionar los datos.

Más información:

• Respetar los derechos de las personas