Cada organización, independientemente de su tamaño o sector, establecida en el Espacio Económico Europeo (EEE) o que ofrezca productos o servicios a personas en el EEE, trata datos personales, ya sea por medios automatizados o no, para cumplir con el RGPD. Incluso si el RGPD se refiere principalmente al tratamiento automatizado de datos personales, las operaciones de tratamiento realizadas manualmente también estarán sujetas al RGPD desde el momento en que los archivos en papel se organizan de manera sistemática, por ejemplo, ordenados alfabéticamente en un archivador.

Ejemplos de operaciones de tratamiento incluyen la recopilación, grabación, organización, uso, modificación, almacenamiento, divulgación, alteración y borrado de los datos personales de las personas.

No obstante, la aplicación del RGPD se modula en función de la naturaleza, el contexto, los fines y los riesgos de las operaciones de tratamiento realizadas. Para las pymes cuya actividad principal no es el tratamiento de datos personales, las obligaciones pueden ser menos estrictas que para una gran empresa.

Más información:

• Aspectos básicos de la protección de datos

Sí, el RGPD se aplica si los datos personales están contenidos o están destinados a ser contenidos en un sistema de archivo. Esto significa que el RGPD también se aplica a los registros en papel y no solo al tratamiento automatizado de datos personales.

Más información:

• Aspectos básicos de la protección de datos

El CEPD publica regularmente comunicados de prensa, noticias, blogs y otros contenidos en el sitio web del CEPD y sus canales de redes sociales (Twitter: N.º @EU_EDPB; LinkedIn: Consejo Europeo de Protección de Datos) para mantener a la comunidad de protección de datos y al público en general al día de su labor.

El sitio web del CEPD también tiene dos canales RSS, a los que puede suscribirse para recibir actualizaciones automáticas sobre las noticias del CEPD y las últimas publicaciones del CEPD.

Las medidas de seguridad necesarias pueden diferir en función de la naturaleza de los datos personales que trata y los riesgos asociados para las personas. En cualquier caso, hay algunas medidas mínimas que debes poner en marcha:

• acceso seguro a los locales;
• utilizar programas antivirus actualizados periódicamente;
• elegir cuidadosamente las contraseñas;
• hacer que los usuarios se autentiquen antes de utilizar los equipos informáticos;
• tener una política de copia de seguridad y recuperación de datos en su lugar en caso de un incidente.

Además, algunas medidas básicas como bloquear la pantalla mientras estás fuera y cerrar la oficina al final del día nunca están fuera de lugar…

Más información:

• Datos personales seguros

Para que el consentimiento se considere válido, debe ser:

• libre;
• específico;
• informado; e
• inequívoco.

Esto significa que las personas deben tener una verdadera libertad de elección en cuanto a si están de acuerdo o no con el tratamiento de sus datos personales; necesitan información suficiente para comprender qué datos se tratan, con qué finalidad y cómo se hace; también necesitan suficiente granularidad en las solicitudes de consentimiento.

Además, debe haber una acción afirmativa clara por parte de la persona (sin casillas premarcadas y hecha por al margen de las condiciones generales aplicables).

Además, las personas deben poder retirar libremente su consentimiento (sin consecuencias negativas) si cambian de opinión más adelante.

Más información:

• Procesar datos personales legalmente

El RGPD prevé derechos específicos para las personas que deben respetarse. Para ello:

• informa a las personas cuyos datos tratas sobre sus operaciones de tratamiento y los fines de tratamiento cuando recoge sus datos, por ejemplo, a través de una declaración de privacidad en su sitio web;
• responde a las solicitudes de las personas para ejercer sus derechos, como las solicitudes de acceso, rectificación, oposición, supresión o portabilidad.

Las organizaciones que son transparentes sobre su uso de datos personales y que respetan los derechos de las personas tienen menos probabilidades de ser objeto de quejas.

Más información:

• Respetar los derechos de las personas

Las personas físicas tienen derecho a solicitar la supresión de los datos personales que les conciernen y, en tal caso, el responsable del tratamiento tiene la obligación de suprimir los datos personales. Debes responder sin demora indebida y a más tardar en el plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse otros dos meses si la solicitud es demasiado compleja y se necesita más tiempo para dar cumplimiento a la solicitud, siempre que se informe a la persona en el plazo de un mes a partir de la recepción de la solicitud.

Es importante señalar que el derecho de supresión no es absoluto. No se aplica cuando los datos en cuestión son necesarios para:

• ejercer el derecho a la libertad de expresión e información (por ejemplo, con fines periodísticos);
• el cumplimiento de una obligación legal que requiera el tratamiento de datos personales (por ejemplo, el tratamiento de registros sobre las horas de trabajo de los empleados);
• razones de interés público en el ámbito de la salud pública
• fines de archivo de interés público o de investigación científica o histórica o fines estadísticos; y
• el establecimiento, ejercicio o defensa de reclamaciones.

Cuando los datos personales que se van a borrar hayan sido transferidos previamente a otras organizaciones, debes informar a estos destinatarios de que la persona ha solicitado la supresión, a menos que esto resulte imposible o requiera esfuerzos desproporcionados.

Más información:

• Respetar los derechos de las personas

No puedes almacenar datos personales para siempre.

Por regla general, los datos personales solo pueden almacenarse durante el tiempo necesario a la luz de los fines para los que se tratan los datos personales.

En algunos casos, el período de almacenamiento puede ser determinado por leyes específicas, por ejemplo, las regulaciones laborales determinan un período de almacenamiento para las listas de nómina.

Las organizaciones deben establecer políticas de conservación de datos para asegurarse de que los datos personales no se conserven durante más tiempo del necesario. Los datos personales de las personas físicas deben eliminarse o anonimizarse una vez que estos datos ya no sean necesarios para el fin para el que se trataron.

Más información:

• Aspectos básicos de la protección de datos

Debes responder sin demora indebida y a más tardar en el plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse otros dos meses si la solicitud es demasiado compleja y se necesita más tiempo para responder, siempre que se informe a la persona en el plazo de un mes a partir de la recepción de la solicitud.

Debes hacerlo de forma gratuita.

Más información:

• Respetar los derechos de las personas

Sí, pero para ello, primero deberá determinar la base legal para el tratamiento de este tipo de datos personales. Por ejemplo, el tratamiento podría considerarse un interés legítimo para su organización. Cuando se procesan datos personales sobre la base de un interés legítimo, siempre es necesario sopesar para determinar si tus intereses legítimos superan los derechos de las personas, especialmente si se trata de niños.

Otro posible fundamento jurídico para dicho tratamiento podría ser el consentimiento. En cualquier caso, las personas siempre deben ser informadas con antelación de que el evento está siendo fotografiado o filmado.

Más información:

• Procesar datos personales legalmente