El nombramiento de un DPD es obligatorio en los tres casos siguientes:

• la organización es una autoridad pública;
• las actividades principales de la organización consisten en un seguimiento regular y sistemático de las personas a gran escala, por ejemplo, la geolocalización a través de una aplicación móvil, o la vigilancia de centros comerciales y espacios públicos a través de CCTV;
• las actividades principales de la organización consisten en el tratamiento a gran escala de datos sensibles o datos personales relacionados con condenas y delitos penales.

Siempre puede designar un DPD de forma voluntaria, incluso si esto no es legalmente requerido. Tenga en cuenta que, en ese caso, debe cumplir con todas las disposiciones del RGPD relativas a las tareas y el cargo del delegado de protección de datos.

Más información:

• Delegado de Protección de Datos

Una evaluación de impacto de protección de datos o EIPD es una evaluación escrita que su organización debe realizar para evaluar el impacto de una operación de procesamiento planificada. Le ayuda a identificar las medidas adecuadas para abordar los riesgos y demostrar el cumplimiento.

Si bien siempre es preferible anticipar el impacto de las operaciones de tratamiento planificadas de su organización haciendo EIPD, es obligatorio llevar a cabo una EIPD cuando el tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas.

Concretamente, este es el caso cuando el tratamiento previsto implica:

• el tratamiento, a gran escala, de datos personales sensibles o datos relacionados con condenas penales;  
• una evaluación sistemática y exhaustiva de los aspectos personales de una persona basada en el tratamiento automatizado, incluida la elaboración de perfiles, y en la que se basen decisiones que produzcan efectos jurídicos sobre la persona en cuestión o afecten significativamente de manera similar a las personas;
• seguimiento sistemático de una zona de acceso público a gran escala.

El CEPD ha elaborado directrices que enumeran los criterios que debe tener en cuenta al evaluar si una EIPD es obligatoria o no. Las autoridades de protección de datos también han publicado listas de operaciones de tratamiento sujetas a una EIPD. Además, varias DPA han desarrollado guías, software o herramientas de autoevaluación para ayudarlo con su evaluación.

Más información:

• Cumplir la normativa

Un contrato válido entre el responsable del tratamiento y el encargado del tratamiento es obligatorio en virtud del RGPD. La infracción puede ser objeto de una multa administrativa de hasta 10 millones de euros o de hasta el 2 % del volumen de negocios anual total de una empresa, lo que sea mayor.

Para orientarte a la hora de establecer un acuerdo sobre el responsable del tratamiento, las autoridades danesas y eslovenas de protección de datos, así como la Comisión Europea, han elaborado acuerdos sobre modelos.

Más información:

• Responsable o encargado del tratamiento

Las medidas de seguridad necesarias pueden diferir en función de la naturaleza de los datos personales que trata y los riesgos asociados para las personas. En cualquier caso, hay algunas medidas mínimas que debes poner en marcha:

• acceso seguro a los locales;
• utilizar programas antivirus actualizados periódicamente;
• elegir cuidadosamente las contraseñas;
• hacer que los usuarios se autentiquen antes de utilizar los equipos informáticos;
• tener una política de copia de seguridad y recuperación de datos en su lugar en caso de un incidente.

Además, algunas medidas básicas como bloquear la pantalla mientras estás fuera y cerrar la oficina al final del día nunca están fuera de lugar…

Más información:

• Datos personales seguros

1. Asegúrate de que los datos se recopilaron legítimamente y de que las personas afectadas han sido informadas sobre el tratamiento de sus datos personales.
2. En caso de que un tercero esté tratando datos personales en tu nombre, asegúrate de que tiene un contrato responsable-encargado, que detalle las operaciones de tratamiento y los medios para tratar los datos personales.

Y por supuesto, cumplir con todas las obligaciones de los responsables del tratamiento.

Más información:

• Responsable o encargado del tratamiento

La tarea del DPD incluye, entre otras:

• informar y asesorar a la organización y a sus empleados sobre el cumplimiento de la protección de datos;
• supervisar el cumplimiento de la protección de datos;
• prestar asesoramiento sobre las solicitudes relativas a la evaluación de impacto en materia de protección de datos (EIPD);
• actuar como punto de contacto de la autoridad de protección de datos y cooperar con dicha autoridad de protección de datos;
• actuar como punto de contacto para las personas.

Además, generalmente se recomienda la presencia del DPD cuando se toman decisiones con implicaciones en la protección de datos. El DPD también debe ser consultado rápidamente una vez que se haya producido una violación de datos u otro incidente.

Más información:

• Delegado de Protección de Datos

Publicar los nombres de los ganadores de un concurso en tu sitio web podría considerarse un interés legítimo, si puedes probarlo llevando a cabo una prueba de sopesamiento para determinar si tus intereses legítimos prevalecen sobre el derecho de las personas.

Una buena práctica sería establecer un procedimiento interno en el que se expliquen las normas sobre la publicación de datos personales de los ganadores.

Además, el tratamiento de datos personales para estos fines debe formar parte de la política de privacidad del concurso, de modo que los participantes sean informados de antemano sobre cómo se van a tratar sus datos.

Más información:

• Procesar datos personales legalmente

El DPD puede ser un empleado existente con suficiente conocimiento del RGPD (si las tareas profesionales del empleado son compatibles con las del DPD y esto no conduce a conflictos de intereses) o una persona externa. El DPD debe poder llevar a cabo las tareas de forma independiente y debe poder informar directamente a la alta dirección.

Más información:

• Delegado de Protección de Datos

Para que el consentimiento se considere válido, debe ser:

• libre;
• específico;
• informado; e
• inequívoco.

Esto significa que las personas deben tener una verdadera libertad de elección en cuanto a si están de acuerdo o no con el tratamiento de sus datos personales; necesitan información suficiente para comprender qué datos se tratan, con qué finalidad y cómo se hace; también necesitan suficiente granularidad en las solicitudes de consentimiento.

Además, debe haber una acción afirmativa clara por parte de la persona (sin casillas premarcadas y hecha por al margen de las condiciones generales aplicables).

Además, las personas deben poder retirar libremente su consentimiento (sin consecuencias negativas) si cambian de opinión más adelante.

Más información:

• Procesar datos personales legalmente

No puedes almacenar datos personales para siempre.

Por regla general, los datos personales solo pueden almacenarse durante el tiempo necesario a la luz de los fines para los que se tratan los datos personales.

En algunos casos, el período de almacenamiento puede ser determinado por leyes específicas, por ejemplo, las regulaciones laborales determinan un período de almacenamiento para las listas de nómina.

Las organizaciones deben establecer políticas de conservación de datos para asegurarse de que los datos personales no se conserven durante más tiempo del necesario. Los datos personales de las personas físicas deben eliminarse o anonimizarse una vez que estos datos ya no sean necesarios para el fin para el que se trataron.

Más información:

• Aspectos básicos de la protección de datos