Data protection guide for small business logo
Close menu
Back to EDPB

Frequently asked questions

Filter on
Filter on topic

¿Cómo puedo obtener un consentimiento válido?

Para que el consentimiento se considere válido, debe ser:

  • libre;
  • específico;
  • informado; e
  • inequívoco.

Esto significa que las personas deben tener una verdadera libertad de elección en cuanto a si están de acuerdo o no con el tratamiento de sus datos personales; necesitan información suficiente para comprender qué datos se tratan, con qué finalidad y cómo se hace; también necesitan suficiente granularidad en las solicitudes de consentimiento.

Además, debe haber una acción afirmativa clara por parte de la persona (sin casillas premarcadas y hecha por al margen de las condiciones generales aplicables).

Además, las personas deben poder retirar libremente su consentimiento (sin consecuencias negativas) si cambian de opinión más adelante.

Más información:

¿Cuándo debe compartir esta información?

Si su organización está recogiendo los datos personales directamente de los individuos, debes proporcionar la información necesaria en el momento de la recogida.

En caso de recogida indirecta de datos personales, tu organización debe proporcionar la información a más tardar en el plazo de un mes a partir de la obtención inicial de los datos personales. Este período máximo de un mes puede reducirse:

  • si los datos personales se utilizan para fines de comunicación con el interesado. En tal caso, debes informar al interesado a más tardar en el momento de la primera comunicación al interesado;
  • si los datos se transmiten a otro destinatario, la organización informará de ello a los interesados a más tardar cuando se transfieran los datos personales.

Más información:

¿Mi organización tiene que cumplir con el RGPD?

Cada organización, independientemente de su tamaño o sector, establecida en el Espacio Económico Europeo (EEE) o que ofrezca productos o servicios a personas en el EEE, trata datos personales, ya sea por medios automatizados o no, para cumplir con el RGPD. Incluso si el RGPD se refiere principalmente al tratamiento automatizado de datos personales, las operaciones de tratamiento realizadas manualmente también estarán sujetas al RGPD desde el momento en que los archivos en papel se organizan de manera sistemática, por ejemplo, ordenados alfabéticamente en un archivador.

Ejemplos de operaciones de tratamiento incluyen la recopilación, grabación, organización, uso, modificación, almacenamiento, divulgación, alteración y borrado de los datos personales de las personas.

No obstante, la aplicación del RGPD se modula en función de la naturaleza, el contexto, los fines y los riesgos de las operaciones de tratamiento realizadas. Para las pymes cuya actividad principal no es el tratamiento de datos personales, las obligaciones pueden ser menos estrictas que para una gran empresa.

Más información:

¿Cuáles son las funciones del Delegado de Protección de Datos (DPD)?

La tarea del DPD incluye, entre otras:

  • informar y asesorar a la organización y a sus empleados sobre el cumplimiento de la protección de datos;
  • supervisar el cumplimiento de la protección de datos;
  • prestar asesoramiento sobre las solicitudes relativas a la evaluación de impacto en materia de protección de datos (EIPD);
  • actuar como punto de contacto de la autoridad de protección de datos y cooperar con dicha autoridad de protección de datos;
  • actuar como punto de contacto para las personas.

Además, generalmente se recomienda la presencia del DPD cuando se toman decisiones con implicaciones en la protección de datos. El DPD también debe ser consultado rápidamente una vez que se haya producido una violación de datos u otro incidente.

Más información:

¿Cuáles son mis responsabilidades bajo el RGPD?

El RGPD impone obligaciones a todas las organizaciones que tratan datos personales, independientemente de si son responsables o encargados del tratamiento de datos.

En particular, debes:

  • Preguntarte si el propósito para el que se pueden recopilar datos personales está justificado, y solo recopilar los datos personales que sean necesarios para los fines específicos previstos;
  • Mantener los datos personales de los individuos precisos y actualizados, y eliminarlos cuando ya no sean necesarios;
  • Respetar los derechos de las personas, informándoles sobre cómo y por qué se tratan sus datos, y permitiéndoles ejercer sus derechos;
  • Comprobar  si tienes una base legal adecuada para el tratamiento de datos personales. En caso de que vayas a utilizar el consentimiento, debes solicitarlo antes de tratar sus datos personales;
  • Asegurarse de que los datos personalesse traten de manera segura;
  • Mantener un registro de las operaciones de procesamiento.

