El cumplimiento del RGPD es supervisado por las autoridades nacionales de protección de datos (APD). Las APD pueden llevar a cabo investigaciones e imponer sanciones en caso necesario. Las APD tienen a su disposición una serie de herramientas, incluidas multas de hasta 20 millones de euroso el 4 % del volumen de negocios anual mundial, la que sea mayor, amonestaciones y prohibiciones temporales o permanentes de tratamiento.

Puedes encontrar los datos de contacto de todas las APD del EEE en el sitio web del CEPD: Miembros

Más información:

• La Autoridad de protección de datos y tú

El RGPD se aplica al uso de cookies cuando se utilizan para tratar datos personales, pero también hay reglas más específicas para las cookies, incluida la Directiva sobre privacidad y comunicaciones electrónicas.

El almacenamiento de una cookie, o la obtención de acceso a una cookie ya almacenada, en el equipo terminal de un usuario solo está permitido a condición de que el abonado o usuario en cuestión haya sido adecuadamente informado (en particular sobre los fines del tratamiento) y haya dado su consentimiento.

La única excepción son las cookies técnicamente necesarias. Las organizaciones no necesitan solicitar su consentimiento cuando utilizan cookies técnicamente necesarias en sus sitios web.

Más información:

• Procesar datos personales legalmente

El contrato entre el responsable y el encargado del tratamiento debe estipular que el encargado del tratamiento de datos:

• trata los datos personales únicamente siguiendo instrucciones del responsable del tratamiento, incluso en lo que respecta a las transferencias de datos personales a un país no perteneciente al EEE;
• garantiza que las personas autorizadas para tratar los datos se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada;
• garantiza la seguridad del tratamiento;
• no contratará a otro encargado del tratamiento sin previa autorización específica o general por escrito del responsable del tratamiento;
• asiste al responsable del tratamiento para el cumplimiento de la obligación del responsable del tratamiento de responder a las solicitudes individuales de ejercicio de derechos;
• ayuda al responsable del tratamiento a proteger el tratamiento, notificar las brechas de datos y llevar a cabo las EIPD;
• a elección del responsable del tratamiento, suprime o devuelve todos los datos personales al responsable del tratamiento una vez finalizada la prestación de los servicios;
• pone a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones derivadas del RGPD;
• permite y contribuye a las auditorías, incluidas las inspecciones realizadas por el responsable del tratamiento u otro auditor encargado por el responsable del tratamiento.

Además, el encargado del tratamiento informará inmediatamente al responsable del tratamiento si, en su opinión, las instrucciones infringen el RGPD u otras disposiciones de protección de datos de la UE o nacionales.

Más información:

• Responsable o encargado del tratamiento

El primer paso para instalar CCTV es identificar el propósito o propósitos para hacerlo. Los propósitos de instalación de CCTV pueden ser variados, tales como garantizar la seguridad de las instalaciones, ayudar en la prevención y detección de robos y otros delitos, o la protección de la vida y la salud de los empleados, debido a la naturaleza del trabajo.

Al igual que con cualquier tratamiento de datos personales, el registro de las personas debe tener una base legal en virtud del RGPD. El consentimiento puede proporcionar una base legal para dicho tratamiento de datos. Sin embargo, es poco probable que esto se aplique al uso de CCTV en la mayoría de los casos, ya que será difícil obtener el consentimiento libremente dado de todas las personas que probablemente sean grabadas. El fundamento jurídico más común para este tipo de tratamiento de datos personales es el interés legítimo. Cuando el tratamiento se basa en un interés legítimo, tendrá que llevar a cabo una ponderación para determinar si sus intereses legítimos prevalecen sobre los derechos individuales.

Tendrás que informar a las personas que están siendo grabadas. Esto se puede hacer colocando carteles de fácil lectura en lugares visibles. Además, debe colocarse en todas las entradas un letrero que indique la finalidad del sistema de circuito cerrado de televisión y la identidad y los datos de contacto del responsable del tratamiento.

Las personas cuyas imágenes están siendo grabadas por un sistema de CCTV deben recibir la siguiente información:

• la identidad y los datos de contacto del responsable del tratamiento;
• los fines del tratamiento;
• la base jurídica del tratamiento (si el interés legítimo, la información específica sobre qué intereses legítimos se relacionan con el tratamiento específico, y sobre qué entidad persigue cada interés legítimo.);
• los datos de contacto del delegado de protección de datos, RPD (si existe un RPD);
• los destinatarios o categorías de destinatarios de los datos;
• las disposiciones de seguridad para las imágenes de CCTV;
• el período de retención de las imágenes de CCTV;
• la existencia de los derechos de las personas en virtud del RGPD y el derecho a presentar una reclamación ante la autoridad nacional de protección de datos.

