Preguntas frecuentes
¿Qué son los datos sensibles?
Algunos tipos de datos personales pertenecen a categorías especiales de datos personales, lo que significa que merecen más protección, los llamados datos sensibles. Los datos sensibles incluyen datos que revelan información sobre:
- la salud de una persona;
- la orientación sexual de un individuo;
- el origen racial o étnico de una persona;
- las opiniones políticas, las creencias religiosas o filosóficas de un individuo; la afiliación sindical de una persona;
- datos biométricos y genéticos de un individuo.
El tratamiento de los datos sensibles de una persona está generalmente prohibido, excepto en circunstancias específicas que justifiquen su procesamiento.
Más información:
Si quiero almacenar currículums de candidatos para futuros procedimientos de contratación, ¿necesito pedir el consentimiento de los candidatos?
De hecho, el consentimiento podría ser una base jurídica válida para almacenar los currículums de los solicitantes de empleo. Otro posible fundamento jurídico podría ser el interés legítimo. En ese caso, tendrías que sopesar la situación para demostrar que los intereses legítimos de tu organización superan los derechos de los solicitantes.
En cualquier caso, deberás informar a los candidatos que tienes previsto almacenar sus datos y para qué fines.
Más información:
Como responsable del tratamiento, he recabado datos personales de un tercero, ¿qué debo hacer para cumplir la normativa?
- Asegúrate de que los datos se recopilaron legítimamente y de que las personas afectadas han sido informadas sobre el tratamiento de sus datos personales.
- En caso de que un tercero esté tratando datos personales en tu nombre, asegúrate de que tiene un contrato responsable-encargado, que detalle las operaciones de tratamiento y los medios para tratar los datos personales.
Y por supuesto, cumplir con todas las obligaciones de los responsables del tratamiento.
Más información:
¿Qué constituye un conflicto de intereses para un Delegado de Protección de Datos (DPD)?
Los DPD pueden desempeñar otras tareas dentro de la organización, pero esto no puede dar lugar a un conflicto de intereses. Esto implica que el DPD no puede tener una posición en la que determine los fines y medios de las actividades de tratamiento. Las funciones en conflicto incluyen principalmente puestos de dirección (jefe ejecutivo, jefe de operaciones, director financiero, jefe de recursos humanos, jefe de TI, director gerente), pero también pueden implicar otras funciones si conducen a la determinación de los fines y medios de tratamiento.
El DPD debe poder desempeñar sus funciones y tareas de manera independiente. Esto significa que su organización:
- no podrá dar instrucciones al DPD con respecto al ejercicio de sus funciones de DPD;
- no podrá sancionar o destituir al DPD por el desempeño de sus tareas.
Más información:
¿Cómo puedo respetar los derechos de protección de datos de las personas?
El RGPD prevé derechos específicos para las personas que deben respetarse. Para ello:
- informa a las personas cuyos datos tratas sobre sus operaciones de tratamiento y los fines de tratamiento cuando recoge sus datos, por ejemplo, a través de una declaración de privacidad en su sitio web;
- responde a las solicitudes de las personas para ejercer sus derechos, como las solicitudes de acceso, rectificación, oposición, supresión o portabilidad.
Las organizaciones que son transparentes sobre su uso de datos personales y que respetan los derechos de las personas tienen menos probabilidades de ser objeto de quejas.
Más información:
¿Cuándo debe compartir esta información?
Si su organización está recogiendo los datos personales directamente de los individuos, debes proporcionar la información necesaria en el momento de la recogida.
En caso de recogida indirecta de datos personales, tu organización debe proporcionar la información a más tardar en el plazo de un mes a partir de la obtención inicial de los datos personales. Este período máximo de un mes puede reducirse:
- si los datos personales se utilizan para fines de comunicación con el interesado. En tal caso, debes informar al interesado a más tardar en el momento de la primera comunicación al interesado;
- si los datos se transmiten a otro destinatario, la organización informará de ello a los interesados a más tardar cuando se transfieran los datos personales.
Más información:
¿Qué debo hacer en caso de una brecha de datos?
Una brecha de datos personales es una violación de seguridad que conduce a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a datos personales.
- Si la brecha de datos plantea un riesgo para las personas afectadas, debe notificarlo a la autoridad de protección de datos pertinente en un plazo de 72 horas.
- Si es probable que la violación resulte en un alto riesgo para las personas, también tendrá que comunicar esa violación a las personas afectadas sin demora indebida.
En cualquier caso, para todas las infracciones, incluso las que no se notifiquen a una DPA, debe registrar al menos los detalles básicos de la infracción, la evaluación de la misma, sus efectos y las medidas adoptadas en respuesta.
Más información:
¿Cómo puedo obtener un consentimiento válido?
Para que el consentimiento se considere válido, debe ser:
- libre;
- específico;
- informado; e
- inequívoco.
Esto significa que las personas deben tener una verdadera libertad de elección en cuanto a si están de acuerdo o no con el tratamiento de sus datos personales; necesitan información suficiente para comprender qué datos se tratan, con qué finalidad y cómo se hace; también necesitan suficiente granularidad en las solicitudes de consentimiento.
Además, debe haber una acción afirmativa clara por parte de la persona (sin casillas premarcadas y hecha por al margen de las condiciones generales aplicables).
Además, las personas deben poder retirar libremente su consentimiento (sin consecuencias negativas) si cambian de opinión más adelante.
Más información:
¿Durante cuánto tiempo puedo almacenar datos personales?
No puedes almacenar datos personales para siempre.
Por regla general, los datos personales solo pueden almacenarse durante el tiempo necesario a la luz de los fines para los que se tratan los datos personales.
En algunos casos, el período de almacenamiento puede ser determinado por leyes específicas, por ejemplo, las regulaciones laborales determinan un período de almacenamiento para las listas de nómina.
Las organizaciones deben establecer políticas de conservación de datos para asegurarse de que los datos personales no se conserven durante más tiempo del necesario. Los datos personales de las personas físicas deben eliminarse o anonimizarse una vez que estos datos ya no sean necesarios para el fin para el que se trataron.
Más información:
¿Puedo publicar los nombres de los ganadores de un concurso en el sitio web de mi organización?
Publicar los nombres de los ganadores de un concurso en tu sitio web podría considerarse un interés legítimo, si puedes probarlo llevando a cabo una prueba de sopesamiento para determinar si tus intereses legítimos prevalecen sobre el derecho de las personas.
Una buena práctica sería establecer un procedimiento interno en el que se expliquen las normas sobre la publicación de datos personales de los ganadores.
Además, el tratamiento de datos personales para estos fines debe formar parte de la política de privacidad del concurso, de modo que los participantes sean informados de antemano sobre cómo se van a tratar sus datos.
Más información: