Para que el consentimiento se considere válido, debe ser:

• libre;
• específico;
• informado; e
• inequívoco.

Esto significa que las personas deben tener una verdadera libertad de elección en cuanto a si están de acuerdo o no con el tratamiento de sus datos personales; necesitan información suficiente para comprender qué datos se tratan, con qué finalidad y cómo se hace; también necesitan suficiente granularidad en las solicitudes de consentimiento.

Además, debe haber una acción afirmativa clara por parte de la persona (sin casillas premarcadas y hecha por al margen de las condiciones generales aplicables).

Además, las personas deben poder retirar libremente su consentimiento (sin consecuencias negativas) si cambian de opinión más adelante.

Más información:

• Procesar datos personales legalmente

No puedes almacenar datos personales para siempre.

Por regla general, los datos personales solo pueden almacenarse durante el tiempo necesario a la luz de los fines para los que se tratan los datos personales.

En algunos casos, el período de almacenamiento puede ser determinado por leyes específicas, por ejemplo, las regulaciones laborales determinan un período de almacenamiento para las listas de nómina.

Las organizaciones deben establecer políticas de conservación de datos para asegurarse de que los datos personales no se conserven durante más tiempo del necesario. Los datos personales de las personas físicas deben eliminarse o anonimizarse una vez que estos datos ya no sean necesarios para el fin para el que se trataron.

Más información:

• Aspectos básicos de la protección de datos

Los DPD pueden desempeñar otras tareas dentro de la organización, pero esto no puede dar lugar a un conflicto de intereses. Esto implica que el DPD no puede tener una posición en la que determine los fines y medios de las actividades de tratamiento. Las funciones en conflicto incluyen principalmente puestos de dirección (jefe ejecutivo, jefe de operaciones, director financiero, jefe de recursos humanos, jefe de TI, director gerente), pero también pueden implicar otras funciones si conducen a la determinación de los fines y medios de tratamiento.

El DPD debe poder desempeñar sus funciones y tareas de manera independiente. Esto significa que su organización:

• no podrá dar instrucciones al DPD con respecto al ejercicio de sus funciones de DPD;
• no podrá sancionar o destituir al DPD por el desempeño de sus tareas.

Más información:

• Delegado de Protección de Datos

Las personas pueden preguntarte si estás tratando sus datos y, en su caso, tienen derecho a acceder a esos datos. Por lo tanto, cuando esto ocurra y si tratas sus datos, debes, por ejemplo, proporcionar una copia de sus datos personales, de forma gratuita, junto con cualquier información adicional necesaria. Cuando una solicitud se hace electrónicamente, tu organización debe proporcionar la información requerida en un formato electrónico de uso común, a menos que la persona solicite lo contrario.

Más información:

• Respetar los derechos de las personas

El tratamiento de datos personales está permitido si existe una base legal para ello. Además del consentimiento libre, específico, informado e inequívoco, se pueden utilizar otras bases legales para el tratamiento.

En otras palabras, el consentimiento es necesario cuando no se aplica ninguna de las otras bases jurídicas.

 

Más información:

• Tratar datos personales legalmente

Las personas físicas tienen derecho a solicitar la supresión de los datos personales que les conciernen y, en tal caso, el responsable del tratamiento tiene la obligación de suprimir los datos personales. Debes responder sin demora indebida y a más tardar en el plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse otros dos meses si la solicitud es demasiado compleja y se necesita más tiempo para dar cumplimiento a la solicitud, siempre que se informe a la persona en el plazo de un mes a partir de la recepción de la solicitud.

Es importante señalar que el derecho de supresión no es absoluto. No se aplica cuando los datos en cuestión son necesarios para:

• ejercer el derecho a la libertad de expresión e información (por ejemplo, con fines periodísticos);
• el cumplimiento de una obligación legal que requiera el tratamiento de datos personales (por ejemplo, el tratamiento de registros sobre las horas de trabajo de los empleados);
• razones de interés público en el ámbito de la salud pública
• fines de archivo de interés público o de investigación científica o histórica o fines estadísticos; y
• el establecimiento, ejercicio o defensa de reclamaciones.

Cuando los datos personales que se van a borrar hayan sido transferidos previamente a otras organizaciones, debes informar a estos destinatarios de que la persona ha solicitado la supresión, a menos que esto resulte imposible o requiera esfuerzos desproporcionados.

Más información:

• Respetar los derechos de las personas

No, el tratamiento de datos sensibles está generalmente prohibido, excepto en circunstancias muy específicas:

• La persona ha dado su consentimiento explícito para que sus datos sensibles sean tratados.
• El tratamiento de datos sensibles es necesario para que el responsable del tratamiento cumpla sus obligaciones, en particular en el contexto del empleo, la seguridad social y la protección social. Por ejemplo, el responsable del tratamiento puede necesitar tratar datos sensibles de una persona para poder determinar si tiene derecho a ciertas prestaciones de seguridad social o a estipendios laborales.
• El tratamiento de datos sensibles es necesario para proteger los intereses vitales de una persona cuando la persona es física o legalmente incapaz de dar su consentimiento. Por ejemplo, si una persona queda inconsciente como resultado de un accidente y requiere atención médica inmediata, es posible que sus datos de salud deban tratarse para que se brinde la atención médica adecuada.
• El tratamiento de datos sensibles se lleva a cabo en el contexto de las actividades legítimas de una fundación, asociación u otra organización sin ánimo de lucro con fines políticos, filosóficos, religiosos o sindicales, y solo para el tratamiento de los datos personales de sus miembros, antiguos miembros o personas que tengan contacto regular con ellos.
• Los datos sensibles fueron hechos públicos manifiestamente por individuos.
• El tratamiento de datos sensibles es necesario en el contexto de procedimientos judiciales.
• El tratamiento de datos sensibles es necesario para cuestiones de interés público sustancial.
• El tratamiento de datos sensibles es necesario en el contexto de la medicina preventiva o laboral. Por ejemplo, la evaluación de los datos sensibles de una persona, como sus datos médicos, puede ser necesaria para determinar su capacidad de trabajo como empleado.
• El tratamiento de datos sensibles es necesario para cuestiones de salud pública sobre la base de la legislación de la UE o nacional. Por ejemplo, el tratamiento de datos sensibles de las personas puede ser necesario para garantizar una alta calidad de la atención médica y una alta calidad de los productos médicos, o para combatir las amenazas graves para la salud, como los virus.
• El tratamiento de datos sensibles es necesario para fines de archivo de interés público, o para fines de investigación científica o histórica, o fines estadísticos. Por ejemplo, el tratamiento de datos sensibles puede ser necesario para proporcionar estadísticas precisas sobre la situación de un país en un campo particular.

Más información:

• Procesar datos personales legalmente

Una brecha de datos personales es una violación de seguridad que conduce a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a datos personales.

• Si la brecha de datos plantea un riesgo para las personas afectadas, debe notificarlo a la autoridad de protección de datos pertinente en un plazo de 72 horas.
• Si es probable que la violación resulte en un alto riesgo para las personas, también tendrá que comunicar esa violación a las personas afectadas sin demora indebida.

En cualquier caso, para todas las infracciones, incluso las que no se notifiquen a una DPA, debe registrar al menos los detalles básicos de la infracción, la evaluación de la misma, sus efectos y las medidas adoptadas en respuesta.

Más información:

• Brechas de datos

En caso de recogida directa de datos personales de las personas afectadas, las organizaciones deberán facilitar información sobre las operaciones de tratamiento de forma concisa y transparente, utilizando un lenguaje comprensible, fácilmente accesible, claro y sencillo. Esto puede hacerse por escrito (por ejemplo, en el reverso de una oferta) o por medios electrónicos (por ejemplo, en un sitio web). Si la persona en cuestión así lo solicita, también puede proporcionar esta información oralmente, pero debe poder demostrarlo posteriormente.

Incluso cuando los datos se recopilaron indirectamente, es decir, si usted no recopila directamente los datos personales de un individuo, sino, por ejemplo, a través de un tercero, debe proporcionar la misma información detallada a las personas físicas.