Guía completa en protección de datos

Conceptos generales

El nuevo Reglamento Europeo de Protección de Datos Personales, General Data Protection Regulation (GDPR), regula a nivel europeo las obligaciones y derechos en protección de datos de los responsables e interesados, siendo el marco común de las legislaciones nacionales.

Esta Guía, exhaustiva, pretende ayudaros a que el cumplimiento normativo, en este caso el de la privacidad no sea simplemente una obligación legal, sino ayudaros en la implantación de una cultura de cumplimiento que se incorpore como práctica habitual en el tratamiento de los datos de protección de los datos personales, que posibilite a las personas que los ceden para su tratamiento, confianza en el tratamiento y el ejercicio de sus derechos para el control de los mismos.

Objetivo

El Reglamento establece las normas relativas a la protección de datos personales de las personas físicas relativas a su tratamiento y a la libre circulación de los mismos.

Aplicación territorial

El Reglamento se aplica al tratamiento de datos personales de ciudadanos residentes en la UE realizados por un RESPONSABLE o un ENCARGADO del tratamiento:

  • Establecido en la UE, independientemente de que el tratamiento tenga lugar en la UE o no.
  • No establecido en la UE, siempre y cuando las actividades del tratamiento estén relacionadas con:
    • La oferta de bienes o servicios a personas, se pague o no por ello.
    • El control de la conducta de personas, si tiene lugar en la UE.
  • No establecido en la UE, pero sea de aplicación la legislación de un Estado de la UE.

El REGLAMENTO no se aplica al tratamiento de datos personales efectuado por:

    • Aplicación material

      • Se aplica a cualquier sistema de tratamiento de datos personales:

        • No automatizado (manual/papel).
        • Parcialmente automatizado (digital y manual).
      • AUTOMATIZADO (digital/electrónico).

    1.4. Definiciones

    Estructura de datos:

    • Datos personales: Información relativa a una persona física, identificada o identificable, por la cual pueda determinarse, directa o indirectamente, su identidad.
    • Identificable: Cuando se pueda determinar la identidad de una persona mediante: nombre, número, datos de localización, identificador, identidad física, fisiológica, genética, psíquica, económica, cultural, social u otros elementos propios de su identidad.
    • INTERESADO: Persona física sometida al tratamiento de sus datos personales.
    • Tratamiento: Operaciones realizadas sobre datos personales: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
    • Limitación del tratamiento: marcado de datos con el fin de limitar su tratamiento en el futuro.
    • Seudonimización: cuando el tratamiento no puede atribuirse a un INTERESADO sin recurrir a información adicional separada y sujeta a medidas de seguridad que garanticen el anonimato.
    • Fichero: Conjunto estructurado de datos personales accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

    Tratamiento de datos:

    • RESPONSABLE del tratamiento (RT): Persona física o jurídica, Autoridad pública, servicio u organismo que, solo o conjuntamente con otros, determine los fines y los medios del tratamiento.
    • ENCARGADO del tratamiento (ET): Persona física o jurídica, Autoridad pública, servicio u organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del RT.
    • PERSONAL autorizado: Persona física autorizada para realizar un tratamiento de datos personales bajo la autoridad directa del RT o ET.
    • DESTINATARIO: Persona física o jurídica, autoridad pública, servicio u organismo que reciba una comunicación de datos personales. No se aplica a las autoridades públicas para investigaciones concretas de interés general reguladas por la ley.
    • Tercero: Persona física o jurídica, Autoridad pública, servicio u organismo distinto del INTERESADO, RT, ET, DESTINATARIO o PERSONAL autorizado.
    • Empresa: Persona física o jurídica que ejerce una actividad económica.
    • Tratamiento transfronterizo: Cuando el RT o ET realiza un tratamiento en varios Estados de la UE.
    • Servicio de la SOCIEDAD DE LA INFORMACIÓN: Servicio ofrecido a un INTERESADO por vía electrónica a cambio de una remuneración.
    • Delegado de protección de datos (DPO): Persona encargada de informar y asesorar al RT, ET y al PERSONAL autorizado de las obligaciones relativas a la protección de datos personales.
    • Autoridad de control (AC): Autoridad pública independiente para supervisar la aplicación del REGLAMENTO.

    Protección de datos:

    • CONSENTIMIENTO del INTERESADO: manifestación de voluntad, libre, específica, informada, explícita e inequívoca, mediante la que cual se acepta el tratamiento de datos personales, ya sea mediante una declaración o una clara acción afirmativa.
    • Datos genéticos: datos relativos a características genéticas de una persona que hayan sido heredadas, adquiridas, o que proporcionen una información única sobre su fisiología o salud.
    • Datos biométricos: datos relativos a las características físicas, fisiológicas o conductuales de una persona, obtenidos a partir de un tratamiento técnico específico que permita identificarla.
    • Datos de salud: datos relativos a la salud física o mental, o a la atención sanitaria de una persona que revelen información sobre su estado de salud.
    • DERECHOS de los INTERESADOS: El derecho a ser informado del tratamiento de sus datos personales y a obtener del RT el gobierno de los mismos.
    • VIOLACIÓN de datos personales: Violación de la seguridad que ocasione la destrucción accidental o ilícita, pérdida, alteración, comunicación no autorizada de datos personales transmitidos, conservados o tratados de otra forma, o el acceso a estos.

    1.5. CATEGORÍAS DE DATOS:

    • Datos BÁSICOS: Datos personales que no correspondan a categorías ESPECIALES de datos ni a condenas y delitos PENALES, por ejemplo: nombre, dirección, email, teléfono, edad, sexo, firma, imagen, aficiones, patrimonio, datos bancarios, información académica, profesional, social, comercial, financiera, etc.
    • Categorías ESPECIALES de datos: Datos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales.
    • Condenas y delitos PENALES: Datos relativos a condenas y delitos PENALES o medidas de seguridad afines.

    1.6. CATEGORÍAS DE TRATAMIENTO:

    • Tratamiento con ALTO RIESGO: Tratamiento sujeto a una evaluación de IMPACTO por ser susceptible de comportar un ALTO RIESGO para la protección de los derechos y libertades de los INTERESADOS.
    • TRANSFERENCIAS internacionales de datos: Traspaso de datos a RT, ET o DESTINATARIOS de terceros países u organizaciones internacionales no establecidos en la UE.
      • Organización internacional: Organismo internacional y sus entes subordinados, creado en virtud de un acuerdo entre dos o más países.
    • Elaboración de PERFILES: Confección de decisiones individuales basadas en un tratamiento AUTOMATIZADO de datos, destinadas a evaluar aspectos personales o analizar o predecir el rendimiento profesional, situación económica, salud, preferencias o intereses personales, fiabilidad, comportamiento, ubicación o movimientos de una persona.
    • Datos tratados por GRUPOS de empresas:
      • GRUPO de empresas: GRUPO que comprende una empresa que ejerce el control y las empresas controladas.
      • REPRESENTANTE: Persona física o jurídica establecida en la UE, designada por escrito por el RT o ET, para que le represente en sus obligaciones con el REGLAMENTO.
      • NORMAS corporativas vinculantes: Políticas de protección de datos asumidas por un RT o ET establecido en la UE, para TRANSFERENCIAS de datos personales a otros RT o ET de terceros países que participen en una actividad económica conjunta.
    • Datos de titularidad o interés PÚBLICO:
      • Tratamientos realizados por Autoridades u Organismos PÚBLICOS en el ejercicio de sus funciones.
      • Tratamientos con finalidades de interés PÚBLICO fundamentados en la legislación vigente.
      • Tratamientos con finalidades de investigación histórica, estadística o científica.

    2. TRATAMIENTO DE DATOS

    Un tratamiento de datos son las operaciones realizadas sobre datos personales: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

    2.1. Principios del tratamiento

    Los datos personales serán tratados con:

    • Licitud: lealtad y transparencia con el INTERESADO.
    • Limitación de los fines: recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines.
    • Minimización de los datos: adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
    • Exactitud: actualizados sin demora con respecto a los fines para los que se tratan.
    • Limitación del plazo de conservación: mantenidos de forma que se permita la identificación de los INTERESADOS durante no más tiempo del necesario para los fines por los que se tratan. Excepto si el tratamiento se realiza exclusivamente para:
      • Fines de archivo en interés PÚBLICO.
      • Investigación histórica, estadística o científica.
    • Integridad y confidencialidad: implementando medidas técnicas y organizativas adecuadas para proteger los datos contra tratamientos no autorizados o ilícitos y su pérdida, destrucción o daño accidentales.
    • Responsabilidad proactiva: siendo responsable y capaz de demostrar el cumplimiento de todos los principios del tratamiento.