Más información:

• Procesar datos personales legalmente
• Respetar los derechos de las personas

Según el RGPD, existen, en principio, dos formas principales de transferir datos personales a un país no perteneciente al EEE o a una organización internacional. Las transferencias pueden efectuarse sobre la base de una decisión de adecuación o, a falta de tal decisión, sobre la base de garantías adecuadas, incluidos derechos exigibles y recursos legales para las personas.

Más información:

• Transferencias internacionales

Una evaluación de impacto de protección de datos o EIPD es una evaluación escrita que su organización debe realizar para evaluar el impacto de una operación de procesamiento planificada. Le ayuda a identificar las medidas adecuadas para abordar los riesgos y demostrar el cumplimiento.

Si bien siempre es preferible anticipar el impacto de las operaciones de tratamiento planificadas de su organización haciendo EIPD, es obligatorio llevar a cabo una EIPD cuando el tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas.

Concretamente, este es el caso cuando el tratamiento previsto implica:

• el tratamiento, a gran escala, de datos personales sensibles o datos relacionados con condenas penales;  
• una evaluación sistemática y exhaustiva de los aspectos personales de una persona basada en el tratamiento automatizado, incluida la elaboración de perfiles, y en la que se basen decisiones que produzcan efectos jurídicos sobre la persona en cuestión o afecten significativamente de manera similar a las personas;
• seguimiento sistemático de una zona de acceso público a gran escala.

El CEPD ha elaborado directrices que enumeran los criterios que debe tener en cuenta al evaluar si una EIPD es obligatoria o no. Las autoridades de protección de datos también han publicado listas de operaciones de tratamiento sujetas a una EIPD. Además, varias DPA han desarrollado guías, software o herramientas de autoevaluación para ayudarlo con su evaluación.

Más información:

• Cumplir la normativa

Los responsables del tratamiento solo pueden tratar datos personales en una de las siguientes circunstancias:

• con el consentimiento de las personas afectadas;
• cuando el tratamiento sea necesario para la ejecución de un contrato (un contrato entre su organización y una persona);
• cumplir una obligación legal en virtud de la legislación de la UE o nacional;
• cuando el tratamiento sea necesario para la realización de una tarea realizada en interés público con arreglo a la legislación de la UE o nacional;
• proteger los intereses vitales de una persona;
• para los intereses legítimos de su organización, excepto cuando estén anulados por los derechos y libertades de las personas.

Además, el RGPD establece condiciones adicionales para el tratamiento de datos sensibles.

Más información:

• Procesar datos personales legalmente

No, usted no necesita tener una certificación para convertirse en un DPD.

Sin embargo, los DPD deben poder demostrar que tienen las cualificaciones necesarias requeridas por el RGPD, como el conocimiento experto de la legislación y las prácticas en materia de protección de datos.

Más información:

• Delegado de Protección de Datos

Sí, pero para ello, primero deberá determinar la base legal para el tratamiento de este tipo de datos personales. Por ejemplo, el tratamiento podría considerarse un interés legítimo para su organización. Cuando se procesan datos personales sobre la base de un interés legítimo, siempre es necesario sopesar para determinar si tus intereses legítimos superan los derechos de las personas, especialmente si se trata de niños.

Otro posible fundamento jurídico para dicho tratamiento podría ser el consentimiento. En cualquier caso, las personas siempre deben ser informadas con antelación de que el evento está siendo fotografiado o filmado.

Más información:

• Procesar datos personales legalmente

Cada organización, independientemente de su tamaño o sector, establecida en el Espacio Económico Europeo (EEE) o que ofrezca productos o servicios a personas en el EEE, trata datos personales, ya sea por medios automatizados o no, para cumplir con el RGPD. Incluso si el RGPD se refiere principalmente al tratamiento automatizado de datos personales, las operaciones de tratamiento realizadas manualmente también estarán sujetas al RGPD desde el momento en que los archivos en papel se organizan de manera sistemática, por ejemplo, ordenados alfabéticamente en un archivador.

Ejemplos de operaciones de tratamiento incluyen la recopilación, grabación, organización, uso, modificación, almacenamiento, divulgación, alteración y borrado de los datos personales de las personas.

No obstante, la aplicación del RGPD se modula en función de la naturaleza, el contexto, los fines y los riesgos de las operaciones de tratamiento realizadas. Para las pymes cuya actividad principal no es el tratamiento de datos personales, las obligaciones pueden ser menos estrictas que para una gran empresa.

Más información:

• Aspectos básicos de la protección de datos