Preguntas frecuentes
¿Qué es un corresponsable?
Cuando hay dos o más responsables del tratamiento que determinan conjuntamente la finalidad y los medios de tratamiento, se consideran corresponsables del tratamiento. Deciden conjuntamente tratar datos personales para un fin conjunto. La corresponsabilidad puede adoptar muchas formas y la participación de los diferentes controladores puede ser desigual. Por lo tanto, los corresponsables del tratamiento deben determinar sus respectivas responsabilidades para el cumplimiento del RGPD.
Es importante señalar que la corresponsabilidad del tratamiento conduce a la responsabilidad conjunta de una actividad de tratamiento.
- Ejemplo de corresponsabilidad: Las empresas A y B han lanzado un producto de marca compartida y desean organizar un evento para promocionar este producto. Con ese fin, deciden compartir datos de sus respectivos clientes y bases de datos de clientes potenciales y deciden la lista de invitados al evento sobre esta base. También acuerdan las modalidades para enviar las invitaciones al evento, cómo recopilar comentarios durante el evento y acciones de marketing de seguimiento. Las empresas A y B pueden ser consideradas corresponsables del tratamiento de datos personales relacionados con la organización del evento promocional, ya que deciden conjuntamente sobre el propósito definido conjuntamente y los medios esenciales del tratamiento de datos en este contexto.
Más información:
Si quiero almacenar currículums de candidatos para futuros procedimientos de contratación, ¿necesito pedir el consentimiento de los candidatos?
De hecho, el consentimiento podría ser una base jurídica válida para almacenar los currículums de los solicitantes de empleo. Otro posible fundamento jurídico podría ser el interés legítimo. En ese caso, tendrías que sopesar la situación para demostrar que los intereses legítimos de tu organización superan los derechos de los solicitantes.
En cualquier caso, deberás informar a los candidatos que tienes previsto almacenar sus datos y para qué fines.
Más información:
¿Qué constituye un conflicto de intereses para un Delegado de Protección de Datos (DPD)?
Los DPD pueden desempeñar otras tareas dentro de la organización, pero esto no puede dar lugar a un conflicto de intereses. Esto implica que el DPD no puede tener una posición en la que determine los fines y medios de las actividades de tratamiento. Las funciones en conflicto incluyen principalmente puestos de dirección (jefe ejecutivo, jefe de operaciones, director financiero, jefe de recursos humanos, jefe de TI, director gerente), pero también pueden implicar otras funciones si conducen a la determinación de los fines y medios de tratamiento.
El DPD debe poder desempeñar sus funciones y tareas de manera independiente. Esto significa que su organización:
- no podrá dar instrucciones al DPD con respecto al ejercicio de sus funciones de DPD;
- no podrá sancionar o destituir al DPD por el desempeño de sus tareas.
Más información:
¿Qué debo hacer en caso de una brecha de datos?
Una brecha de datos personales es una violación de seguridad que conduce a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a datos personales.
- Si la brecha de datos plantea un riesgo para las personas afectadas, debe notificarlo a la autoridad de protección de datos pertinente en un plazo de 72 horas.
- Si es probable que la violación resulte en un alto riesgo para las personas, también tendrá que comunicar esa violación a las personas afectadas sin demora indebida.
En cualquier caso, para todas las infracciones, incluso las que no se notifiquen a una DPA, debe registrar al menos los detalles básicos de la infracción, la evaluación de la misma, sus efectos y las medidas adoptadas en respuesta.
Más información:
Como responsable del tratamiento, he recabado datos personales de un tercero, ¿qué debo hacer para cumplir la normativa?
- Asegúrate de que los datos se recopilaron legítimamente y de que las personas afectadas han sido informadas sobre el tratamiento de sus datos personales.
- En caso de que un tercero esté tratando datos personales en tu nombre, asegúrate de que tiene un contrato responsable-encargado, que detalle las operaciones de tratamiento y los medios para tratar los datos personales.
Y por supuesto, cumplir con todas las obligaciones de los responsables del tratamiento.
Más información:
¿Cómo puedo obtener un consentimiento válido?
Para que el consentimiento se considere válido, debe ser:
- libre;
- específico;
- informado; e
- inequívoco.
Esto significa que las personas deben tener una verdadera libertad de elección en cuanto a si están de acuerdo o no con el tratamiento de sus datos personales; necesitan información suficiente para comprender qué datos se tratan, con qué finalidad y cómo se hace; también necesitan suficiente granularidad en las solicitudes de consentimiento.
Además, debe haber una acción afirmativa clara por parte de la persona (sin casillas premarcadas y hecha por al margen de las condiciones generales aplicables).
Además, las personas deben poder retirar libremente su consentimiento (sin consecuencias negativas) si cambian de opinión más adelante.
Más información:
¿Cómo puedo respetar los derechos de protección de datos de las personas?
El RGPD prevé derechos específicos para las personas que deben respetarse. Para ello:
- informa a las personas cuyos datos tratas sobre sus operaciones de tratamiento y los fines de tratamiento cuando recoge sus datos, por ejemplo, a través de una declaración de privacidad en su sitio web;
- responde a las solicitudes de las personas para ejercer sus derechos, como las solicitudes de acceso, rectificación, oposición, supresión o portabilidad.
Las organizaciones que son transparentes sobre su uso de datos personales y que respetan los derechos de las personas tienen menos probabilidades de ser objeto de quejas.
Más información:
¿Cuándo debe compartir esta información?
Si su organización está recogiendo los datos personales directamente de los individuos, debes proporcionar la información necesaria en el momento de la recogida.
En caso de recogida indirecta de datos personales, tu organización debe proporcionar la información a más tardar en el plazo de un mes a partir de la obtención inicial de los datos personales. Este período máximo de un mes puede reducirse:
- si los datos personales se utilizan para fines de comunicación con el interesado. En tal caso, debes informar al interesado a más tardar en el momento de la primera comunicación al interesado;
- si los datos se transmiten a otro destinatario, la organización informará de ello a los interesados a más tardar cuando se transfieran los datos personales.
Más información:
¿Qué significa el tratamiento de datos personales?
Por tratamiento de datos personales se entiende cualquier de actividad (operación de tratamiento) realizada sobre los datos personales de las personas físicas. Esto incluye la recogida, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, investigación, uso, revelación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, supresión o destrucción de datos personales.
¿Durante cuánto tiempo puedo almacenar datos personales?
No puedes almacenar datos personales para siempre.
Por regla general, los datos personales solo pueden almacenarse durante el tiempo necesario a la luz de los fines para los que se tratan los datos personales.
En algunos casos, el período de almacenamiento puede ser determinado por leyes específicas, por ejemplo, las regulaciones laborales determinan un período de almacenamiento para las listas de nómina.
Las organizaciones deben establecer políticas de conservación de datos para asegurarse de que los datos personales no se conserven durante más tiempo del necesario. Los datos personales de las personas físicas deben eliminarse o anonimizarse una vez que estos datos ya no sean necesarios para el fin para el que se trataron.
Más información: