Preguntas frecuentes
¿Qué son los datos personales?
Por datos personales se entiende cualquier información relacionada con una persona identificada o identificable. Un individuo identificable es cualquier persona que pueda ser identificada, ya sea directa o indirectamente. Los diferentes elementos de información que se suman podrían conducir a la identificación de una persona en particular también constituyen datos personales.
Ejemplos de datos personales incluyen:
- nombre y apellidos;
- una dirección de domicilio;
- una dirección de correo electrónico;
- un número de documento de identidad;
- datos de localización;
- una dirección de protocolo de Internet (IP);
- un ID de cookie;
- cuentas bancarias;
- informes fiscales;
- datos biométricos (como huellas dactilares);
- un número de seguridad social;
- número de pasaporte;
- resultados de los ensayos;
- grados en la escuela;
- historial de navegación;
- fotografía de una persona;
- número de matrícula del vehículo, etc.
Más información:
¿Quién es el responsable y quién es el encargado del tratamiento?
El RGPD distingue entre dos funciones principales: las del responsable del tratamiento y del encargado del tratamiento de datos. Esta distinción es crucial, ya que el responsable del tratamiento tiene más responsabilidad y tiene que cumplir más obligaciones que el encargado del tratamiento.
Los responsables y encargados del tratamiento pueden ser personas físicas o jurídicas, por ejemplo: una PYME, una autoridad pública, una empresa, una organización, un organismo estatal, una asociación, etc.
Un responsable del tratamiento determina los fines y medios de una operación de tratamiento. En otras palabras, el responsable del tratamiento decide el cómo y por qué de una operación de procesamiento. Considerando que los encargados tratan datos personales en nombre del responsable del tratamiento. El tratamiento realizado por los encargados del tratamiento debe estar regulado por un contrato con el responsable del tratamiento u otro acto jurídico.
Ejemplos de responsables del tratamiento de datos:
- empresas que tratan los datos personales de sus clientes para completar una venta;
- instituciones financieras que procesan datos personales de sus clientes;
- asociaciones que traten los datos de sus miembros;
- escuelas o universidades que traten datos personales de estudiantes y profesores;
- hospitales que tratan datos personales de sus pacientes;
- agencias gubernamentales que tratan datos personales de los ciudadanos.
Ejemplos de encargados del tratamiento de datos:
- una PYME contrata un servicio de contabilidad para mantener sus libros y registros, la PYME es responsable del tratamiento de datos y el servicio de contabilidad es un encargado del tratamiento de datos;
- una empresa de nóminas trata datos personales para una pyme. La empresa de nóminas actuará como encargado si únicamente procesa los datos personales en nombre de la pyme. La PYME determina los fines y medios del tratamiento de datos y, por lo tanto, es responsable del tratamiento de los datos.
- una PYME encarga a una empresa de marketing que recopile direcciones de correo electrónico a través de sitios web de terceros. La empresa de comercialización lo hace de acuerdo con las instrucciones explícitas de la PYME y para los fines exclusivos de la PYME. La empresa de marketing actúa como encargada de esta colección.
Más información:
¿Estoy obligado a hacer público mi registro de tratamientos?
No, no es necesario hacer público su registro de tratamientos. Sin embargo, debe poder poner el registro a disposición de la autoridad de protección de datos previa solicitud.
Más información:
¿Qué es el RGPD?
El RGPD o el Reglamento General de Protección de Datos crea un conjunto armonizado de normas aplicables a todos los tratamientos de datos personales por parte de organizaciones (públicas o privadas, independientemente de su tamaño) establecidas en el Espacio Económico Europeo (EEE) o dirigidas a personas físicas en la UE. El objetivo principal del RGPD es garantizar que los datos personales disfruten del mismo alto nivel de protección en todo el EEE, aumentando la seguridad jurídica tanto para las personas como para las organizaciones que procesan datos, y ofreciendo un alto grado de protección a las personas.
El Reglamento entró en vigor el 24 de mayo de 2016 y es aplicable desde el 25 de mayo de 2018.
¿Cómo puedo mantenerme al día del trabajo del CEPD?
El CEPD publica regularmente comunicados de prensa, noticias, blogs y otros contenidos en el sitio web del CEPD y sus canales de redes sociales (Twitter: N.º @EU_EDPB; LinkedIn: Consejo Europeo de Protección de Datos) para mantener a la comunidad de protección de datos y al público en general al día de su labor.
El sitio web del CEPD también tiene dos canales RSS, a los que puede suscribirse para recibir actualizaciones automáticas sobre las noticias del CEPD y las últimas publicaciones del CEPD.
¿Cuál es la diferencia entre los datos seudonimizados y los datos anonimizados?
La seudonimización consiste en transformar los datos personales para que ya no puedan atribuirse a una determinada persona sin el uso de información adicional, siempre que dicha información adicional se conserve por separado y esté sujeta a medidas técnicas y organizativas para garantizar que los datos personales no se atribuyan a las personas físicas. En la práctica, puede significar la sustitución de datos personales (nombre, nombre, número personal, número de teléfono, etc.) en un conjunto de datos con datos de identificación indirecta (alias, número secuencial, etc.). Los datos seudonimizados siguen siendo datos personales y están sujetos al RGPD.
Los datos anonimizados son datos que se han convertido en anónimos de tal manera que el individuo no es o ya no es identificable por cualquier medio que sea razonablemente probable que se utilice. Cuando la anonimización se implementa correctamente, el RGPD ya no se aplica a los datos anonimizados.
Más información:
¿Necesito un registro de actividades de tratamiento?
En términos generales, cada organización debe mantener un registro de sus actividades de tratamiento. Este es un inventario de todas las operaciones de tratamiento y puede ayudarte a asumir correctamente tus responsabilidades bajo el RGPD y los posibles riesgos.
Cada una de estas operaciones de tratamiento se describirá en el registro con la siguiente información:
- el propósito del tratamiento (por ejemplo, lealtad al cliente);
- las categorías de datos tratados (por ejemplo, para la nómina de sueldos: nombre, nombre, fecha de nacimiento, salario, etc.);
- quién tiene acceso a los datos (los destinatarios, por ejemplo: el departamento encargado de la contratación, el servicio informático, la gestión, los proveedores de servicios, los socios...);
- cuando proceda, información relacionada con transferencias de datos personales fuera del Espacio Económico Europeo (EEE),
- en la medida de lo posible, el período de almacenamiento (período durante el cual los datos son útiles desde el punto de vista operativo y desde una perspectiva de archivo).
- en la medida de lo posible, una descripción general de las medidas de seguridad.
El registro de las actividades de tratamiento es responsabilidad del gerente de su organización.
Este registro debe estar a disposición de la autoridad de protección de datos del país del EEE en el que opere, si se solicita.
No es necesario que las organizaciones que emplean a menos de 250 personas mencionen actividades puramente ocasionales en su registro (por ejemplo, datos tratados para eventos puntuales como la apertura de una tienda).
Más información:
¿Puedo compartir una lista de los datos personales de particulares con mis socios comerciales (terceros)?
Sí, puedes, pero el RGPD impone ciertas obligaciones a las empresas que comparten datos personales. Su organización debe informar a las personas que compartirá sus datos con un tercero. También debes informarles de sus propósitos, seguridad, acceso y las medidas de retención que se aplicarán.
¿Cuáles son los principios básicos de tratamiento bajo el RGPD?
- Todo tratamiento de datos personales debe ser lícito, justo y transparente.
- Solo recopilar datos personales para fines específicos, explícitos y legítimos. El tratamiento de los datos de una persona debe limitarse estrictamente a los fines inicialmente establecidos y, por lo tanto, no tratarlos para fines posteriores o de otro tipo que sean incompatibles con los fines iniciales.
- Solo tratar datos personales que sean necesarios y proporcionados a la luz de la finalidad prevista.
- Todos los datos personales que usted trate deben ser exactos y mantenerse actualizados. Los datos personales inexactos deben ser rectificados o borrados.
- El almacenamiento de los datos personales de las personas físicas debe estar limitado en el tiempo, a la luz de la finalidad para la que se recopilaron y procesaron estos datos. Como tal, los datos personales deben eliminarse o anonimizarse una vez que estos datos ya no sean necesarios.
- El tratamiento de los datos personales debe realizarse de manera segura. En este sentido, deben establecerse controles sólidos de ciberseguridad para garantizar que los datos personales estén adecuadamente protegidos.
Finalmente, el responsable del tratamiento tiene que rendir cuentas. Esto significa que es responsabledel cumplimiento de los principios anteriores y debe poder demostrarlo.
Más información:
¿Cuánto tiempo tengo para responder a una solicitud de acceso?
Debes responder sin demora indebida y a más tardar en el plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse otros dos meses si la solicitud es demasiado compleja y se necesita más tiempo para responder, siempre que se informe a la persona en el plazo de un mes a partir de la recepción de la solicitud.
Debes hacerlo de forma gratuita.
Más información: