No puedes almacenar datos personales para siempre.

Por regla general, los datos personales solo pueden almacenarse durante el tiempo necesario a la luz de los fines para los que se tratan los datos personales.

En algunos casos, el período de almacenamiento puede ser determinado por leyes específicas, por ejemplo, las regulaciones laborales determinan un período de almacenamiento para las listas de nómina.

Las organizaciones deben establecer políticas de conservación de datos para asegurarse de que los datos personales no se conserven durante más tiempo del necesario. Los datos personales de las personas físicas deben eliminarse o anonimizarse una vez que estos datos ya no sean necesarios para el fin para el que se trataron.

Más información:

• Aspectos básicos de la protección de datos

El DPD no puede ser considerado responsable por el incumplimiento del RGPD. El cumplimiento del RGPD es responsabilidad de la organización que designó al DPD.

Más información:

• Delegado de Protección de Datos

No, el tratamiento de datos sensibles está generalmente prohibido, excepto en circunstancias muy específicas:

• La persona ha dado su consentimiento explícito para que sus datos sensibles sean tratados.
• El tratamiento de datos sensibles es necesario para que el responsable del tratamiento cumpla sus obligaciones, en particular en el contexto del empleo, la seguridad social y la protección social. Por ejemplo, el responsable del tratamiento puede necesitar tratar datos sensibles de una persona para poder determinar si tiene derecho a ciertas prestaciones de seguridad social o a estipendios laborales.
• El tratamiento de datos sensibles es necesario para proteger los intereses vitales de una persona cuando la persona es física o legalmente incapaz de dar su consentimiento. Por ejemplo, si una persona queda inconsciente como resultado de un accidente y requiere atención médica inmediata, es posible que sus datos de salud deban tratarse para que se brinde la atención médica adecuada.
• El tratamiento de datos sensibles se lleva a cabo en el contexto de las actividades legítimas de una fundación, asociación u otra organización sin ánimo de lucro con fines políticos, filosóficos, religiosos o sindicales, y solo para el tratamiento de los datos personales de sus miembros, antiguos miembros o personas que tengan contacto regular con ellos.
• Los datos sensibles fueron hechos públicos manifiestamente por individuos.
• El tratamiento de datos sensibles es necesario en el contexto de procedimientos judiciales.
• El tratamiento de datos sensibles es necesario para cuestiones de interés público sustancial.
• El tratamiento de datos sensibles es necesario en el contexto de la medicina preventiva o laboral. Por ejemplo, la evaluación de los datos sensibles de una persona, como sus datos médicos, puede ser necesaria para determinar su capacidad de trabajo como empleado.
• El tratamiento de datos sensibles es necesario para cuestiones de salud pública sobre la base de la legislación de la UE o nacional. Por ejemplo, el tratamiento de datos sensibles de las personas puede ser necesario para garantizar una alta calidad de la atención médica y una alta calidad de los productos médicos, o para combatir las amenazas graves para la salud, como los virus.
• El tratamiento de datos sensibles es necesario para fines de archivo de interés público, o para fines de investigación científica o histórica, o fines estadísticos. Por ejemplo, el tratamiento de datos sensibles puede ser necesario para proporcionar estadísticas precisas sobre la situación de un país en un campo particular.

Más información:

• Procesar datos personales legalmente

Sí, pero para ello, primero deberá determinar la base legal para el tratamiento de este tipo de datos personales. Por ejemplo, el tratamiento podría considerarse un interés legítimo para su organización. Cuando se procesan datos personales sobre la base de un interés legítimo, siempre es necesario sopesar para determinar si tus intereses legítimos superan los derechos de las personas, especialmente si se trata de niños.

Otro posible fundamento jurídico para dicho tratamiento podría ser el consentimiento. En cualquier caso, las personas siempre deben ser informadas con antelación de que el evento está siendo fotografiado o filmado.

Más información:

• Procesar datos personales legalmente

Cada organización, independientemente de su tamaño o sector, establecida en el Espacio Económico Europeo (EEE) o que ofrezca productos o servicios a personas en el EEE, trata datos personales, ya sea por medios automatizados o no, para cumplir con el RGPD. Incluso si el RGPD se refiere principalmente al tratamiento automatizado de datos personales, las operaciones de tratamiento realizadas manualmente también estarán sujetas al RGPD desde el momento en que los archivos en papel se organizan de manera sistemática, por ejemplo, ordenados alfabéticamente en un archivador.

Ejemplos de operaciones de tratamiento incluyen la recopilación, grabación, organización, uso, modificación, almacenamiento, divulgación, alteración y borrado de los datos personales de las personas.

No obstante, la aplicación del RGPD se modula en función de la naturaleza, el contexto, los fines y los riesgos de las operaciones de tratamiento realizadas. Para las pymes cuya actividad principal no es el tratamiento de datos personales, las obligaciones pueden ser menos estrictas que para una gran empresa.

Más información:

• Aspectos básicos de la protección de datos

Los DPD pueden desempeñar otras tareas dentro de la organización, pero esto no puede dar lugar a un conflicto de intereses. Esto implica que el DPD no puede tener una posición en la que determine los fines y medios de las actividades de tratamiento. Las funciones en conflicto incluyen principalmente puestos de dirección (jefe ejecutivo, jefe de operaciones, director financiero, jefe de recursos humanos, jefe de TI, director gerente), pero también pueden implicar otras funciones si conducen a la determinación de los fines y medios de tratamiento.

El DPD debe poder desempeñar sus funciones y tareas de manera independiente. Esto significa que su organización:

• no podrá dar instrucciones al DPD con respecto al ejercicio de sus funciones de DPD;
• no podrá sancionar o destituir al DPD por el desempeño de sus tareas.

Más información:

• Delegado de Protección de Datos

Las personas pueden preguntarte si estás tratando sus datos y, en su caso, tienen derecho a acceder a esos datos. Por lo tanto, cuando esto ocurra y si tratas sus datos, debes, por ejemplo, proporcionar una copia de sus datos personales, de forma gratuita, junto con cualquier información adicional necesaria. Cuando una solicitud se hace electrónicamente, tu organización debe proporcionar la información requerida en un formato electrónico de uso común, a menos que la persona solicite lo contrario.

Más información:

• Respetar los derechos de las personas

Una brecha de datos personales es una violación de seguridad que conduce a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a datos personales.

• Si la brecha de datos plantea un riesgo para las personas afectadas, debe notificarlo a la autoridad de protección de datos pertinente en un plazo de 72 horas.
• Si es probable que la violación resulte en un alto riesgo para las personas, también tendrá que comunicar esa violación a las personas afectadas sin demora indebida.

En cualquier caso, para todas las infracciones, incluso las que no se notifiquen a una DPA, debe registrar al menos los detalles básicos de la infracción, la evaluación de la misma, sus efectos y las medidas adoptadas en respuesta.

Más información:

• Brechas de datos

El RGPD otorga a las personas el control sobre el tratamiento de sus datos personales. Para ello, la transparencia es clave. Esto significa que debe informar a las personas cuyos datos trata sobre sus operaciones de tratamiento y los fines. En otras palabras, hay que explicar quién trata sus datos, pero también cómo y por qué. Solo si el uso de datos personales es «transparente» para los involucrados, pueden evaluar los posibles riesgos y tomar decisiones sobre sus datos personales.

En virtud del RGPD, estás obligado a compartir la siguiente información con las personas físicas:

• la identidad y los datos de contacto del responsable del tratamiento;
• los fines del tratamiento;
• la base jurídica del tratamiento (si el interés legítimo, la información específica sobre qué intereses legítimos se relacionan con el tratamiento específico, y sobre qué entidad persigue cada interés legítimo.)
• los datos de contacto del responsable del tratamiento;
• los datos de contacto del DPD (si existe un DPD);
• los destinatarios o categorías de destinatarios de los datos;
• Información sobre si los datos se transferirán fuera del Espacio Económico Europeo (EEE) (si procede: la existencia o no de una decisión de adecuación o referencia a las garantías adecuadas y la forma en que esta información puede ponerse a disposición de los interesados;
• las categorías de datos personales tratados, cuando los datos no se obtienen de la persona.

Además, el RGPD requiere que tu organización proporcione la siguiente información para garantizar un procesamiento justo y transparente:

• el período de retención o, cuando esto no sea posible, los criterios utilizados para determinar dicho período;
• el derecho a solicitar el acceso, la supresión, la rectificación, la limitación, la objeción y la portabilidad de los datos personales;
• el derecho a presentar una reclamación ante una autoridad de protección de datos;
• si la base jurídica del tratamiento es el consentimiento: el derecho a retirar el consentimiento en cualquier momento;
• en el caso de la toma de decisiones automatizada, información pertinente sobre la lógica subyacente y las consecuencias previstas del tratamiento para el interesado;
• la fuente de los datos personales (si no los recibió directamente de la persona en cuestión;
• si la persona está obligada a proporcionar los datos personales (por ley o por contrato o para celebrar un contrato) y cuáles son las consecuencias de negarse a proporcionar los datos.

Más información:

• Respetar los derechos de las personas

El DPD puede ser un empleado existente con suficiente conocimiento del RGPD (si las tareas profesionales del empleado son compatibles con las del DPD y esto no conduce a conflictos de intereses) o una persona externa. El DPD debe poder llevar a cabo las tareas de forma independiente y debe poder informar directamente a la alta dirección.

Más información:

• Delegado de Protección de Datos