    2.2. Licitud del tratamiento

    El tratamiento solo será lícito cuando exista:

    • CONSENTIMIENTO explícito para fines específicos.
    • Contrato o precontrato con el INTERESADO.
    • Protección de los intereses vitales del INTERESADO u otra persona física.
    • Interés legítimo del RT o terceros, siempre que no prevalezcan los intereses o los derechos y libertades del INTERESADO, especialmente si es un NIÑO.

    O cuando esté fundamentado en la legislación vigente por:

    • Obligación jurídica a la que esté sujeto el RT.
    • Cumplimiento de un cometido de interés PÚBLICO.
    • Fines de investigación histórica, estadística o científica.
    • Interés legítimo de las Autoridades públicas en el ejercicio de sus funciones.

    El tratamiento para otro fin distinto del inicial, podrá ser lícito si es compatible con el mismo y existe una relación entre:

    • Las finalidades del tratamiento.
    • El entorno del RT y los INTERESADOS.
    • La CATEGORÍA DE DATOS.
    • Las posibles consecuencias para el INTERESADO.
    • La protección de datos (cifrado, seudonimización, etc.).


    2.3. Condiciones para el CONSENTIMIENTO

    • El RT asumirá la prueba del CONSENTIMIENTO. Si se realiza por escrito, deberá distinguirse claramente de otros asuntos.
    • El CONSENTIMIENTO no será lícito si se condiciona a una prestación de servicios sin ser necesario para su realización.
    • El RT informará al INTERESADO, antes de dar su CONSENTIMIENTO, que tiene derecho a retirarlo en cualquier momento sin que afecte al tratamiento efectuado hasta entonces.
    • Será tan fácil retirar como dar el CONSENTIMIENTO.
    • Los CONSENTIMIENTOS que infrinjan parcialmente el REGLAMENTO serán considerados nulos.

    2.4. Tratamiento de datos sin identificación del INTERESADO

    • Cuando los fines del tratamiento no requieran la identificación del INTERESADO (seudonimización), el RT o ET no deberán obtener información adicional para identificarle, excepto si es necesario para cumplir el REGLAMENTO.
    • Cuando el RT sea capaz de demostrar que no puede identificar al INTERESADO, se lo comunicará y dejaran de aplicarse los DERECHOS del INTERESADO.

    2.5. Tratamiento de datos de NIÑOS

    • La oferta directa de servicios de la SOCIEDAD DE LA INFORMACIÓN a menores de 16 años (máximo 13 según establezca cada Estado de la UE) deberá obtenerse con el CONSENTIMIENTO de su representante legal.
    • La información del tratamiento dirigida a un menor deberá facilitarse con un lenguaje claro, sencillo y adecuado al receptor.


    2.6. Categorías ESPECIALES de datos

    Está prohibido el tratamiento que revele:

    • Origen étnico o racial.
    • Opiniones políticas.
    • Convicciones religiosas o filosóficas.
    • Afiliación sindical.
    • Datos genéticos o biométricos que permitan la identificación unívoca de una persona.
    • Datos relativos a la salud.
    • Datos relativos a la vida y orientación sexuales.

    Se podrán tratar categorías ESPECIALES de datos cuando:

    • El INTERESADO ha dado su CONSENTIMIENTO para fines específicos (excepto si está prohibido por la legislación vigente).
    • El INTERESADO ha hecho manifiestamente públicos los datos.
    • El tratamiento lo realiza legítimamente una organización sin ánimo de lucro con finalidad política, filosófica, religiosa o sindical con relación a sus fines.
    • Es necesario para cumplir la legislación laboral o convenios colectivos.

    O cuando esté fundamentado en la legislación vigente:

    • Bajo la responsabilidad de personas sujetas a la obligación del secreto profesional.
    • Para fines de asistencia sanitaria o social, medicina preventiva o laboral o diagnóstico médico.
    • Para procedimientos judiciales.
    • Para proteger los intereses vitales del INTERESADO, cuando esté incapacitado para dar su CONSENTIMIENTO.
    • Para fines de interés PÚBLICO o bajo la supervisión de poderes públicos.
    • Para fines de investigación histórica, estadística o científica.

    2.7. Datos relativos a condenas y delitos PENALES

    El tratamiento de datos relativos a condenas y delitos PENALES o medidas de seguridad afines sólo podrá realizarse si está fundamentado en la legislación vigente:

    • Con garantías apropiadas para los derechos y libertades de los INTERESADOS.
    • Bajo la supervisión de poderes públicos.

    2.8. Elaboración de PERFILES

    Se considera una elaboración de PERFILES a la confección de decisiones individuales basadas en un tratamiento AUTOMATIZADO de datos destinado a evaluar aspectos personales o analizar o predecir:

    • Rendimiento profesional.
    • Situación económica.
    • Salud.
    • Preferencias o intereses personales.
    • Fiabilidad o comportamiento.
    • Ubicación o movimientos.

    Solo se podrá realizar una elaboración de PERFILES si se aplican medidas adecuadas para la protección de los derechos, libertades e intereses legítimos de los INTERESADOS.

    Un INTERESADO solo podrá ser objeto de una elaboración de PERFILES basada únicamente en un tratamiento AUTOMATIZADO, cuando:

    • Esté informado de que la decisión que pueda ser tomada a consecuencia de la misma pueda producirle efectos jurídicos que le afecten significativamente.
    • El INTERESADO pueda ejercer el derecho a obtener la intervención humana por parte del RT, a expresar su punto de vista y a impugnar la decisión, si el tratamiento ha sido autorizado mediante:
    • El tratamiento esté autorizado por la legislación vigente.

    Está prohibida la elaboración de PERFILES cuando el tratamiento se base en categorías ESPECIALES de datos, excepto si:

    • El INTERESADO ha dado su CONSENTIMIENTO para fines específicos permitidos por la legislación vigente.
    • El tratamiento se realiza para fines de interés PÚBLICO o bajo la supervisión de poderes públicos, fundamentados en la legislación vigente.

    3. RESPONSABILIDAD DEL TRATAMIENTO

    El deber de proteger los datos personales en cualquier fase del tratamiento recae en toda persona física o jurídica, Autoridad pública, servicio u organismo que, solo o conjuntamente con otros, tenga o pueda dar acceso a dicho tratamiento.

    3.1. RESPONSABLES del tratamiento (RT)

    Persona física o jurídica, Autoridad pública, servicio u organismo que, solo o conjuntamente con otros, determine los fines y los medios del tratamiento.

    El RT deberá, antes y durante el tratamiento:

    • Implementar medidas técnicas y organizativas apropiadas para garantizar y demostrar el cumplimiento del REGLAMENTO, teniendo en cuenta:
      • La naturaleza, ámbito, contexto, y fines del tratamiento.
      • Los riesgos para los derechos y libertades de los INTERESADOS.
      • El tipo de organización.
    • Aplicar medidas de protección de datos proporcionadas en relación con las actividades del tratamiento.

    El RT podrá utilizar la adhesión a códigos de CONDUCTA o a los mecanismos de CERTIFICACIÓN establecidos en el REGLAMENTO para demostrar su cumplimiento.

    3.2. ENCARGADOS del tratamiento (ET)

    Persona física o jurídica, Autoridad pública, servicio u organismo que, solo o conjuntamente con otros, realice un tratamiento de datos personales por cuenta del RT.

    El ET deberá ofrecer garantías suficientes para:

    • Implementar políticas técnicas y organizativas apropiadas para cumplir el REGLAMENTO.
    • Proteger los DERECHOS del INTERESADO.
    • Aplicar las medidas de seguridad que establece el REGLAMENTO.

    El ET podrá utilizar la adhesión a códigos de CONDUCTA o a los mecanismos de CERTIFICACIÓN establecidos en el REGLAMENTO para demostrar que ofrece garantías suficientes.

    La relación entre el RT y el ET se regirá por un contrato por escrito, preferiblemente en formato electrónico, donde se disponga:

    • El objeto, duración, naturaleza y finalidad del tratamiento.
    • El tipo de datos personales y categorías de INTERESADOS.
    • Las obligaciones y derechos del RT.
    • Que se realizará el tratamiento siguiendo las instrucciones documentadas del RT, incluyendo las TRANSFERENCIAS de datos a terceros países u organizaciones internacionales.
    • Que el PERSONAL autorizado para realizar el tratamiento se haya comprometido a respetar la confidencialidad o tengan la obligación legal de confidencialidad.
    • Que se implementarán las medidas de seguridad que establece el REGLAMENTO.
    • Que no se podrá subcontratar el servicio a otro ET sin la autorización previa y por escrito del RT.
    • Que se crearán las condiciones técnicas y organizativas necesarias para permitir al RT dar curso a las solicitudes de los DERECHOS de los INTERESADOS.
    • Que cooperará con el RT para garantizar el cumplimiento de las medidas de seguridad que establece el REGLAMENTO.
    • Que al término del contrato suprimirá o devolverá, a elección del RT, los datos tratados y eliminará las copias existentes, excepto si lo prohíbe la legislación vigente.
    • Que pondrá a disposición del RT la información necesaria para demostrar el cumplimiento del contrato, permitiendo inspecciones o auditorías.
    • El ET será considerado RT, y estará sujeto a las normas aplicables como tal, cuando determine por su cuenta los fines y los medios del tratamiento.

