La tarea del DPD incluye, entre otras:

• informar y asesorar a la organización y a sus empleados sobre el cumplimiento de la protección de datos;
• supervisar el cumplimiento de la protección de datos;
• prestar asesoramiento sobre las solicitudes relativas a la evaluación de impacto en materia de protección de datos (EIPD);
• actuar como punto de contacto de la autoridad de protección de datos y cooperar con dicha autoridad de protección de datos;
• actuar como punto de contacto para las personas.

Además, generalmente se recomienda la presencia del DPD cuando se toman decisiones con implicaciones en la protección de datos. El DPD también debe ser consultado rápidamente una vez que se haya producido una violación de datos u otro incidente.

Más información:

• Delegado de Protección de Datos

Cada organización, independientemente de su tamaño o sector, establecida en el Espacio Económico Europeo (EEE) o que ofrezca productos o servicios a personas en el EEE, trata datos personales, ya sea por medios automatizados o no, para cumplir con el RGPD. Incluso si el RGPD se refiere principalmente al tratamiento automatizado de datos personales, las operaciones de tratamiento realizadas manualmente también estarán sujetas al RGPD desde el momento en que los archivos en papel se organizan de manera sistemática, por ejemplo, ordenados alfabéticamente en un archivador.

Ejemplos de operaciones de tratamiento incluyen la recopilación, grabación, organización, uso, modificación, almacenamiento, divulgación, alteración y borrado de los datos personales de las personas.

No obstante, la aplicación del RGPD se modula en función de la naturaleza, el contexto, los fines y los riesgos de las operaciones de tratamiento realizadas. Para las pymes cuya actividad principal no es el tratamiento de datos personales, las obligaciones pueden ser menos estrictas que para una gran empresa.

Más información:

• Aspectos básicos de la protección de datos

No, no es necesario hacer público su registro de tratamientos. Sin embargo, debe poder poner el registro a disposición de la autoridad de protección de datos previa solicitud.

Más información:

• Cumplir la normativa

Sí, puedes, pero el RGPD impone ciertas obligaciones a las empresas que comparten datos personales. Su organización debe informar a las personas que compartirá sus datos con un tercero. También debes informarles de sus propósitos, seguridad, acceso y las medidas de retención que se aplicarán.

El RGPD se aplica al uso de cookies cuando se utilizan para tratar datos personales, pero también hay reglas más específicas para las cookies, incluida la Directiva sobre privacidad y comunicaciones electrónicas.

El almacenamiento de una cookie, o la obtención de acceso a una cookie ya almacenada, en el equipo terminal de un usuario solo está permitido a condición de que el abonado o usuario en cuestión haya sido adecuadamente informado (en particular sobre los fines del tratamiento) y haya dado su consentimiento.

La única excepción son las cookies técnicamente necesarias. Las organizaciones no necesitan solicitar su consentimiento cuando utilizan cookies técnicamente necesarias en sus sitios web.

Más información:

• Procesar datos personales legalmente

El contrato entre el responsable y el encargado del tratamiento debe estipular que el encargado del tratamiento de datos:

• trata los datos personales únicamente siguiendo instrucciones del responsable del tratamiento, incluso en lo que respecta a las transferencias de datos personales a un país no perteneciente al EEE;
• garantiza que las personas autorizadas para tratar los datos se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada;
• garantiza la seguridad del tratamiento;
• no contratará a otro encargado del tratamiento sin previa autorización específica o general por escrito del responsable del tratamiento;
• asiste al responsable del tratamiento para el cumplimiento de la obligación del responsable del tratamiento de responder a las solicitudes individuales de ejercicio de derechos;
• ayuda al responsable del tratamiento a proteger el tratamiento, notificar las brechas de datos y llevar a cabo las EIPD;
• a elección del responsable del tratamiento, suprime o devuelve todos los datos personales al responsable del tratamiento una vez finalizada la prestación de los servicios;
• pone a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones derivadas del RGPD;
• permite y contribuye a las auditorías, incluidas las inspecciones realizadas por el responsable del tratamiento u otro auditor encargado por el responsable del tratamiento.

Además, el encargado del tratamiento informará inmediatamente al responsable del tratamiento si, en su opinión, las instrucciones infringen el RGPD u otras disposiciones de protección de datos de la UE o nacionales.

Más información:

• Responsable o encargado del tratamiento

El DPD no puede ser considerado responsable por el incumplimiento del RGPD. El cumplimiento del RGPD es responsabilidad de la organización que designó al DPD.

Más información:

• Delegado de Protección de Datos

El primer paso para instalar CCTV es identificar el propósito o propósitos para hacerlo. Los propósitos de instalación de CCTV pueden ser variados, tales como garantizar la seguridad de las instalaciones, ayudar en la prevención y detección de robos y otros delitos, o la protección de la vida y la salud de los empleados, debido a la naturaleza del trabajo.

