+34 902 877 192info@conversia.es
Servicio de adaptación al RGPD

FAQ Protección de Datos

Preguntas Frecuentes sobre Protección de Datos de Carácter Personal

Para saber más en materia de protección de datos de carácter personal y adaptación al RGPD.

¿Cuál es el ámbito de aplicación del RGPD?

El objeto y ámbito de aplicación de esta normativa está regulado en los artículos 1 y 2 del Reglamento (UE) 2016/679 del Parlamento Europeo de Protección de datos, que expresamente establecen:

  • Artículo 1. Objeto
    El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.
  • Artículo 2 Ámbito de aplicación material
    El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
    El presente Reglamento no se aplicará cuando los datos sean tratados por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.
  • Artículo 3 Ámbito territorial
    El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o encargado de tratamiento de la Unión, independientemente que el tratamiento tenga lugar en la Unión o no.

¿Qué se considera dato personal?

El concepto de dato personal, según la definición del RGPD, es toda información sobre una persona física identificada o identificable (el Interesado). Se considerará persona física toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

¿Qué es un tratamiento de datos personales?

El RGPD define el tratamiento como cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados, o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

¿En qué consiste el Registro de Actividades de Tratamiento?

El RGPD, en su artículo 30 estipula que cada responsable y, en su caso, su representante, llevarán un registro de actividades de tratamiento efectuadas bajo su responsabilidad. La realización de este registro servirá a cada responsable o encargado para responder a lo expuesto en el considerando 82, que afirma que “todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento”.

Esta información deberá incluir cuestiones como:

  • Nombre y datos de contacto del responsable y, en su caso, corresponsable, así como del Delegado de Protección de Datos, si existiese.
  • Finalidades del tratamiento.
  • Descripción de categorías de interesados y categorías de datos personales tratados.
  • Transferencias internacionales de datos.
  • Cuando sea posible, plazos previstos para la supresión de los datos.
  • Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

En caso de error o falta de cumplimiento en el tratamiento de datos de carácter personal ¿la responsabilidad recae sobre la empresa o sobre el empleado?

La responsabilidad final no recae sobre la persona física sino sobre el Responsable del Tratamiento, es decir, sobre la empresa. Son múltiples los casos en los que, aún de forma inintencionada, se produce una vulneración a causa de una mala actuación por parte del personal. De ahí la importancia de invertir en acciones formativas orientadas a fomentar la concienciación y capacitación de los empleados en materia de Protección de datos. Adquiere una especial relevancia la proactividad de la empresa respecto al cumplimiento de la normativa.

¿Que es el Principio de Accountability o Responsabilidad activa?

El RGPD describe este principio como la necesidad de que el Responsable del Tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

Este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los Interesados y ante las autoridades de supervisión.

Nuevas categorías especiales de datos

El RGPD incorpora dos nuevas categorías especiales de datos, además de los datos especialmente protegidos que ya preveía la LOPD:

Datos genéticos: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionan una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica.

Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de esta persona (imágenes faciales, datos dactiloscópicos, etc.).

Todos ellos pasan a denominarse categoría especial de datos.

¿Cuál es el procedimiento para el ejercicio de los derechos recogidos por el nuevo Reglamento? ¿Se incorporan nuevos derechos para los Interesados?

Con carácter general, el RGPD exige a los responsables que faciliten a los Interesados el ejercicio de sus derechos. Este mandato supone que los procedimientos y formas para ello deben ser visibles, accesibles y sencillos. El RGPD no establece un modo concreto para el ejercicio de derechos, pero sí requiere a los responsables que posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por esos medios.

  • El RGPD incorpora el derecho al olvido, como un derecho vinculado al derecho de supresión, el derecho a la limitación del tratamiento y el derecho a la portabilidad.
  • Se unifica el plazo para atender el ejercicio de derechos a 1 mes.

¿Cómo deben regularse la relación entre Responsable y Encargado del Tratamiento?

La regulación de la relación entre el Responsable y el Encargado del Tratamiento debe establecerse a través de un contrato o de un acto jurídico similar que los vincule. El contrato o acto jurídico debe constar por escrito, inclusive en formato electrónico.

El RGPD amplía el contenido mínimo del contrato de Encargo de Tratamiento. Entre otros aspectos, el contrato deberá incluir algunos puntos adicionales, respecto al contenido que ya establecía la LOPD: el objeto y la duración del encargo, la naturaleza del tratamiento, el tipo de datos personales, las categorías de Interesados, las obligaciones y los derechos del responsable, la previsión de que las personas que deberán tratar los datos se han comprometido a mantener la confidencialidad, la asistencia del encargado al responsable para que pueda atender las solicitudes de ejercicio de derechos, la supresión o la devolución de los datos al finalizar el encargo, la obligación de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del Encargado del Tratamiento, de cara a permitir y contribuir a la realización de auditorías e inspecciones por parte del responsable o de otro auditor autorizado por el responsable.

¿Quién es responsable de los tratamientos realizados por el Encargado?

El Responsable del Tratamiento no pierde esta consideración en ningún caso y, por tanto, continúa siendo responsable del correcto tratamiento de los datos personales y de la garantía de los derechos de las personas afectadas. El responsable tiene una obligación de especial diligencia en la elección y supervisión del encargado.

¿Cuál es el plazo para notificar a la autoridad de control una brecha de seguridad?

El RGDP define “Brecha de Seguridad” (o violación de seguridad) como todo aquel incidente que ocasione destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no autorizados a dichos datos.

Ejemplos: pérdida de un ordenador portátil, acceso no autorizado a las bases de datos de una organización (incluso por su propio personal), borrado accidental de algunos registros, etc.

Una novedad que conlleva la plena aplicación del RGPD es la obligación de notificar las violaciones de seguridad a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas después de que se haya tenido constancia de haberse producido.

En los casos en que la brecha comporte un alto riesgo para los derechos o libertades de los Interesados, debe realizarse una notificación a los afectados, recomendando medidas para hacer frente a las consecuencias de dicha brecha.

Sin embargo, la notificación a los Interesados no será necesaria cuando:

  • El responsable hubiera tomado medidas, con anterioridad a la brecha, que hagan ininteligibles los datos, como el cifrado.
  • El responsable haya tomado, con posterioridad a la violación, medidas técnicas que garanticen que no hay posibilidad de que se produzca un alto riesgo.
  • La notificación suponga un esfuerzo desproporcionado, debiendo en estos casos sustituirse por medidas alternativas, como una comunicación pública.

¿Puedo nombrar a una empresa externa para que sea mi Delegado de Protección de Datos?

SI. El Delegado de Protección de Datos o DPD podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.

El RGPD no exige que esta figura la deba desempeñar un jurista, pero sí deberá contar con conocimientos especializados en Derecho y, específicamente, en protección de datos. El DPD debe actuar de forma independiente, y se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan la de informar y asesorar, así como supervisar el cumplimiento del citado RGPD, por parte del Responsable o Encargado del Tratamiento.