    El ET no podrá subcontratar el servicio a otro ET sin la autorización previa y por escrito del RT.

    • La autorización para subcontratar podrá ser:
      • Específica: para subcontratar un ET.
      • General: para subcontratar varios ET. Cuando existan cambios de ET, se deberá informar previamente al RT y éste podrá oponerse a ellos.
    • Cualquier subcontratación autorizada por el RT se regirá por un contrato entre los dos ET que disponga las mismas obligaciones adquiridas con el RT.
    • El ET será responsable subsidiario ante el RT del incumplimiento de las obligaciones del ET subcontratado.

    La AC podrá adoptar cláusulas contractuales tipo para la formalización de contratos que rijan la relación entre el RT y el ET.

    3.3. PERSONAL autorizado para el tratamiento

    El RT o ET garantizarán que el PERSONAL autorizado para tratar datos personales se haya comprometido a respetar la confidencialidad, mediante:

    • Acuerdos de confidencialidad.
    • Una obligación legal de confidencialidad.

    El PERSONAL autorizado realizará el tratamiento únicamente:

    • Siguiendo las instrucciones del RT o ET.
    • Por una obligación legal (fundamentada en la legislación vigente).

    3.4. Corresponsables del tratamiento (CoRT)

    Serán CoRT cuando varios RT determinen los fines y los medios del tratamiento.

    Los CoRT formalizarán un acuerdo que estará a disposición de los INTERESADOS, donde se reflejarán:

    • Las funciones de cada CoRT con respecto al tratamiento y a sus relaciones con los INTERESADOS.
    • Las responsabilidades de cada CoRT con respecto al REGLAMENTO.
    • Los procedimientos y mecanismos para el ejercicio de los DERECHOS del INTERESADO.

    3.5. REPRESENTANTES de los RT no establecidos en la UE

    Los RT de terceros países que tratan datos en la UE, designarán por escrito un REPRESENTANTE en la UE, cuando:

    • El tratamiento de datos sea habitual (no ocasional).
    • Exista la probabilidad que el tratamiento pueda suponer un riesgo para los derechos y libertades de las personas.
    • Se traten datos de categorías ESPECIALES de datos
    • Se traten datos relativos a condenas y delitos PENALES.

    No será obligatorio designar un REPRESENTANTE cuando el RT sea una Autoridad u Organismo público.

    El REPRESENTANTE deberá establecerse en algún Estado de la UE donde residan los INTERESADOS objeto de tratamiento.

    El REPRESENTANTE deberá atender las consultas de los INTERESADOS y de la AC.

    3.6. REGISTRO DE ACTIVIDADES del tratamiento

    La obligación de llevar un REGISTRO DE ACTIVIDADES afectará a los RT y ET en los que el tratamiento de datos concurra en alguna de las siguientes condiciones:

    • Emplee a un mínimo de 250 personas.
    • Pueda suponer un riesgo para los derechos y libertades del INTERESADO y no tenga un carácter ocasional.
    • Se traten categorías ESPECIALES de datos
    • Se traten datos relativos a condenas y delitos PENALES

    Los RT, o sus REPRESENTANTES, deberán llevar y conservar actualizado un REGISTRO DE ACTIVIDADES en formato electrónico del tratamiento, que contenga:

    • Nombre y datos contacto de todos los implicados en el tratamiento: RT, ET, y si es el caso, CoRT, CoET, REPRESENTANTE, DPO y DESTINATARIOS.
    • Fines del tratamiento.
    • Descripción de las categorías de INTERESADOS.
    • Descripción de las CATEGORÍAS DE DATOS.
    • Categorías de DESTINATARIOS.
    • TRANSFERENCIAS de datos a terceros países, con la identificación de los mismos y documentación de garantías apropiadas.
    • Cuando sea posible:
      • Plazos previstos para la supresión de las diferentes CATEGORÍAS DE DATOS.
      • Descripción general de las medidas técnicas y organizativas de seguridad.