Los encargados del tratamiento tendrán que cumplir con las responsabilidades establecidas en el contrato responsable-encargado del tratamiento, y no deben tratar los datos de otro modo que no sea conforme a las instrucciones del responsable del tratamiento.

Más información:

¿Cuáles son los principios básicos de tratamiento bajo el RGPD?

  • Todo tratamiento de datos personales debe ser lícito, justo y transparente.
  • Solo recopilar datos personales para fines específicos, explícitos y legítimos. El tratamiento de los datos de una persona debe limitarse estrictamente a los fines inicialmente establecidos y, por lo tanto, no tratarlos para fines posteriores o de otro tipo que sean incompatibles con los fines iniciales.
  • Solo tratar datos personales que sean necesarios y proporcionados a la luz de la finalidad prevista.
  • Todos los datos personales que usted trate deben ser exactos y mantenerse actualizados. Los datos personales inexactos deben ser rectificados o borrados.
  • El almacenamiento de los datos personales de las personas físicas debe estar limitado en el tiempo, a la luz de la finalidad para la que se recopilaron y procesaron estos datos. Como tal, los datos personales deben eliminarse o anonimizarse una vez que estos datos ya no sean necesarios.
  • El tratamiento de los datos personales debe realizarse de manera segura. En este sentido, deben establecerse controles sólidos de ciberseguridad para garantizar que los datos personales estén adecuadamente protegidos.

Finalmente, el responsable del tratamiento tiene que rendir cuentas. Esto significa que es responsabledel cumplimiento de los principios anteriores y debe poder demostrarlo.

Más información:

¿Durante cuánto tiempo puedo almacenar datos personales?

No puedes almacenar datos personales para siempre.

Por regla general, los datos personales solo pueden almacenarse durante el tiempo necesario a la luz de los fines para los que se tratan los datos personales.

En algunos casos, el período de almacenamiento puede ser determinado por leyes específicas, por ejemplo, las regulaciones laborales determinan un período de almacenamiento para las listas de nómina.

Las organizaciones deben establecer políticas de conservación de datos para asegurarse de que los datos personales no se conserven durante más tiempo del necesario. Los datos personales de las personas físicas deben eliminarse o anonimizarse una vez que estos datos ya no sean necesarios para el fin para el que se trataron.

Más información:

¿Necesito un registro de actividades de tratamiento?

En términos generales, cada organización debe mantener un registro de sus actividades de tratamiento. Este es un inventario de todas las operaciones de tratamiento y puede ayudarte a asumir correctamente tus responsabilidades bajo el RGPD y los posibles riesgos.

Cada una de estas operaciones de tratamiento se describirá en el registro con la siguiente información:

  • el propósito del tratamiento (por ejemplo, lealtad al cliente);
  • las categorías de datos tratados (por ejemplo, para la nómina de sueldos: nombre, nombre, fecha de nacimiento, salario, etc.);
  • quién tiene acceso a los datos (los destinatarios, por ejemplo: el departamento encargado de la contratación, el servicio informático, la gestión, los proveedores de servicios, los socios...);
  • cuando proceda, información relacionada con transferencias de datos personales fuera del Espacio Económico Europeo (EEE),
  • en la medida de lo posible, el período de almacenamiento (período durante el cual los datos son útiles desde el punto de vista operativo y desde una perspectiva de archivo).
  • en la medida de lo posible, una descripción general de las medidas de seguridad.

El registro de las actividades de tratamiento es responsabilidad del gerente de su organización.

Este registro debe estar a disposición de la autoridad de protección de datos del país del EEE en el que opere, si se solicita.

No es necesario que las organizaciones que emplean a menos de 250 personas mencionen actividades puramente ocasionales en su registro (por ejemplo, datos tratados para eventos puntuales como la apertura de una tienda).

Más información:

¿Qué constituye un conflicto de intereses para un Delegado de Protección de Datos (DPD)?

Los DPD pueden desempeñar otras tareas dentro de la organización, pero esto no puede dar lugar a un conflicto de intereses. Esto implica que el DPD no puede tener una posición en la que determine los fines y medios de las actividades de tratamiento. Las funciones en conflicto incluyen principalmente puestos de dirección (jefe ejecutivo, jefe de operaciones, director financiero, jefe de recursos humanos, jefe de TI, director gerente), pero también pueden implicar otras funciones si conducen a la determinación de los fines y medios de tratamiento.

El DPD debe poder desempeñar sus funciones y tareas de manera independiente. Esto significa que su organización:

  • no podrá dar instrucciones al DPD con respecto al ejercicio de sus funciones de DPD;
  • no podrá sancionar o destituir al DPD por el desempeño de sus tareas.

Más información:

¿Qué debo hacer en caso de una brecha de datos?

Una brecha de datos personales es una violación de seguridad que conduce a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a datos personales.

  • Si la brecha de datos plantea un riesgo para las personas afectadas, debe notificarlo a la autoridad de protección de datos pertinente en un plazo de 72 horas.
  • Si es probable que la violación resulte en un alto riesgo para las personas, también tendrá que comunicar esa violación a las personas afectadas sin demora indebida.

En cualquier caso, para todas las infracciones, incluso las que no se notifiquen a una DPA, debe registrar al menos los detalles básicos de la infracción, la evaluación de la misma, sus efectos y las medidas adoptadas en respuesta.

Más información:

¿Cómo puedo respetar los derechos de protección de datos de las personas?

El RGPD prevé derechos específicos para las personas que deben respetarse. Para ello:

  • informa a las personas cuyos datos tratas sobre sus operaciones de tratamiento y los fines de tratamiento cuando recoge sus datos, por ejemplo, a través de una declaración de privacidad en su sitio web;
  • responde a las solicitudes de las personas para ejercer sus derechos, como las solicitudes de acceso, rectificación, oposición, supresión o portabilidad.

Las organizaciones que son transparentes sobre su uso de datos personales y que respetan los derechos de las personas tienen menos probabilidades de ser objeto de quejas.

Más información:

¿Cómo puedo mantenerme al día del trabajo del CEPD?

El CEPD publica regularmente comunicados de prensa, noticias, blogs y otros contenidos en el sitio web del CEPD y sus canales de redes sociales (Twitter: N.º @EU_EDPB; LinkedIn: Consejo Europeo de Protección de Datos) para mantener a la comunidad de protección de datos y al público en general al día de su labor.

El sitio web del CEPD también tiene dos canales RSS, a los que puede suscribirse para recibir actualizaciones automáticas sobre las noticias del CEPD y las últimas publicaciones del CEPD.

¿Qué es el RGPD?

El RGPD o el Reglamento General de Protección de Datos crea un conjunto armonizado de normas aplicables a todos los tratamientos de datos personales por parte de organizaciones (públicas o privadas, independientemente de su tamaño) establecidas en el Espacio Económico Europeo (EEE) o dirigidas a personas físicas en la UE. El objetivo principal del RGPD es garantizar que los datos personales disfruten del mismo alto nivel de protección en todo el EEE, aumentando la seguridad jurídica tanto para las personas como para las organizaciones que procesan datos, y ofreciendo un alto grado de protección a las personas.

El Reglamento entró en vigor el 24 de mayo de 2016 y es aplicable desde el 25 de mayo de 2018.

¿El RGPD también se aplica a los registros en papel?

Sí, el RGPD se aplica si los datos personales están contenidos o están destinados a ser contenidos en un sistema de archivo. Esto significa que el RGPD también se aplica a los registros en papel y no solo al tratamiento automatizado de datos personales.

Más información:

¿Qué es un corresponsable?

Cuando hay dos o más responsables del tratamiento que determinan conjuntamente la finalidad y los medios de tratamiento, se consideran corresponsables del tratamiento. Deciden conjuntamente tratar datos personales para un fin conjunto. La corresponsabilidad puede adoptar muchas formas y la participación de los diferentes controladores puede ser desigual. Por lo tanto, los corresponsables del tratamiento deben determinar sus respectivas responsabilidades para el cumplimiento del RGPD.

Es importante señalar que la corresponsabilidad del tratamiento conduce a la responsabilidad conjunta de una actividad de tratamiento.

  • Ejemplo de corresponsabilidad: Las empresas A y B han lanzado un producto de marca compartida y desean organizar un evento para promocionar este producto. Con ese fin, deciden compartir datos de sus respectivos clientes y bases de datos de clientes potenciales y deciden la lista de invitados al evento sobre esta base. También acuerdan las modalidades para enviar las invitaciones al evento, cómo recopilar comentarios durante el evento y acciones de marketing de seguimiento. Las empresas A y B pueden ser consideradas corresponsables del tratamiento de datos personales relacionados con la organización del evento promocional, ya que deciden conjuntamente sobre el propósito definido conjuntamente y los medios esenciales del tratamiento de datos en este contexto.

Más información:

Estoy organizando un evento como parte de mis actividades empresariales, ¿puedo hacer fotos y videos del evento y de las personas que asisten?

Sí, pero para ello, primero deberá determinar la base legal para el tratamiento de este tipo de datos personales. Por ejemplo, el tratamiento podría considerarse un interés legítimo para su organización. Cuando se procesan datos personales sobre la base de un interés legítimo, siempre es necesario sopesar para determinar si tus intereses legítimos superan los derechos de las personas, especialmente si se trata de niños.

Otro posible fundamento jurídico para dicho tratamiento podría ser el consentimiento. En cualquier caso, las personas siempre deben ser informadas con antelación de que el evento está siendo fotografiado o filmado.

Más información:

Si quiero almacenar currículums de candidatos para futuros procedimientos de contratación, ¿necesito pedir el consentimiento de los candidatos?

De hecho, el consentimiento podría ser una base jurídica válida para almacenar los currículums de los solicitantes de empleo. Otro posible fundamento jurídico podría ser el interés legítimo. En ese caso, tendrías que sopesar la situación para demostrar que los intereses legítimos de tu organización superan los derechos de los solicitantes.

En cualquier caso, deberás informar a los candidatos que tienes previsto almacenar sus datos y para qué fines.

Más información:

¿Solo puedo tratar datos personales cuando tenga el consentimiento de la persona?

El tratamiento de datos personales está permitido si existe una base legal para ello. Además del consentimiento libre, específico, informado e inequívoco, se pueden utilizar otras bases legales para el tratamiento.

En otras palabras, el consentimiento es necesario cuando no se aplica ninguna de las otras bases jurídicas.

 

Más información:

¿Es necesario tener certificación para convertirme en un Delegado de Protección de Datos (DPD)?

No, usted no necesita tener una certificación para convertirse en un DPD.

Sin embargo, los DPD deben poder demostrar que tienen las cualificaciones necesarias requeridas por el RGPD, como el conocimiento experto de la legislación y las prácticas en materia de protección de datos.

Más información:

¿Qué es una evaluación de impacto sobre la protección de datos y cuándo es obligatoria?

Una evaluación de impacto de protección de datos o EIPD es una evaluación escrita que su organización debe realizar para evaluar el impacto de una operación de procesamiento planificada. Le ayuda a identificar las medidas adecuadas para abordar los riesgos y demostrar el cumplimiento.

Si bien siempre es preferible anticipar el impacto de las operaciones de tratamiento planificadas de su organización haciendo EIPD, es obligatorio llevar a cabo una EIPD cuando el tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas.

Concretamente, este es el caso cuando el tratamiento previsto implica:

  • el tratamiento, a gran escala, de datos personales sensibles o datos relacionados con condenas penales;  
  • una evaluación sistemática y exhaustiva de los aspectos personales de una persona basada en el tratamiento automatizado, incluida la elaboración de perfiles, y en la que se basen decisiones que produzcan efectos jurídicos sobre la persona en cuestión o afecten significativamente de manera similar a las personas;
  • seguimiento sistemático de una zona de acceso público a gran escala.

El CEPD ha elaborado directrices que enumeran los criterios que debe tener en cuenta al evaluar si una EIPD es obligatoria o no. Las autoridades de protección de datos también han publicado listas de operaciones de tratamiento sujetas a una EIPD. Además, varias DPA han desarrollado guías, software o herramientas de autoevaluación para ayudarlo con su evaluación.

Más información: