Por tratamiento de datos personales se entiende cualquier de actividad (operación de tratamiento) realizada sobre los datos personales de las personas físicas. Esto incluye la recogida, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, investigación, uso, revelación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, supresión o destrucción de datos personales.

El cumplimiento del RGPD es supervisado por las autoridades nacionales de protección de datos (APD). Las APD pueden llevar a cabo investigaciones e imponer sanciones en caso necesario. Las APD tienen a su disposición una serie de herramientas, incluidas multas de hasta 20 millones de euroso el 4 % del volumen de negocios anual mundial, la que sea mayor, amonestaciones y prohibiciones temporales o permanentes de tratamiento.

Puedes encontrar los datos de contacto de todas las APD del EEE en el sitio web del CEPD: Miembros

Más información:

• La Autoridad de protección de datos y tú

El RGPD se aplica al uso de cookies cuando se utilizan para tratar datos personales, pero también hay reglas más específicas para las cookies, incluida la Directiva sobre privacidad y comunicaciones electrónicas.

El almacenamiento de una cookie, o la obtención de acceso a una cookie ya almacenada, en el equipo terminal de un usuario solo está permitido a condición de que el abonado o usuario en cuestión haya sido adecuadamente informado (en particular sobre los fines del tratamiento) y haya dado su consentimiento.

La única excepción son las cookies técnicamente necesarias. Las organizaciones no necesitan solicitar su consentimiento cuando utilizan cookies técnicamente necesarias en sus sitios web.

Más información:

• Procesar datos personales legalmente

El contrato entre el responsable y el encargado del tratamiento debe estipular que el encargado del tratamiento de datos:

• trata los datos personales únicamente siguiendo instrucciones del responsable del tratamiento, incluso en lo que respecta a las transferencias de datos personales a un país no perteneciente al EEE;
• garantiza que las personas autorizadas para tratar los datos se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada;
• garantiza la seguridad del tratamiento;
• no contratará a otro encargado del tratamiento sin previa autorización específica o general por escrito del responsable del tratamiento;
• asiste al responsable del tratamiento para el cumplimiento de la obligación del responsable del tratamiento de responder a las solicitudes individuales de ejercicio de derechos;
• ayuda al responsable del tratamiento a proteger el tratamiento, notificar las brechas de datos y llevar a cabo las EIPD;
• a elección del responsable del tratamiento, suprime o devuelve todos los datos personales al responsable del tratamiento una vez finalizada la prestación de los servicios;
• pone a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones derivadas del RGPD;
• permite y contribuye a las auditorías, incluidas las inspecciones realizadas por el responsable del tratamiento u otro auditor encargado por el responsable del tratamiento.

Además, el encargado del tratamiento informará inmediatamente al responsable del tratamiento si, en su opinión, las instrucciones infringen el RGPD u otras disposiciones de protección de datos de la UE o nacionales.

Más información:

• Responsable o encargado del tratamiento

Una evaluación de impacto de protección de datos o EIPD es una evaluación escrita que su organización debe realizar para evaluar el impacto de una operación de procesamiento planificada. Le ayuda a identificar las medidas adecuadas para abordar los riesgos y demostrar el cumplimiento.

Si bien siempre es preferible anticipar el impacto de las operaciones de tratamiento planificadas de su organización haciendo EIPD, es obligatorio llevar a cabo una EIPD cuando el tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas.

Concretamente, este es el caso cuando el tratamiento previsto implica:

• el tratamiento, a gran escala, de datos personales sensibles o datos relacionados con condenas penales;  
• una evaluación sistemática y exhaustiva de los aspectos personales de una persona basada en el tratamiento automatizado, incluida la elaboración de perfiles, y en la que se basen decisiones que produzcan efectos jurídicos sobre la persona en cuestión o afecten significativamente de manera similar a las personas;
• seguimiento sistemático de una zona de acceso público a gran escala.

El CEPD ha elaborado directrices que enumeran los criterios que debe tener en cuenta al evaluar si una EIPD es obligatoria o no. Las autoridades de protección de datos también han publicado listas de operaciones de tratamiento sujetas a una EIPD. Además, varias DPA han desarrollado guías, software o herramientas de autoevaluación para ayudarlo con su evaluación.

Más información:

• Cumplir la normativa

El primer paso para instalar CCTV es identificar el propósito o propósitos para hacerlo. Los propósitos de instalación de CCTV pueden ser variados, tales como garantizar la seguridad de las instalaciones, ayudar en la prevención y detección de robos y otros delitos, o la protección de la vida y la salud de los empleados, debido a la naturaleza del trabajo.

Al igual que con cualquier tratamiento de datos personales, el registro de las personas debe tener una base legal en virtud del RGPD. El consentimiento puede proporcionar una base legal para dicho tratamiento de datos. Sin embargo, es poco probable que esto se aplique al uso de CCTV en la mayoría de los casos, ya que será difícil obtener el consentimiento libremente dado de todas las personas que probablemente sean grabadas. El fundamento jurídico más común para este tipo de tratamiento de datos personales es el interés legítimo. Cuando el tratamiento se basa en un interés legítimo, tendrá que llevar a cabo una ponderación para determinar si sus intereses legítimos prevalecen sobre los derechos individuales.

Tendrás que informar a las personas que están siendo grabadas. Esto se puede hacer colocando carteles de fácil lectura en lugares visibles. Además, debe colocarse en todas las entradas un letrero que indique la finalidad del sistema de circuito cerrado de televisión y la identidad y los datos de contacto del responsable del tratamiento.

Las personas cuyas imágenes están siendo grabadas por un sistema de CCTV deben recibir la siguiente información:

• la identidad y los datos de contacto del responsable del tratamiento;
• los fines del tratamiento;
• la base jurídica del tratamiento (si el interés legítimo, la información específica sobre qué intereses legítimos se relacionan con el tratamiento específico, y sobre qué entidad persigue cada interés legítimo.);
• los datos de contacto del delegado de protección de datos, RPD (si existe un RPD);
• los destinatarios o categorías de destinatarios de los datos;
• las disposiciones de seguridad para las imágenes de CCTV;
• el período de retención de las imágenes de CCTV;
• la existencia de los derechos de las personas en virtud del RGPD y el derecho a presentar una reclamación ante la autoridad nacional de protección de datos.

Más información:

• Procesar datos personales legalmente
• Respetar los derechos de las personas

Según el RGPD, existen, en principio, dos formas principales de transferir datos personales a un país no perteneciente al EEE o a una organización internacional. Las transferencias pueden efectuarse sobre la base de una decisión de adecuación o, a falta de tal decisión, sobre la base de garantías adecuadas, incluidos derechos exigibles y recursos legales para las personas.

Más información:

• Transferencias internacionales

Las medidas de seguridad necesarias pueden diferir en función de la naturaleza de los datos personales que trata y los riesgos asociados para las personas. En cualquier caso, hay algunas medidas mínimas que debes poner en marcha:

• acceso seguro a los locales;
• utilizar programas antivirus actualizados periódicamente;
• elegir cuidadosamente las contraseñas;
• hacer que los usuarios se autentiquen antes de utilizar los equipos informáticos;
• tener una política de copia de seguridad y recuperación de datos en su lugar en caso de un incidente.

Además, algunas medidas básicas como bloquear la pantalla mientras estás fuera y cerrar la oficina al final del día nunca están fuera de lugar…

Más información:

• Datos personales seguros

1. Asegúrate de que los datos se recopilaron legítimamente y de que las personas afectadas han sido informadas sobre el tratamiento de sus datos personales.
2. En caso de que un tercero esté tratando datos personales en tu nombre, asegúrate de que tiene un contrato responsable-encargado, que detalle las operaciones de tratamiento y los medios para tratar los datos personales.

Y por supuesto, cumplir con todas las obligaciones de los responsables del tratamiento.

Más información:

• Responsable o encargado del tratamiento

Los responsables del tratamiento solo pueden tratar datos personales en una de las siguientes circunstancias:

• con el consentimiento de las personas afectadas;
• cuando el tratamiento sea necesario para la ejecución de un contrato (un contrato entre su organización y una persona);
• cumplir una obligación legal en virtud de la legislación de la UE o nacional;
• cuando el tratamiento sea necesario para la realización de una tarea realizada en interés público con arreglo a la legislación de la UE o nacional;
• proteger los intereses vitales de una persona;
• para los intereses legítimos de su organización, excepto cuando estén anulados por los derechos y libertades de las personas.

Además, el RGPD establece condiciones adicionales para el tratamiento de datos sensibles.

Más información:

• Procesar datos personales legalmente