    Los ET, o sus REPRESENTANTES, deberán llevar y conservar actualizado un REGISTRO DE ACTIVIDADES en formato electrónico del tratamiento efectuadas en nombre de cada RT, que contenga:

    • Nombre y datos contacto de todos los implicados en el tratamiento: ET, RT, y si es el caso, CoET, CoRT, REPRESENTANTE, DPO y DESTINATARIOS.
    • CATEGORÍAS DE DATOS y DE TRATAMIENTO efectuados en nombre de cada RT.
    • TRANSFERENCIAS de datos a terceros países, con la identificación de los mismos y documentación de garantías apropiadas.
    • Cuando sea posible:
      • Descripción general de las medidas técnicas y organizativas de seguridad.

    A solicitud de la AC, los RT y ET, o sus REPRESENTANTES, deberán poner a su disposición el REGISTRO DE ACTIVIDADES del tratamiento y cooperar en el desempeño de sus funciones.

    4. POLÍTICA DE INFORMACIÓN

    El RT deberá diseñar políticas concisas, transparentes, sencillas y accesibles para comunicar al INTERESADO los detalles del tratamiento y el ejercicio de los DERECHOS sobre sus datos.

    La información que el RT está obligado a facilitar al INTERESADO será gratuita, tanto si se refiere a la comunicación del tratamiento como a la solicitud de DERECHOS, excepto cuando sean manifiestamente infundadas, excesivas o repetitivas, pudiendo en este caso:

    • Cobrar una tasa razonable basada en los costes administrativos.
    • Negarse a actuar respecto de la solicitud.
    • El RT deberá poder demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

    4.1. Transparencia y comunicación del tratamiento

    • El RT facilitará información del tratamiento de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, especialmente si va dirigida a NIÑOS.
    • La información podrá ser facilitada por escrito o por medios electrónicos.
    • Cuando lo solicite el INTERESADO, la información podrá facilitarse oralmente siempre que se pueda demostrar la identidad del INTERESADO por otros medios.
    • La información facilitada podrá transmitirse en combinación con iconos formalizados que permitan proporcionar de forma visible, inteligible y claramente legible una presentación adecuada del tratamiento de datos previsto. Cuando los iconos se presenten en formato electrónico, serán legibles por una máquina.
    • El RT facilitará al INTERESADO la posibilidad para el ejercicio de sus DERECHOS.

    4.2. Información del tratamiento al INTERESADO

    El RT deberá facilitar la siguiente información al INTERESADO:

    • La identidad y los datos de contacto del RT y, si existen, los del REPRESENTANTE y DPO.
    • Los fines del tratamiento a que se destinan los datos personales.
    • La base jurídica del tratamiento.
    • El plazo de conservación o los criterios que lo determinen.
    • El DERECHO de acceso, rectificación y supresión de los datos y el de limitación u oposición al tratamiento.
    • El DERECHO a la portabilidad de los datos.
    • El DERECHO a presentar una reclamación ante la AC.
    • Cuando el INTERESADO haya dado su CONSENTIMIENTO explícito, el DERECHO a retirar el CONSENTIMIENTO en cualquier momento, sin que ello afecte la licitud del tratamiento antes de su retirada.
    • Y, si es el caso:
      • El interés legítimo del RT o terceros, cuando el tratamiento está basado en este interés.
      • Los DESTINATARIOS o categorías de DESTINATARIOS de los datos.

    Y para tratamientos específicos, el RT deberá comunicar, además:

    • La intención de realizar TRANSFERENCIAS internacionales, detallando la existencia o ausencia de una DECISIÓN DE SUFICIENCIA con una referencia a las garantías adecuadas y a los medios para obtener copia de ellas o al momento en que se hayan facilitado las mismas.
    • Cuando exista un mecanismo AUTOMATIZADO de elaboración de PERFILES, se facilitará información significativa sobre la lógica aplicada y la importancia y consecuencias previstas de dicho tratamiento para el INTERESADO.
    • Cuando el RT se proponga tratar los datos a posteriori para otros fines distintos de los anunciados, se facilitará información de los mismos y cualquier otra información pertinente que sea distinta de la anunciada en un principio.

    Y cuando los datos no se obtienen del INTERESADO, además:

    • Las CATEGORÍAS DE DATOS tratados.
    • La fuente de procedencia de los datos.

    4.3. Comunicación de la información al INTERESADO

    Cuando los datos se obtienen del INTERESADO

    • El RT deberá facilitar la información al INTERESADO en el momento de la obtención de datos.
    • Una vez facilitada toda la información al INTERESADO, no será necesario volver a hacerlo en la medida en que este ya disponga de la misma.
    • En el caso que la obtención de datos sea un requisito legal o contractual y el INTERESADO esté obligado a facilitarlos, el RT deberá comunicar las posibles consecuencias de no facilitarlos.

    Cuando los datos no se obtienen del INTERESADO

    Los plazos para facilitar la información al INTERESADO son:

    • En un plazo razonable, máximo 1 mes (según las circunstancias específicas en las que se traten los datos).
    • Si los datos van a utilizarse para comunicarse con el INTERESADO, en el momento de la primera comunicación.
    • Si está previsto comunicarlos a un DESTINATARIO, máximo en el momento en que los datos sean revelados por primera vez.

    No será necesario facilitar la información al INTERESADO cuando:

    • El INTERESADO ya disponga de la información.
    • La comunicación de la información sea imposible o suponga un esfuerzo desproporcionado.
    • Cuando el tratamiento esté fundamentado en la legislación vigente y además:
      • La obtención o la revelación de datos esté expresamente establecida en dicha legislación.
      • Los datos deban seguir teniendo un carácter confidencial supeditado a una obligación de secreto profesional.
      • El RT adopte medidas apropiadas para proteger los derechos y libertades del INTERESADO, haciendo pública dicha información:
      • Para fines de interés PÚBLICO.
      • Para fines de investigación histórica, estadística o científica.

    4.4. Ejercicio de los DERECHOS del INTERESADO

    • El RT deberá responder las solicitudes de DERECHOS sin demora, en un máximo de 1 mes a partir de su recepción, facilitando al INTERESADO la información requerida o, si no fuera posible, los motivos del retraso (prorrogable un máximo de 2 meses en casos complejos).
    • Cuando el INTERESADO haga la solicitud en formato electrónico, se facilitará la información estructurada, si es posible en el mismo formato, a menos que solicite que se proceda de otro modo.
    • Si el RT no da curso a la solicitud del INTERESADO, le informará sin demora (máximo de 1 mes a partir de su recepción) de las razones para no haber actuado y de la posibilidad de presentar una reclamación ante una AC o de interponer un recurso judicial.
    • Cuando el RT tenga dudas razonables para identificar al INTERESADO que cursa la solicitud, podrá solicitar información complementaria para su confirmación.

    5. POLÍTICA DE SEGURIDAD

    El RT y el ET deberán implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que entrañe el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y fines del tratamiento.

    5.1. Implantación de mecanismos de seguridad

    La política de seguridad deberá garantizar la implantación de medidas adecuadas para la protección de los derechos y libertades de los INTERESADOS.

    Para evaluar el nivel de seguridad a implantar, se tendrán en cuenta los riesgos que pueda tener el tratamiento como consecuencia de:

    • La destrucción accidental o ilícita de datos.
    • La pérdida, alteración o comunicación no autorizada.
    • El acceso a los datos cuando sean transmitidos, conservados u objeto de algún otro tipo de tratamiento.

    Se aplicarán, según corresponda la probabilidad y gravedad del riesgo que entrañe del tratamiento, las siguientes medidas:

    • La seudonimización y el cifrado de datos personales.
    • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia de los sistemas y servicios del tratamiento.
    • La capacidad de garantizar que el PERSONAL autorizado realizará el tratamiento siguiendo las instrucciones del RT o ET o por una obligación legal (fundamentada en la legislación vigente).
    • La capacidad de restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de un incidente físico o técnico.
    • La eficacia continua, mediante la implantación de procesos de verificación, evaluación y valoración de las medidas de seguridad adoptadas.

    El RT o ET podrán utilizar la adhesión a los códigos de CONDUCTA o mecanismos de CERTIFICACIÓN establecidos en el REGLAMENTO para demostrar la implantación de las medidas de seguridad.

