El RGPD o el Reglamento General de Protección de Datos crea un conjunto armonizado de normas aplicables a todos los tratamientos de datos personales por parte de organizaciones (públicas o privadas, independientemente de su tamaño) establecidas en el Espacio Económico Europeo (EEE) o dirigidas a personas físicas en la UE. El objetivo principal del RGPD es garantizar que los datos personales disfruten del mismo alto nivel de protección en todo el EEE, aumentando la seguridad jurídica tanto para las personas como para las organizaciones que procesan datos, y ofreciendo un alto grado de protección a las personas.

El Reglamento entró en vigor el 24 de mayo de 2016 y es aplicable desde el 25 de mayo de 2018.

¿Encontraste tu respuesta?

El contrato entre el responsable y el encargado del tratamiento debe estipular que el encargado del tratamiento de datos:

  • trata los datos personales únicamente siguiendo instrucciones del responsable del tratamiento, incluso en lo que respecta a las transferencias de datos personales a un país no perteneciente al EEE;
  • garantiza que las personas autorizadas para tratar los datos se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada;
  • garantiza la seguridad del tratamiento;
  • no contratará a otro encargado del tratamiento sin previa autorización específica o general por escrito del responsable del tratamiento;
  • asiste al responsable del tratamiento para el cumplimiento de la obligación del responsable del tratamiento de responder a las solicitudes individuales de ejercicio de derechos;
  • ayuda al responsable del tratamiento a proteger el tratamiento, notificar las brechas de datos y llevar a cabo las EIPD;
  • a elección del responsable del tratamiento, suprime o devuelve todos los datos personales al responsable del tratamiento una vez finalizada la prestación de los servicios;
  • pone a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones derivadas del RGPD;
  • permite y contribuye a las auditorías, incluidas las inspecciones realizadas por el responsable del tratamiento u otro auditor encargado por el responsable del tratamiento.

Además, el encargado del tratamiento informará inmediatamente al responsable del tratamiento si, en su opinión, las instrucciones infringen el RGPD u otras disposiciones de protección de datos de la UE o nacionales.

 

Más información:

 

Sobre el mismo tema:
¿Encontraste tu respuesta?

Una brecha de datos personales es una violación de seguridad que conduce a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a datos personales.

  • Si la brecha de datos plantea un riesgo para las personas afectadas, debe notificarlo a la autoridad de protección de datos pertinente en un plazo de 72 horas.
  • Si es probable que la violación resulte en un alto riesgo para las personas, también tendrá que comunicar esa violación a las personas afectadas sin demora indebida.

En cualquier caso, para todas las infracciones, incluso las que no se notifiquen a una DPA, debe registrar al menos los detalles básicos de la infracción, la evaluación de la misma, sus efectos y las medidas adoptadas en respuesta.

 

Más información:

¿Encontraste tu respuesta?

Las personas pueden preguntarte si estás tratando sus datos y, en su caso, tienen derecho a acceder a esos datos. Por lo tanto, cuando esto ocurra y si tratas sus datos, debes, por ejemplo, proporcionar una copia de sus datos personales, de forma gratuita, junto con cualquier información adicional necesaria. Cuando una solicitud se hace electrónicamente, tu organización debe proporcionar la información requerida en un formato electrónico de uso común, a menos que la persona solicite lo contrario.

 

Más información:

 

Sobre el mismo tema:
¿Encontraste tu respuesta?

Si su organización está recogiendo los datos personales directamente de los individuos, debes proporcionar la información necesaria en el momento de la recogida.

En caso de recogida indirecta de datos personales, tu organización debe proporcionar la información a más tardar en el plazo de un mes a partir de la obtención inicial de los datos personales. Este período máximo de un mes puede reducirse:

  • si los datos personales se utilizan para fines de comunicación con el interesado. En tal caso, debes informar al interesado a más tardar en el momento de la primera comunicación al interesado;
  • si los datos se transmiten a otro destinatario, la organización informará de ello a los interesados a más tardar cuando se transfieran los datos personales.

 

Más información:

 

Sobre el mismo tema:
¿Encontraste tu respuesta?

El DPD puede ser un empleado existente con suficiente conocimiento del RGPD (si las tareas profesionales del empleado son compatibles con las del DPD y esto no conduce a conflictos de intereses) o una persona externa. El DPD debe poder llevar a cabo las tareas de forma independiente y debe poder informar directamente a la alta dirección.

 

Más información:

Sobre el mismo tema:
¿Encontraste tu respuesta?

El RGPD distingue entre dos funciones principales: las del responsable del tratamiento y del encargado del tratamiento de datos. Esta distinción es crucial, ya que el responsable del tratamiento tiene más responsabilidad y tiene que cumplir más obligaciones que el encargado del tratamiento.

Los responsables y encargados del tratamiento pueden ser personas físicas o jurídicas, por ejemplo: una PYME, una autoridad pública, una empresa, una organización, un organismo estatal, una asociación, etc.

Un responsable del tratamiento determina los fines y medios de una operación de tratamiento. En otras palabras, el responsable del tratamiento decide el cómo y por qué de una operación de procesamiento. Considerando que los encargados tratan datos personales en nombre del responsable del tratamiento. El tratamiento realizado por los encargados del tratamiento debe estar regulado por un contrato con el responsable del tratamiento u otro acto jurídico.

Ejemplos de responsables del tratamiento de datos:

  • empresas que tratan los datos personales de sus clientes para completar una venta;
  • instituciones financieras que procesan datos personales de sus clientes;
  • asociaciones que traten los datos de sus miembros;
  • escuelas o universidades que traten datos personales de estudiantes y profesores;
  • hospitales que tratan datos personales de sus pacientes;
  • agencias gubernamentales que tratan datos personales de los ciudadanos.

Ejemplos de encargados del tratamiento de datos:

  • una PYME contrata un servicio de contabilidad para mantener sus libros y registros, la PYME es responsable del tratamiento de datos y el servicio de contabilidad es un encargado del tratamiento de datos;
  • una empresa de nóminas trata datos personales para una pyme. La empresa de nóminas actuará como encargado si únicamente procesa los datos personales en nombre de la pyme. La PYME determina los fines y medios del tratamiento de datos y, por lo tanto, es responsable del tratamiento de los datos.
  • una PYME encarga a una empresa de marketing que recopile direcciones de correo electrónico a través de sitios web de terceros.  La empresa de comercialización lo hace de acuerdo con las instrucciones explícitas de la PYME y para los fines exclusivos de la PYME. La empresa de marketing actúa como encargada de esta colección.

 

Más información:

¿Encontraste tu respuesta?

  • CEPD Estrategia 2024-2027

    18 April 2024
    Publication Type:

  • Directrices 5/2022 sobre el uso de la tecnología de reconocimiento facial en el ámbito de la aplicación de la ley

    17 May 2023
    Publication Type:
    • Subscribe to