Según el RGPD, existen, en principio, dos formas principales de transferir datos personales a un país no perteneciente al EEE o a una organización internacional. Las transferencias pueden efectuarse sobre la base de una decisión de adecuación o, a falta de tal decisión, sobre la base de garantías adecuadas, incluidos derechos exigibles y recursos legales para las personas.

Más información:

• Transferencias internacionales

El contrato entre el responsable y el encargado del tratamiento debe estipular que el encargado del tratamiento de datos:

• trata los datos personales únicamente siguiendo instrucciones del responsable del tratamiento, incluso en lo que respecta a las transferencias de datos personales a un país no perteneciente al EEE;
• garantiza que las personas autorizadas para tratar los datos se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada;
• garantiza la seguridad del tratamiento;
• no contratará a otro encargado del tratamiento sin previa autorización específica o general por escrito del responsable del tratamiento;
• asiste al responsable del tratamiento para el cumplimiento de la obligación del responsable del tratamiento de responder a las solicitudes individuales de ejercicio de derechos;
• ayuda al responsable del tratamiento a proteger el tratamiento, notificar las brechas de datos y llevar a cabo las EIPD;
• a elección del responsable del tratamiento, suprime o devuelve todos los datos personales al responsable del tratamiento una vez finalizada la prestación de los servicios;
• pone a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones derivadas del RGPD;
• permite y contribuye a las auditorías, incluidas las inspecciones realizadas por el responsable del tratamiento u otro auditor encargado por el responsable del tratamiento.

Además, el encargado del tratamiento informará inmediatamente al responsable del tratamiento si, en su opinión, las instrucciones infringen el RGPD u otras disposiciones de protección de datos de la UE o nacionales.

Más información:

• Responsable o encargado del tratamiento

Las cookies son pequeños archivos almacenados en un dispositivo, como un ordenador, un dispositivo móvil o cualquier otro dispositivo que pueda almacenar información. Las cookies cumplen una serie de funciones importantes, como recordar a los usuarios y sus interacciones anteriores con un sitio web. Se pueden utilizar para realizar un seguimiento de los artículos en un carrito de compras en línea o para realizar un seguimiento de la información cuando los detalles se insertan en un formulario de solicitud en línea.

Las cookies de autenticación también son importantes para identificar a los usuarios cuando inician sesión en servicios bancarios y otros servicios en línea. La información almacenada en las cookies puede incluir datos personales, como una dirección IP, un nombre de usuario, un identificador único o una dirección de correo electrónico.

El cumplimiento del RGPD es supervisado por las autoridades nacionales de protección de datos (APD). Las APD pueden llevar a cabo investigaciones e imponer sanciones en caso necesario. Las APD tienen a su disposición una serie de herramientas, incluidas multas de hasta 20 millones de euroso el 4 % del volumen de negocios anual mundial, la que sea mayor, amonestaciones y prohibiciones temporales o permanentes de tratamiento.

Puedes encontrar los datos de contacto de todas las APD del EEE en el sitio web del CEPD: Miembros

Más información:

• La Autoridad de protección de datos y tú

No, usted no necesita tener una certificación para convertirse en un DPD.

Sin embargo, los DPD deben poder demostrar que tienen las cualificaciones necesarias requeridas por el RGPD, como el conocimiento experto de la legislación y las prácticas en materia de protección de datos.

Más información:

• Delegado de Protección de Datos

Una evaluación de impacto de protección de datos o EIPD es una evaluación escrita que su organización debe realizar para evaluar el impacto de una operación de procesamiento planificada. Le ayuda a identificar las medidas adecuadas para abordar los riesgos y demostrar el cumplimiento.

Si bien siempre es preferible anticipar el impacto de las operaciones de tratamiento planificadas de su organización haciendo EIPD, es obligatorio llevar a cabo una EIPD cuando el tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas.

Concretamente, este es el caso cuando el tratamiento previsto implica:

• el tratamiento, a gran escala, de datos personales sensibles o datos relacionados con condenas penales;  
• una evaluación sistemática y exhaustiva de los aspectos personales de una persona basada en el tratamiento automatizado, incluida la elaboración de perfiles, y en la que se basen decisiones que produzcan efectos jurídicos sobre la persona en cuestión o afecten significativamente de manera similar a las personas;
• seguimiento sistemático de una zona de acceso público a gran escala.

El CEPD ha elaborado directrices que enumeran los criterios que debe tener en cuenta al evaluar si una EIPD es obligatoria o no. Las autoridades de protección de datos también han publicado listas de operaciones de tratamiento sujetas a una EIPD. Además, varias DPA han desarrollado guías, software o herramientas de autoevaluación para ayudarlo con su evaluación.

Más información:

• Cumplir la normativa

El tratamiento de datos personales está permitido si existe una base legal para ello. Además del consentimiento libre, específico, informado e inequívoco, se pueden utilizar otras bases legales para el tratamiento.

En otras palabras, el consentimiento es necesario cuando no se aplica ninguna de las otras bases jurídicas.

 

Más información:

• Tratar datos personales legalmente

Sí, el RGPD se aplica si los datos personales están contenidos o están destinados a ser contenidos en un sistema de archivo. Esto significa que el RGPD también se aplica a los registros en papel y no solo al tratamiento automatizado de datos personales.

Más información:

• Aspectos básicos de la protección de datos

Sí, pero para ello, primero deberá determinar la base legal para el tratamiento de este tipo de datos personales. Por ejemplo, el tratamiento podría considerarse un interés legítimo para su organización. Cuando se procesan datos personales sobre la base de un interés legítimo, siempre es necesario sopesar para determinar si tus intereses legítimos superan los derechos de las personas, especialmente si se trata de niños.

Otro posible fundamento jurídico para dicho tratamiento podría ser el consentimiento. En cualquier caso, las personas siempre deben ser informadas con antelación de que el evento está siendo fotografiado o filmado.

Más información:

• Procesar datos personales legalmente

Sí, los encargados del tratamiento (es decir, las personas u organismos que procesan datos en nombre de un responsable del tratamiento), tienen obligaciones en virtud del RGPD. Sin embargo, existen algunas diferencias entre las responsabilidades de los responsables del tratamiento y los encargados del tratamiento.

Los encargados del tratamiento deben cumplir con las responsabilidades establecidas en el contrato responsable-encargado del tratamiento, que detalla las operaciones de tratamiento y los medios para tratar los datos personales. Por ejemplo, el encargado del tratamiento tendrá que llevar a cabo las operaciones de tratamiento con las medidas técnicas y organizativas adecuadas según las instrucciones del responsable del tratamiento. Al hacerlo, el encargado ayuda al responsable a cumplir con el RGPD.

Más información:

• Responsable o encargado del tratamiento