Al igual que con cualquier tratamiento de datos personales, el registro de las personas debe tener una base legal en virtud del RGPD. El consentimiento puede proporcionar una base legal para dicho tratamiento de datos. Sin embargo, es poco probable que esto se aplique al uso de CCTV en la mayoría de los casos, ya que será difícil obtener el consentimiento libremente dado de todas las personas que probablemente sean grabadas. El fundamento jurídico más común para este tipo de tratamiento de datos personales es el interés legítimo. Cuando el tratamiento se basa en un interés legítimo, tendrá que llevar a cabo una ponderación para determinar si sus intereses legítimos prevalecen sobre los derechos individuales.

Tendrás que informar a las personas que están siendo grabadas. Esto se puede hacer colocando carteles de fácil lectura en lugares visibles. Además, debe colocarse en todas las entradas un letrero que indique la finalidad del sistema de circuito cerrado de televisión y la identidad y los datos de contacto del responsable del tratamiento.

Las personas cuyas imágenes están siendo grabadas por un sistema de CCTV deben recibir la siguiente información:

• la identidad y los datos de contacto del responsable del tratamiento;
• los fines del tratamiento;
• la base jurídica del tratamiento (si el interés legítimo, la información específica sobre qué intereses legítimos se relacionan con el tratamiento específico, y sobre qué entidad persigue cada interés legítimo.);
• los datos de contacto del delegado de protección de datos, RPD (si existe un RPD);
• los destinatarios o categorías de destinatarios de los datos;
• las disposiciones de seguridad para las imágenes de CCTV;
• el período de retención de las imágenes de CCTV;
• la existencia de los derechos de las personas en virtud del RGPD y el derecho a presentar una reclamación ante la autoridad nacional de protección de datos.

Más información:

• Procesar datos personales legalmente
• Respetar los derechos de las personas

El RGPD otorga a las personas el control sobre el tratamiento de sus datos personales. Para ello, la transparencia es clave. Esto significa que debe informar a las personas cuyos datos trata sobre sus operaciones de tratamiento y los fines. En otras palabras, hay que explicar quién trata sus datos, pero también cómo y por qué. Solo si el uso de datos personales es «transparente» para los involucrados, pueden evaluar los posibles riesgos y tomar decisiones sobre sus datos personales.

En virtud del RGPD, estás obligado a compartir la siguiente información con las personas físicas:

• la identidad y los datos de contacto del responsable del tratamiento;
• los fines del tratamiento;
• la base jurídica del tratamiento (si el interés legítimo, la información específica sobre qué intereses legítimos se relacionan con el tratamiento específico, y sobre qué entidad persigue cada interés legítimo.)
• los datos de contacto del responsable del tratamiento;
• los datos de contacto del DPD (si existe un DPD);
• los destinatarios o categorías de destinatarios de los datos;
• Información sobre si los datos se transferirán fuera del Espacio Económico Europeo (EEE) (si procede: la existencia o no de una decisión de adecuación o referencia a las garantías adecuadas y la forma en que esta información puede ponerse a disposición de los interesados;
• las categorías de datos personales tratados, cuando los datos no se obtienen de la persona.

Además, el RGPD requiere que tu organización proporcione la siguiente información para garantizar un procesamiento justo y transparente:

• el período de retención o, cuando esto no sea posible, los criterios utilizados para determinar dicho período;
• el derecho a solicitar el acceso, la supresión, la rectificación, la limitación, la objeción y la portabilidad de los datos personales;
• el derecho a presentar una reclamación ante una autoridad de protección de datos;
• si la base jurídica del tratamiento es el consentimiento: el derecho a retirar el consentimiento en cualquier momento;
• en el caso de la toma de decisiones automatizada, información pertinente sobre la lógica subyacente y las consecuencias previstas del tratamiento para el interesado;
• la fuente de los datos personales (si no los recibió directamente de la persona en cuestión;
• si la persona está obligada a proporcionar los datos personales (por ley o por contrato o para celebrar un contrato) y cuáles son las consecuencias de negarse a proporcionar los datos.

Más información:

• Respetar los derechos de las personas

Los responsables del tratamiento solo pueden tratar datos personales en una de las siguientes circunstancias:

• con el consentimiento de las personas afectadas;
• cuando el tratamiento sea necesario para la ejecución de un contrato (un contrato entre su organización y una persona);
• cumplir una obligación legal en virtud de la legislación de la UE o nacional;
• cuando el tratamiento sea necesario para la realización de una tarea realizada en interés público con arreglo a la legislación de la UE o nacional;
• proteger los intereses vitales de una persona;
• para los intereses legítimos de su organización, excepto cuando estén anulados por los derechos y libertades de las personas.

Además, el RGPD establece condiciones adicionales para el tratamiento de datos sensibles.

Más información:

• Procesar datos personales legalmente