Preguntas frecuentes
¿Cuáles son las funciones del Delegado de Protección de Datos (DPD)?
La tarea del DPD incluye, entre otras:
- informar y asesorar a la organización y a sus empleados sobre el cumplimiento de la protección de datos;
- supervisar el cumplimiento de la protección de datos;
- prestar asesoramiento sobre las solicitudes relativas a la evaluación de impacto en materia de protección de datos (EIPD);
- actuar como punto de contacto de la autoridad de protección de datos y cooperar con dicha autoridad de protección de datos;
- actuar como punto de contacto para las personas.
Además, generalmente se recomienda la presencia del DPD cuando se toman decisiones con implicaciones en la protección de datos. El DPD también debe ser consultado rápidamente una vez que se haya producido una violación de datos u otro incidente.
Más información:
¿Cuándo debe compartir esta información?
Si su organización está recogiendo los datos personales directamente de los individuos, debes proporcionar la información necesaria en el momento de la recogida.
En caso de recogida indirecta de datos personales, tu organización debe proporcionar la información a más tardar en el plazo de un mes a partir de la obtención inicial de los datos personales. Este período máximo de un mes puede reducirse:
- si los datos personales se utilizan para fines de comunicación con el interesado. En tal caso, debes informar al interesado a más tardar en el momento de la primera comunicación al interesado;
- si los datos se transmiten a otro destinatario, la organización informará de ello a los interesados a más tardar cuando se transfieran los datos personales.
Más información:
¿Es necesario tener certificación para convertirme en un Delegado de Protección de Datos (DPD)?
No, usted no necesita tener una certificación para convertirse en un DPD.
Sin embargo, los DPD deben poder demostrar que tienen las cualificaciones necesarias requeridas por el RGPD, como el conocimiento experto de la legislación y las prácticas en materia de protección de datos.
Más información:
¿Puedo publicar los nombres de los ganadores de un concurso en el sitio web de mi organización?
Publicar los nombres de los ganadores de un concurso en tu sitio web podría considerarse un interés legítimo, si puedes probarlo llevando a cabo una prueba de sopesamiento para determinar si tus intereses legítimos prevalecen sobre el derecho de las personas.
Una buena práctica sería establecer un procedimiento interno en el que se expliquen las normas sobre la publicación de datos personales de los ganadores.
Además, el tratamiento de datos personales para estos fines debe formar parte de la política de privacidad del concurso, de modo que los participantes sean informados de antemano sobre cómo se van a tratar sus datos.
Más información:
¿Qué puedo hacer en caso de que el encargado del tratamiento de datos no quiera firmar un contrato responsable-encargado?
Un contrato válido entre el responsable del tratamiento y el encargado del tratamiento es obligatorio en virtud del RGPD. La infracción puede ser objeto de una multa administrativa de hasta 10 millones de euros o de hasta el 2 % del volumen de negocios anual total de una empresa, lo que sea mayor.
Para orientarte a la hora de establecer un acuerdo sobre el responsable del tratamiento, las autoridades danesas y eslovenas de protección de datos, así como la Comisión Europea, han elaborado acuerdos sobre modelos.
Más información:
¿Qué son las cookies?
Las cookies son pequeños archivos almacenados en un dispositivo, como un ordenador, un dispositivo móvil o cualquier otro dispositivo que pueda almacenar información. Las cookies cumplen una serie de funciones importantes, como recordar a los usuarios y sus interacciones anteriores con un sitio web. Se pueden utilizar para realizar un seguimiento de los artículos en un carrito de compras en línea o para realizar un seguimiento de la información cuando los detalles se insertan en un formulario de solicitud en línea.
Las cookies de autenticación también son importantes para identificar a los usuarios cuando inician sesión en servicios bancarios y otros servicios en línea. La información almacenada en las cookies puede incluir datos personales, como una dirección IP, un nombre de usuario, un identificador único o una dirección de correo electrónico.
¿Cómo puedo obtener un consentimiento válido?
Para que el consentimiento se considere válido, debe ser:
- libre;
- específico;
- informado; e
- inequívoco.
Esto significa que las personas deben tener una verdadera libertad de elección en cuanto a si están de acuerdo o no con el tratamiento de sus datos personales; necesitan información suficiente para comprender qué datos se tratan, con qué finalidad y cómo se hace; también necesitan suficiente granularidad en las solicitudes de consentimiento.
Además, debe haber una acción afirmativa clara por parte de la persona (sin casillas premarcadas y hecha por al margen de las condiciones generales aplicables).
Además, las personas deben poder retirar libremente su consentimiento (sin consecuencias negativas) si cambian de opinión más adelante.
Más información:
¿Cómo puedo respetar los derechos de protección de datos de las personas?
El RGPD prevé derechos específicos para las personas que deben respetarse. Para ello:
- informa a las personas cuyos datos tratas sobre sus operaciones de tratamiento y los fines de tratamiento cuando recoge sus datos, por ejemplo, a través de una declaración de privacidad en su sitio web;
- responde a las solicitudes de las personas para ejercer sus derechos, como las solicitudes de acceso, rectificación, oposición, supresión o portabilidad.
Las organizaciones que son transparentes sobre su uso de datos personales y que respetan los derechos de las personas tienen menos probabilidades de ser objeto de quejas.
Más información:
¿Cómo respondo a una solicitud de supresión?
Las personas físicas tienen derecho a solicitar la supresión de los datos personales que les conciernen y, en tal caso, el responsable del tratamiento tiene la obligación de suprimir los datos personales. Debes responder sin demora indebida y a más tardar en el plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse otros dos meses si la solicitud es demasiado compleja y se necesita más tiempo para dar cumplimiento a la solicitud, siempre que se informe a la persona en el plazo de un mes a partir de la recepción de la solicitud.
Es importante señalar que el derecho de supresión no es absoluto. No se aplica cuando los datos en cuestión son necesarios para:
- ejercer el derecho a la libertad de expresión e información (por ejemplo, con fines periodísticos);
- el cumplimiento de una obligación legal que requiera el tratamiento de datos personales (por ejemplo, el tratamiento de registros sobre las horas de trabajo de los empleados);
- razones de interés público en el ámbito de la salud pública
- fines de archivo de interés público o de investigación científica o histórica o fines estadísticos; y
- el establecimiento, ejercicio o defensa de reclamaciones.
Cuando los datos personales que se van a borrar hayan sido transferidos previamente a otras organizaciones, debes informar a estos destinatarios de que la persona ha solicitado la supresión, a menos que esto resulte imposible o requiera esfuerzos desproporcionados.
Más información:
¿Cuánto tiempo tengo para responder a una solicitud de acceso?
Debes responder sin demora indebida y a más tardar en el plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse otros dos meses si la solicitud es demasiado compleja y se necesita más tiempo para responder, siempre que se informe a la persona en el plazo de un mes a partir de la recepción de la solicitud.
Debes hacerlo de forma gratuita.
Más información: