Frequently asked questions

En caso de recogida directa de datos personales de las personas afectadas, las organizaciones deberán facilitar información sobre las operaciones de tratamiento de forma concisa y transparente, utilizando un lenguaje comprensible, fácilmente accesible, claro y sencillo. Esto puede hacerse por escrito (por ejemplo, en el reverso de una oferta) o por medios electrónicos (por ejemplo, en un sitio web). Si la persona en cuestión así lo solicita, también puede proporcionar esta información oralmente, pero debe poder demostrarlo posteriormente.

Incluso cuando los datos se recopilaron indirectamente, es decir, si usted no recopila directamente los datos personales de un individuo, sino, por ejemplo, a través de un tercero, debe proporcionar la misma información detallada a las personas físicas.

Las personas físicas tienen derecho a solicitar la supresión de los datos personales que les conciernen y, en tal caso, el responsable del tratamiento tiene la obligación de suprimir los datos personales. Debes responder sin demora indebida y a más tardar en el plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse otros dos meses si la solicitud es demasiado compleja y se necesita más tiempo para dar cumplimiento a la solicitud, siempre que se informe a la persona en el plazo de un mes a partir de la recepción de la solicitud.

Es importante señalar que el derecho de supresión no es absoluto. No se aplica cuando los datos en cuestión son necesarios para:

• ejercer el derecho a la libertad de expresión e información (por ejemplo, con fines periodísticos);
• el cumplimiento de una obligación legal que requiera el tratamiento de datos personales (por ejemplo, el tratamiento de registros sobre las horas de trabajo de los empleados);
• razones de interés público en el ámbito de la salud pública
• fines de archivo de interés público o de investigación científica o histórica o fines estadísticos; y
• el establecimiento, ejercicio o defensa de reclamaciones.

Cuando los datos personales que se van a borrar hayan sido transferidos previamente a otras organizaciones, debes informar a estos destinatarios de que la persona ha solicitado la supresión, a menos que esto resulte imposible o requiera esfuerzos desproporcionados.

Más información:

• Respetar los derechos de las personas

Sí, sus clientes deben ser informados, cuando hagan una llamada telefónica, de los fines de la grabación, de los destinatarios de las grabaciones, de su derecho de oposición y de su derecho de acceso a las grabaciones.

Más información:

• Procesar datos personales legalmente

Por tratamiento de datos personales se entiende cualquier de actividad (operación de tratamiento) realizada sobre los datos personales de las personas físicas. Esto incluye la recogida, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, investigación, uso, revelación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, supresión o destrucción de datos personales.

No, el tratamiento de datos sensibles está generalmente prohibido, excepto en circunstancias muy específicas:

• La persona ha dado su consentimiento explícito para que sus datos sensibles sean tratados.
• El tratamiento de datos sensibles es necesario para que el responsable del tratamiento cumpla sus obligaciones, en particular en el contexto del empleo, la seguridad social y la protección social. Por ejemplo, el responsable del tratamiento puede necesitar tratar datos sensibles de una persona para poder determinar si tiene derecho a ciertas prestaciones de seguridad social o a estipendios laborales.
• El tratamiento de datos sensibles es necesario para proteger los intereses vitales de una persona cuando la persona es física o legalmente incapaz de dar su consentimiento. Por ejemplo, si una persona queda inconsciente como resultado de un accidente y requiere atención médica inmediata, es posible que sus datos de salud deban tratarse para que se brinde la atención médica adecuada.
• El tratamiento de datos sensibles se lleva a cabo en el contexto de las actividades legítimas de una fundación, asociación u otra organización sin ánimo de lucro con fines políticos, filosóficos, religiosos o sindicales, y solo para el tratamiento de los datos personales de sus miembros, antiguos miembros o personas que tengan contacto regular con ellos.
• Los datos sensibles fueron hechos públicos manifiestamente por individuos.
• El tratamiento de datos sensibles es necesario en el contexto de procedimientos judiciales.
• El tratamiento de datos sensibles es necesario para cuestiones de interés público sustancial.
• El tratamiento de datos sensibles es necesario en el contexto de la medicina preventiva o laboral. Por ejemplo, la evaluación de los datos sensibles de una persona, como sus datos médicos, puede ser necesaria para determinar su capacidad de trabajo como empleado.
• El tratamiento de datos sensibles es necesario para cuestiones de salud pública sobre la base de la legislación de la UE o nacional. Por ejemplo, el tratamiento de datos sensibles de las personas puede ser necesario para garantizar una alta calidad de la atención médica y una alta calidad de los productos médicos, o para combatir las amenazas graves para la salud, como los virus.
• El tratamiento de datos sensibles es necesario para fines de archivo de interés público, o para fines de investigación científica o histórica, o fines estadísticos. Por ejemplo, el tratamiento de datos sensibles puede ser necesario para proporcionar estadísticas precisas sobre la situación de un país en un campo particular.

Más información:

• Procesar datos personales legalmente

Un contrato válido entre el responsable del tratamiento y el encargado del tratamiento es obligatorio en virtud del RGPD. La infracción puede ser objeto de una multa administrativa de hasta 10 millones de euros o de hasta el 2 % del volumen de negocios anual total de una empresa, lo que sea mayor.

Para orientarte a la hora de establecer un acuerdo sobre el responsable del tratamiento, las autoridades danesas y eslovenas de protección de datos, así como la Comisión Europea, han elaborado acuerdos sobre modelos.

Más información:

• Responsable o encargado del tratamiento

Las personas pueden preguntarte si estás tratando sus datos y, en su caso, tienen derecho a acceder a esos datos. Por lo tanto, cuando esto ocurra y si tratas sus datos, debes, por ejemplo, proporcionar una copia de sus datos personales, de forma gratuita, junto con cualquier información adicional necesaria. Cuando una solicitud se hace electrónicamente, tu organización debe proporcionar la información requerida en un formato electrónico de uso común, a menos que la persona solicite lo contrario.

Más información:

• Respetar los derechos de las personas

Debes responder sin demora indebida y a más tardar en el plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse otros dos meses si la solicitud es demasiado compleja y se necesita más tiempo para responder, siempre que se informe a la persona en el plazo de un mes a partir de la recepción de la solicitud.

Debes hacerlo de forma gratuita.

Más información:

• Respetar los derechos de las personas

El RGPD se aplica al uso de cookies cuando se utilizan para tratar datos personales, pero también hay reglas más específicas para las cookies, incluida la Directiva sobre privacidad y comunicaciones electrónicas.

El almacenamiento de una cookie, o la obtención de acceso a una cookie ya almacenada, en el equipo terminal de un usuario solo está permitido a condición de que el abonado o usuario en cuestión haya sido adecuadamente informado (en particular sobre los fines del tratamiento) y haya dado su consentimiento.

La única excepción son las cookies técnicamente necesarias. Las organizaciones no necesitan solicitar su consentimiento cuando utilizan cookies técnicamente necesarias en sus sitios web.

Más información:

• Procesar datos personales legalmente

La seudonimización consiste en transformar los datos personales para que ya no puedan atribuirse a una determinada persona sin el uso de información adicional, siempre que dicha información adicional se conserve por separado y esté sujeta a medidas técnicas y organizativas para garantizar que los datos personales no se atribuyan a las personas físicas. En la práctica, puede significar la sustitución de datos personales (nombre, nombre, número personal, número de teléfono, etc.) en un conjunto de datos con datos de identificación indirecta (alias, número secuencial, etc.). Los datos seudonimizados siguen siendo datos personales y están sujetos al RGPD.

Los datos anonimizados son datos que se han convertido en anónimos de tal manera que el individuo no es o ya no es identificable por cualquier medio que sea razonablemente probable que se utilice. Cuando la anonimización se implementa correctamente, el RGPD ya no se aplica a los datos anonimizados.

Más información:

• Datos personales seguros

El RGPD distingue entre dos funciones principales: las del responsable del tratamiento y del encargado del tratamiento de datos. Esta distinción es crucial, ya que el responsable del tratamiento tiene más responsabilidad y tiene que cumplir más obligaciones que el encargado del tratamiento.

Los responsables y encargados del tratamiento pueden ser personas físicas o jurídicas, por ejemplo: una PYME, una autoridad pública, una empresa, una organización, un organismo estatal, una asociación, etc.

Un responsable del tratamiento determina los fines y medios de una operación de tratamiento. En otras palabras, el responsable del tratamiento decide el cómo y por qué de una operación de procesamiento. Considerando que los encargados tratan datos personales en nombre del responsable del tratamiento. El tratamiento realizado por los encargados del tratamiento debe estar regulado por un contrato con el responsable del tratamiento u otro acto jurídico.

Ejemplos de responsables del tratamiento de datos:

• empresas que tratan los datos personales de sus clientes para completar una venta;
• instituciones financieras que procesan datos personales de sus clientes;
• asociaciones que traten los datos de sus miembros;
• escuelas o universidades que traten datos personales de estudiantes y profesores;
• hospitales que tratan datos personales de sus pacientes;
• agencias gubernamentales que tratan datos personales de los ciudadanos.

Ejemplos de encargados del tratamiento de datos:

• una PYME contrata un servicio de contabilidad para mantener sus libros y registros, la PYME es responsable del tratamiento de datos y el servicio de contabilidad es un encargado del tratamiento de datos;
• una empresa de nóminas trata datos personales para una pyme. La empresa de nóminas actuará como encargado si únicamente procesa los datos personales en nombre de la pyme. La PYME determina los fines y medios del tratamiento de datos y, por lo tanto, es responsable del tratamiento de los datos.
• una PYME encarga a una empresa de marketing que recopile direcciones de correo electrónico a través de sitios web de terceros.  La empresa de comercialización lo hace de acuerdo con las instrucciones explícitas de la PYME y para los fines exclusivos de la PYME. La empresa de marketing actúa como encargada de esta colección.

Más información:

• Responsable o encargado del tratamiento

Algunos tipos de datos personales pertenecen a categorías especiales de datos personales, lo que significa que merecen más protección, los llamados datos sensibles. Los datos sensibles incluyen datos que revelan información sobre:

• la salud de una persona;
• la orientación sexual de un individuo;
• el origen racial o étnico de una persona;
• las opiniones políticas, las creencias religiosas o filosóficas de un individuo; la afiliación sindical de una persona;
• datos biométricos y genéticos de un individuo.

El tratamiento de los datos sensibles de una persona está generalmente prohibido, excepto en circunstancias específicas que justifiquen su procesamiento.

Más información:

• Aspectos básicos de la protección de datos

El DPD puede ser un empleado existente con suficiente conocimiento del RGPD (si las tareas profesionales del empleado son compatibles con las del DPD y esto no conduce a conflictos de intereses) o una persona externa. El DPD debe poder llevar a cabo las tareas de forma independiente y debe poder informar directamente a la alta dirección.

Más información:

• Delegado de Protección de Datos

Por datos personales se entiende cualquier información relacionada con una persona identificada o identificable. Un individuo identificable es cualquier persona que pueda ser identificada, ya sea directa o indirectamente. Los diferentes elementos de información que se suman podrían conducir a la identificación de una persona en particular también constituyen datos personales.

Ejemplos de datos personales incluyen:

• nombre y apellidos;
• una dirección de domicilio;
• una dirección de correo electrónico;
• un número de documento de identidad;
• datos de localización;
• una dirección de protocolo de Internet (IP);
• un ID de cookie;
• cuentas bancarias;
• informes fiscales;
• datos biométricos (como huellas dactilares);
• un número de seguridad social;
• número de pasaporte;
• resultados de los ensayos;
• grados en la escuela;
• historial de navegación;
• fotografía de una persona;
• número de matrícula del vehículo, etc.

Más información:

• Aspectos básicos de la protección de datos

1. Asegúrate de que los datos se recopilaron legítimamente y de que las personas afectadas han sido informadas sobre el tratamiento de sus datos personales.
2. En caso de que un tercero esté tratando datos personales en tu nombre, asegúrate de que tiene un contrato responsable-encargado, que detalle las operaciones de tratamiento y los medios para tratar los datos personales.

Y por supuesto, cumplir con todas las obligaciones de los responsables del tratamiento.

Más información:

• Responsable o encargado del tratamiento

Las medidas de seguridad necesarias pueden diferir en función de la naturaleza de los datos personales que trata y los riesgos asociados para las personas. En cualquier caso, hay algunas medidas mínimas que debes poner en marcha:

• acceso seguro a los locales;
• utilizar programas antivirus actualizados periódicamente;
• elegir cuidadosamente las contraseñas;
• hacer que los usuarios se autentiquen antes de utilizar los equipos informáticos;
• tener una política de copia de seguridad y recuperación de datos en su lugar en caso de un incidente.

Además, algunas medidas básicas como bloquear la pantalla mientras estás fuera y cerrar la oficina al final del día nunca están fuera de lugar…

Más información:

• Datos personales seguros

Publicar los nombres de los ganadores de un concurso en tu sitio web podría considerarse un interés legítimo, si puedes probarlo llevando a cabo una prueba de sopesamiento para determinar si tus intereses legítimos prevalecen sobre el derecho de las personas.

Una buena práctica sería establecer un procedimiento interno en el que se expliquen las normas sobre la publicación de datos personales de los ganadores.

Además, el tratamiento de datos personales para estos fines debe formar parte de la política de privacidad del concurso, de modo que los participantes sean informados de antemano sobre cómo se van a tratar sus datos.

Más información:

• Procesar datos personales legalmente

Sí, puedes, pero el RGPD impone ciertas obligaciones a las empresas que comparten datos personales. Su organización debe informar a las personas que compartirá sus datos con un tercero. También debes informarles de sus propósitos, seguridad, acceso y las medidas de retención que se aplicarán.

El nombramiento de un DPD es obligatorio en los tres casos siguientes:

• la organización es una autoridad pública;
• las actividades principales de la organización consisten en un seguimiento regular y sistemático de las personas a gran escala, por ejemplo, la geolocalización a través de una aplicación móvil, o la vigilancia de centros comerciales y espacios públicos a través de CCTV;
• las actividades principales de la organización consisten en el tratamiento a gran escala de datos sensibles o datos personales relacionados con condenas y delitos penales.

Siempre puede designar un DPD de forma voluntaria, incluso si esto no es legalmente requerido. Tenga en cuenta que, en ese caso, debe cumplir con todas las disposiciones del RGPD relativas a las tareas y el cargo del delegado de protección de datos.

Más información:

• Delegado de Protección de Datos

No, no es necesario hacer público su registro de tratamientos. Sin embargo, debe poder poner el registro a disposición de la autoridad de protección de datos previa solicitud.

Más información:

• Cumplir la normativa