Un contrato válido entre el responsable del tratamiento y el encargado del tratamiento es obligatorio en virtud del RGPD. La infracción puede ser objeto de una multa administrativa de hasta 10 millones de euros o de hasta el 2 % del volumen de negocios anual total de una empresa, lo que sea mayor.

Para orientarte a la hora de establecer un acuerdo sobre el responsable del tratamiento, las autoridades danesas y eslovenas de protección de datos, así como la Comisión Europea, han elaborado acuerdos sobre modelos.

Más información:

• Responsable o encargado del tratamiento

Los DPD pueden desempeñar otras tareas dentro de la organización, pero esto no puede dar lugar a un conflicto de intereses. Esto implica que el DPD no puede tener una posición en la que determine los fines y medios de las actividades de tratamiento. Las funciones en conflicto incluyen principalmente puestos de dirección (jefe ejecutivo, jefe de operaciones, director financiero, jefe de recursos humanos, jefe de TI, director gerente), pero también pueden implicar otras funciones si conducen a la determinación de los fines y medios de tratamiento.

El DPD debe poder desempeñar sus funciones y tareas de manera independiente. Esto significa que su organización:

• no podrá dar instrucciones al DPD con respecto al ejercicio de sus funciones de DPD;
• no podrá sancionar o destituir al DPD por el desempeño de sus tareas.

Más información:

• Delegado de Protección de Datos

Por tratamiento de datos personales se entiende cualquier de actividad (operación de tratamiento) realizada sobre los datos personales de las personas físicas. Esto incluye la recogida, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, investigación, uso, revelación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, supresión o destrucción de datos personales.

El RGPD otorga a las personas el control sobre el tratamiento de sus datos personales. Para ello, la transparencia es clave. Esto significa que debe informar a las personas cuyos datos trata sobre sus operaciones de tratamiento y los fines. En otras palabras, hay que explicar quién trata sus datos, pero también cómo y por qué. Solo si el uso de datos personales es «transparente» para los involucrados, pueden evaluar los posibles riesgos y tomar decisiones sobre sus datos personales.

En virtud del RGPD, estás obligado a compartir la siguiente información con las personas físicas:

• la identidad y los datos de contacto del responsable del tratamiento;
• los fines del tratamiento;
• la base jurídica del tratamiento (si el interés legítimo, la información específica sobre qué intereses legítimos se relacionan con el tratamiento específico, y sobre qué entidad persigue cada interés legítimo.)
• los datos de contacto del responsable del tratamiento;
• los datos de contacto del DPD (si existe un DPD);
• los destinatarios o categorías de destinatarios de los datos;
• Información sobre si los datos se transferirán fuera del Espacio Económico Europeo (EEE) (si procede: la existencia o no de una decisión de adecuación o referencia a las garantías adecuadas y la forma en que esta información puede ponerse a disposición de los interesados;
• las categorías de datos personales tratados, cuando los datos no se obtienen de la persona.

Además, el RGPD requiere que tu organización proporcione la siguiente información para garantizar un procesamiento justo y transparente:

• el período de retención o, cuando esto no sea posible, los criterios utilizados para determinar dicho período;
• el derecho a solicitar el acceso, la supresión, la rectificación, la limitación, la objeción y la portabilidad de los datos personales;
• el derecho a presentar una reclamación ante una autoridad de protección de datos;
• si la base jurídica del tratamiento es el consentimiento: el derecho a retirar el consentimiento en cualquier momento;
• en el caso de la toma de decisiones automatizada, información pertinente sobre la lógica subyacente y las consecuencias previstas del tratamiento para el interesado;
• la fuente de los datos personales (si no los recibió directamente de la persona en cuestión;
• si la persona está obligada a proporcionar los datos personales (por ley o por contrato o para celebrar un contrato) y cuáles son las consecuencias de negarse a proporcionar los datos.

Más información:

• Respetar los derechos de las personas

Una evaluación de impacto de protección de datos o EIPD es una evaluación escrita que su organización debe realizar para evaluar el impacto de una operación de procesamiento planificada. Le ayuda a identificar las medidas adecuadas para abordar los riesgos y demostrar el cumplimiento.

Si bien siempre es preferible anticipar el impacto de las operaciones de tratamiento planificadas de su organización haciendo EIPD, es obligatorio llevar a cabo una EIPD cuando el tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas.

Concretamente, este es el caso cuando el tratamiento previsto implica:

• el tratamiento, a gran escala, de datos personales sensibles o datos relacionados con condenas penales;  
• una evaluación sistemática y exhaustiva de los aspectos personales de una persona basada en el tratamiento automatizado, incluida la elaboración de perfiles, y en la que se basen decisiones que produzcan efectos jurídicos sobre la persona en cuestión o afecten significativamente de manera similar a las personas;
• seguimiento sistemático de una zona de acceso público a gran escala.

El CEPD ha elaborado directrices que enumeran los criterios que debe tener en cuenta al evaluar si una EIPD es obligatoria o no. Las autoridades de protección de datos también han publicado listas de operaciones de tratamiento sujetas a una EIPD. Además, varias DPA han desarrollado guías, software o herramientas de autoevaluación para ayudarlo con su evaluación.

Más información:

• Cumplir la normativa

Cuando hay dos o más responsables del tratamiento que determinan conjuntamente la finalidad y los medios de tratamiento, se consideran corresponsables del tratamiento. Deciden conjuntamente tratar datos personales para un fin conjunto. La corresponsabilidad puede adoptar muchas formas y la participación de los diferentes controladores puede ser desigual. Por lo tanto, los corresponsables del tratamiento deben determinar sus respectivas responsabilidades para el cumplimiento del RGPD.

Es importante señalar que la corresponsabilidad del tratamiento conduce a la responsabilidad conjunta de una actividad de tratamiento.

• Ejemplo de corresponsabilidad: Las empresas A y B han lanzado un producto de marca compartida y desean organizar un evento para promocionar este producto. Con ese fin, deciden compartir datos de sus respectivos clientes y bases de datos de clientes potenciales y deciden la lista de invitados al evento sobre esta base. También acuerdan las modalidades para enviar las invitaciones al evento, cómo recopilar comentarios durante el evento y acciones de marketing de seguimiento. Las empresas A y B pueden ser consideradas corresponsables del tratamiento de datos personales relacionados con la organización del evento promocional, ya que deciden conjuntamente sobre el propósito definido conjuntamente y los medios esenciales del tratamiento de datos en este contexto.

Más información:

• Responsable o encargado del tratamiento

En caso de recogida directa de datos personales de las personas afectadas, las organizaciones deberán facilitar información sobre las operaciones de tratamiento de forma concisa y transparente, utilizando un lenguaje comprensible, fácilmente accesible, claro y sencillo. Esto puede hacerse por escrito (por ejemplo, en el reverso de una oferta) o por medios electrónicos (por ejemplo, en un sitio web). Si la persona en cuestión así lo solicita, también puede proporcionar esta información oralmente, pero debe poder demostrarlo posteriormente.

Incluso cuando los datos se recopilaron indirectamente, es decir, si usted no recopila directamente los datos personales de un individuo, sino, por ejemplo, a través de un tercero, debe proporcionar la misma información detallada a las personas físicas.

Por datos personales se entiende cualquier información relacionada con una persona identificada o identificable. Un individuo identificable es cualquier persona que pueda ser identificada, ya sea directa o indirectamente. Los diferentes elementos de información que se suman podrían conducir a la identificación de una persona en particular también constituyen datos personales.

Ejemplos de datos personales incluyen:

• nombre y apellidos;
• una dirección de domicilio;
• una dirección de correo electrónico;
• un número de documento de identidad;
• datos de localización;
• una dirección de protocolo de Internet (IP);
• un ID de cookie;
• cuentas bancarias;
• informes fiscales;
• datos biométricos (como huellas dactilares);
• un número de seguridad social;
• número de pasaporte;
• resultados de los ensayos;
• grados en la escuela;
• historial de navegación;
• fotografía de una persona;
• número de matrícula del vehículo, etc.

Más información:

• Aspectos básicos de la protección de datos

Algunos tipos de datos personales pertenecen a categorías especiales de datos personales, lo que significa que merecen más protección, los llamados datos sensibles. Los datos sensibles incluyen datos que revelan información sobre:

• la salud de una persona;
• la orientación sexual de un individuo;
• el origen racial o étnico de una persona;
• las opiniones políticas, las creencias religiosas o filosóficas de un individuo; la afiliación sindical de una persona;
• datos biométricos y genéticos de un individuo.

El tratamiento de los datos sensibles de una persona está generalmente prohibido, excepto en circunstancias específicas que justifiquen su procesamiento.

Más información:

• Aspectos básicos de la protección de datos

La seudonimización consiste en transformar los datos personales para que ya no puedan atribuirse a una determinada persona sin el uso de información adicional, siempre que dicha información adicional se conserve por separado y esté sujeta a medidas técnicas y organizativas para garantizar que los datos personales no se atribuyan a las personas físicas. En la práctica, puede significar la sustitución de datos personales (nombre, nombre, número personal, número de teléfono, etc.) en un conjunto de datos con datos de identificación indirecta (alias, número secuencial, etc.). Los datos seudonimizados siguen siendo datos personales y están sujetos al RGPD.

Los datos anonimizados son datos que se han convertido en anónimos de tal manera que el individuo no es o ya no es identificable por cualquier medio que sea razonablemente probable que se utilice. Cuando la anonimización se implementa correctamente, el RGPD ya no se aplica a los datos anonimizados.

Más información:

• Datos personales seguros