Preguntas frecuentes
¿Cuáles son mis responsabilidades bajo el RGPD?
El RGPD impone obligaciones a todas las organizaciones que tratan datos personales, independientemente de si son responsables o encargados del tratamiento de datos.
En particular, debes:
- Preguntarte si el propósito para el que se pueden recopilar datos personales está justificado, y solo recopilar los datos personales que sean necesarios para los fines específicos previstos;
- Mantener los datos personales de los individuos precisos y actualizados, y eliminarlos cuando ya no sean necesarios;
- Respetar los derechos de las personas, informándoles sobre cómo y por qué se tratan sus datos, y permitiéndoles ejercer sus derechos;
- Comprobar si tienes una base legal adecuada para el tratamiento de datos personales. En caso de que vayas a utilizar el consentimiento, debes solicitarlo antes de tratar sus datos personales;
- Asegurarse de que los datos personalesse traten de manera segura;
- Mantener un registro de las operaciones de procesamiento.
Los encargados del tratamiento tendrán que cumplir con las responsabilidades establecidas en el contrato responsable-encargado del tratamiento, y no deben tratar los datos de otro modo que no sea conforme a las instrucciones del responsable del tratamiento.
Más información:
¿Debo nombrar un Delegado de Protección de Datos (DPD)?
El nombramiento de un DPD es obligatorio en los tres casos siguientes:
- la organización es una autoridad pública;
- las actividades principales de la organización consisten en un seguimiento regular y sistemático de las personas a gran escala, por ejemplo, la geolocalización a través de una aplicación móvil, o la vigilancia de centros comerciales y espacios públicos a través de CCTV;
- las actividades principales de la organización consisten en el tratamiento a gran escala de datos sensibles o datos personales relacionados con condenas y delitos penales.
Siempre puede designar un DPD de forma voluntaria, incluso si esto no es legalmente requerido. Tenga en cuenta que, en ese caso, debe cumplir con todas las disposiciones del RGPD relativas a las tareas y el cargo del delegado de protección de datos.
Más información:
¿El RGPD también se aplica a los registros en papel?
Sí, el RGPD se aplica si los datos personales están contenidos o están destinados a ser contenidos en un sistema de archivo. Esto significa que el RGPD también se aplica a los registros en papel y no solo al tratamiento automatizado de datos personales.
Más información:
¿Los encargados del tratamiento también tienen que respetar el RGPD?
Sí, los encargados del tratamiento (es decir, las personas u organismos que procesan datos en nombre de un responsable del tratamiento), tienen obligaciones en virtud del RGPD. Sin embargo, existen algunas diferencias entre las responsabilidades de los responsables del tratamiento y los encargados del tratamiento.
Los encargados del tratamiento deben cumplir con las responsabilidades establecidas en el contrato responsable-encargado del tratamiento, que detalla las operaciones de tratamiento y los medios para tratar los datos personales. Por ejemplo, el encargado del tratamiento tendrá que llevar a cabo las operaciones de tratamiento con las medidas técnicas y organizativas adecuadas según las instrucciones del responsable del tratamiento. Al hacerlo, el encargado ayuda al responsable a cumplir con el RGPD.
Más información:
¿Puedo grabar conversaciones telefónicas con los clientes para mejorar la calidad del servicio y necesito consentimiento para ello?
Sí, sus clientes deben ser informados, cuando hagan una llamada telefónica, de los fines de la grabación, de los destinatarios de las grabaciones, de su derecho de oposición y de su derecho de acceso a las grabaciones.
Más información:
¿Qué debo hacer en caso de una brecha de datos?
Una brecha de datos personales es una violación de seguridad que conduce a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a datos personales.
- Si la brecha de datos plantea un riesgo para las personas afectadas, debe notificarlo a la autoridad de protección de datos pertinente en un plazo de 72 horas.
- Si es probable que la violación resulte en un alto riesgo para las personas, también tendrá que comunicar esa violación a las personas afectadas sin demora indebida.
En cualquier caso, para todas las infracciones, incluso las que no se notifiquen a una DPA, debe registrar al menos los detalles básicos de la infracción, la evaluación de la misma, sus efectos y las medidas adoptadas en respuesta.
Más información:
¿Qué es un corresponsable?
Cuando hay dos o más responsables del tratamiento que determinan conjuntamente la finalidad y los medios de tratamiento, se consideran corresponsables del tratamiento. Deciden conjuntamente tratar datos personales para un fin conjunto. La corresponsabilidad puede adoptar muchas formas y la participación de los diferentes controladores puede ser desigual. Por lo tanto, los corresponsables del tratamiento deben determinar sus respectivas responsabilidades para el cumplimiento del RGPD.
Es importante señalar que la corresponsabilidad del tratamiento conduce a la responsabilidad conjunta de una actividad de tratamiento.
- Ejemplo de corresponsabilidad: Las empresas A y B han lanzado un producto de marca compartida y desean organizar un evento para promocionar este producto. Con ese fin, deciden compartir datos de sus respectivos clientes y bases de datos de clientes potenciales y deciden la lista de invitados al evento sobre esta base. También acuerdan las modalidades para enviar las invitaciones al evento, cómo recopilar comentarios durante el evento y acciones de marketing de seguimiento. Las empresas A y B pueden ser consideradas corresponsables del tratamiento de datos personales relacionados con la organización del evento promocional, ya que deciden conjuntamente sobre el propósito definido conjuntamente y los medios esenciales del tratamiento de datos en este contexto.
Más información:
¿Qué es una declaración de privacidad?
En caso de recogida directa de datos personales de las personas afectadas, las organizaciones deberán facilitar información sobre las operaciones de tratamiento de forma concisa y transparente, utilizando un lenguaje comprensible, fácilmente accesible, claro y sencillo. Esto puede hacerse por escrito (por ejemplo, en el reverso de una oferta) o por medios electrónicos (por ejemplo, en un sitio web). Si la persona en cuestión así lo solicita, también puede proporcionar esta información oralmente, pero debe poder demostrarlo posteriormente.
Incluso cuando los datos se recopilaron indirectamente, es decir, si usted no recopila directamente los datos personales de un individuo, sino, por ejemplo, a través de un tercero, debe proporcionar la misma información detallada a las personas físicas.
¿Qué significa el tratamiento de datos personales?
Por tratamiento de datos personales se entiende cualquier de actividad (operación de tratamiento) realizada sobre los datos personales de las personas físicas. Esto incluye la recogida, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, investigación, uso, revelación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, supresión o destrucción de datos personales.