Por datos personales se entiende cualquier información relacionada con una persona identificada o identificable. Un individuo identificable es cualquier persona que pueda ser identificada, ya sea directa o indirectamente. Los diferentes elementos de información que se suman podrían conducir a la identificación de una persona en particular también constituyen datos personales.

Ejemplos de datos personales incluyen:

• nombre y apellidos;
• una dirección de domicilio;
• una dirección de correo electrónico;
• un número de documento de identidad;
• datos de localización;
• una dirección de protocolo de Internet (IP);
• un ID de cookie;
• cuentas bancarias;
• informes fiscales;
• datos biométricos (como huellas dactilares);
• un número de seguridad social;
• número de pasaporte;
• resultados de los ensayos;
• grados en la escuela;
• historial de navegación;
• fotografía de una persona;
• número de matrícula del vehículo, etc.

Más información:

• Aspectos básicos de la protección de datos

El RGPD o el Reglamento General de Protección de Datos crea un conjunto armonizado de normas aplicables a todos los tratamientos de datos personales por parte de organizaciones (públicas o privadas, independientemente de su tamaño) establecidas en el Espacio Económico Europeo (EEE) o dirigidas a personas físicas en la UE. El objetivo principal del RGPD es garantizar que los datos personales disfruten del mismo alto nivel de protección en todo el EEE, aumentando la seguridad jurídica tanto para las personas como para las organizaciones que procesan datos, y ofreciendo un alto grado de protección a las personas.

El Reglamento entró en vigor el 24 de mayo de 2016 y es aplicable desde el 25 de mayo de 2018.

El RGPD distingue entre dos funciones principales: las del responsable del tratamiento y del encargado del tratamiento de datos. Esta distinción es crucial, ya que el responsable del tratamiento tiene más responsabilidad y tiene que cumplir más obligaciones que el encargado del tratamiento.

Los responsables y encargados del tratamiento pueden ser personas físicas o jurídicas, por ejemplo: una PYME, una autoridad pública, una empresa, una organización, un organismo estatal, una asociación, etc.

Un responsable del tratamiento determina los fines y medios de una operación de tratamiento. En otras palabras, el responsable del tratamiento decide el cómo y por qué de una operación de procesamiento. Considerando que los encargados tratan datos personales en nombre del responsable del tratamiento. El tratamiento realizado por los encargados del tratamiento debe estar regulado por un contrato con el responsable del tratamiento u otro acto jurídico.

Ejemplos de responsables del tratamiento de datos:

• empresas que tratan los datos personales de sus clientes para completar una venta;
• instituciones financieras que procesan datos personales de sus clientes;
• asociaciones que traten los datos de sus miembros;
• escuelas o universidades que traten datos personales de estudiantes y profesores;
• hospitales que tratan datos personales de sus pacientes;
• agencias gubernamentales que tratan datos personales de los ciudadanos.

Ejemplos de encargados del tratamiento de datos:

• una PYME contrata un servicio de contabilidad para mantener sus libros y registros, la PYME es responsable del tratamiento de datos y el servicio de contabilidad es un encargado del tratamiento de datos;
• una empresa de nóminas trata datos personales para una pyme. La empresa de nóminas actuará como encargado si únicamente procesa los datos personales en nombre de la pyme. La PYME determina los fines y medios del tratamiento de datos y, por lo tanto, es responsable del tratamiento de los datos.
• una PYME encarga a una empresa de marketing que recopile direcciones de correo electrónico a través de sitios web de terceros.  La empresa de comercialización lo hace de acuerdo con las instrucciones explícitas de la PYME y para los fines exclusivos de la PYME. La empresa de marketing actúa como encargada de esta colección.

Más información:

• Responsable o encargado del tratamiento

No, no es necesario hacer público su registro de tratamientos. Sin embargo, debe poder poner el registro a disposición de la autoridad de protección de datos previa solicitud.

Más información:

• Cumplir la normativa

• Todo tratamiento de datos personales debe ser lícito, justo y transparente.
• Solo recopilar datos personales para fines específicos, explícitos y legítimos. El tratamiento de los datos de una persona debe limitarse estrictamente a los fines inicialmente establecidos y, por lo tanto, no tratarlos para fines posteriores o de otro tipo que sean incompatibles con los fines iniciales.
• Solo tratar datos personales que sean necesarios y proporcionados a la luz de la finalidad prevista.
• Todos los datos personales que usted trate deben ser exactos y mantenerse actualizados. Los datos personales inexactos deben ser rectificados o borrados.
• El almacenamiento de los datos personales de las personas físicas debe estar limitado en el tiempo, a la luz de la finalidad para la que se recopilaron y procesaron estos datos. Como tal, los datos personales deben eliminarse o anonimizarse una vez que estos datos ya no sean necesarios.
• El tratamiento de los datos personales debe realizarse de manera segura. En este sentido, deben establecerse controles sólidos de ciberseguridad para garantizar que los datos personales estén adecuadamente protegidos.

Finalmente, el responsable del tratamiento tiene que rendir cuentas. Esto significa que es responsabledel cumplimiento de los principios anteriores y debe poder demostrarlo.

Más información:

• Protección de datos básica

El CEPD publica regularmente comunicados de prensa, noticias, blogs y otros contenidos en el sitio web del CEPD y sus canales de redes sociales (Twitter: N.º @EU_EDPB; LinkedIn: Consejo Europeo de Protección de Datos) para mantener a la comunidad de protección de datos y al público en general al día de su labor.

El sitio web del CEPD también tiene dos canales RSS, a los que puede suscribirse para recibir actualizaciones automáticas sobre las noticias del CEPD y las últimas publicaciones del CEPD.

La seudonimización consiste en transformar los datos personales para que ya no puedan atribuirse a una determinada persona sin el uso de información adicional, siempre que dicha información adicional se conserve por separado y esté sujeta a medidas técnicas y organizativas para garantizar que los datos personales no se atribuyan a las personas físicas. En la práctica, puede significar la sustitución de datos personales (nombre, nombre, número personal, número de teléfono, etc.) en un conjunto de datos con datos de identificación indirecta (alias, número secuencial, etc.). Los datos seudonimizados siguen siendo datos personales y están sujetos al RGPD.

Los datos anonimizados son datos que se han convertido en anónimos de tal manera que el individuo no es o ya no es identificable por cualquier medio que sea razonablemente probable que se utilice. Cuando la anonimización se implementa correctamente, el RGPD ya no se aplica a los datos anonimizados.

Más información:

• Datos personales seguros

Algunos tipos de datos personales pertenecen a categorías especiales de datos personales, lo que significa que merecen más protección, los llamados datos sensibles. Los datos sensibles incluyen datos que revelan información sobre:

• la salud de una persona;
• la orientación sexual de un individuo;
• el origen racial o étnico de una persona;
• las opiniones políticas, las creencias religiosas o filosóficas de un individuo; la afiliación sindical de una persona;
• datos biométricos y genéticos de un individuo.

El tratamiento de los datos sensibles de una persona está generalmente prohibido, excepto en circunstancias específicas que justifiquen su procesamiento.

Más información:

• Aspectos básicos de la protección de datos

El cumplimiento del RGPD es supervisado por las autoridades nacionales de protección de datos (APD). Las APD pueden llevar a cabo investigaciones e imponer sanciones en caso necesario. Las APD tienen a su disposición una serie de herramientas, incluidas multas de hasta 20 millones de euroso el 4 % del volumen de negocios anual mundial, la que sea mayor, amonestaciones y prohibiciones temporales o permanentes de tratamiento.

Puedes encontrar los datos de contacto de todas las APD del EEE en el sitio web del CEPD: Miembros

Más información:

• La Autoridad de protección de datos y tú

Sí, puedes, pero el RGPD impone ciertas obligaciones a las empresas que comparten datos personales. Su organización debe informar a las personas que compartirá sus datos con un tercero. También debes informarles de sus propósitos, seguridad, acceso y las medidas de retención que se aplicarán.