    5.2. Protección de datos DESDE EL DISEÑO y POR DEFECTO

    El RT deberá garantizar DESDE EL DISEÑO y POR DEFECTO, antes y durante el tratamiento:

    • La protección de los datos en cualquier fase del tratamiento: obtención, acceso, intervención, transmisión, conservación y supresión.
    • Que el tratamiento se realice para fines específicos.
    • La exactitud, confidencialidad, integridad, seguridad física y supresión de los datos.
    • La protección de los DERECHOS del INTERESADO.
    • Que los datos no sean accesibles a un número indeterminado de personas.
    • La aplicación de los resultados de la evaluación de IMPACTO.

    El RT o ET podrán utilizar la adhesión a los códigos de CONDUCTA o mecanismos de CERTIFICACIÓN establecidos en el REGLAMENTO, para demostrar la protección de los datos DESDE EL DISEÑO y POR DEFECTO.

    5.3. Evaluación de IMPACTO

    El RT deberá realizar una evaluación de IMPACTO de las operaciones de tratamiento previstas en la protección de datos personales, cuando sea probable que exista un ALTO RIESGO para los derechos y libertades de los INTERESADOS.

    Una única evaluación de IMPACTO servirá para abordar varias operaciones de tratamiento similares que planteen ALTOS RIESGOS similares.

    Cuando exista un DPO, el RT solicitará su asesoramiento para llevar a cabo la evaluación de IMPACTO.

    La AC podrá establecer una lista de los tipos de tratamiento que requieren una evaluación de IMPACTO y de los detalles que se deben incluir en su documentación.

    El RT realizará una evaluación de IMPACTO cuando:

    • Se utilicen nuevas tecnologías y si naturaleza, alcance, contexto o fines del tratamiento prevean un ALTO RIESGO.
    • Se base en una elaboración de PERFILES que puedan afectar significativamente a los INTERESADOS con efectos jurídicos o de algún otro modo.
    • Exista un tratamiento a GRAN ESCALA basado en:
      • Observación sistemática de una zona de acceso público.
      • Categorías ESPECIALES de datos.
    • Se traten datos relativos a condenas y delitos PENALES.

    Cuando exista una evaluación de IMPACTO general establecida por la legislación vigente, se podrá realizar una evaluación de IMPACTO parcial basada en la general, cuando el tratamiento se efectúe por:

    • Una obligación jurídica del RT.
    • Una misión de interés PÚBLICO.

    La evaluación de IMPACTO deberá documentarse mediante:

    • Una descripción sistemática de:
      • Las operaciones de tratamiento previstas.
      • Los fines del tratamiento.
      • El interés legítimo perseguido por el RT.
    • Una evaluación de la necesidad y proporcionalidad del tratamiento con respecto a su finalidad.
    • Una evaluación de los riesgos para los derechos y libertades de los INTERESADOS.
    • Los mecanismos destinados a garantizar la protección de datos teniendo en cuenta los derechos e intereses de los INTERESADOS y los de otras personas afectadas.
    • Las medidas de seguridad previstas para afrontar los riesgos del tratamiento DESDE EL DISEÑO y POR DEFECTO en cualquier fase del tratamiento: obtención, acceso, intervención, transmisión, conservación y supresión.

    El RT deberá realizar una revisión de la evaluación de IMPACTO cuando exista algún cambio en los riesgos del tratamiento.

    5.4. CONSULTAS PREVIAS

    El RT o ET deberán realizar una CONSULTA PREVIA a la AC antes de proceder al tratamiento de datos cuando:

    • La evaluación de IMPACTO indique que existe un ALTO RIESGO y el RT no pueda adoptar suficientes medidas para mitigarlo.
    • Se exija por la legislación vigente en tratamientos de:
      • Salud pública.
      • Protección social.
      • Interés PÚBLICO.

    La CONSULTA PREVIA deberá contener la siguiente información:

    • Las competencias respectivas de cada uno de los implicados en el tratamiento: RT, ET, y si es el caso, CoRT, CoET, REPRESENTANTE, DPO y la pertenencia a un GRUPO de empresas.
    • Los fines y los medios del tratamiento previsto.
    • Las medidas y garantías previstas para proteger los derechos y libertades de los INTERESADOS.
    • La evaluación de IMPACTO.

    Cuando la AC considere que el tratamiento no es conforme al REGLAMENTO, asesorará al RT o ET en un plazo máximo de 8 semanas.

    6. VIOLACIÓN DE DATOS

    VIOLACIÓN de la seguridad que ocasione la destrucción accidental o ilícita, pérdida, alteración, comunicación no autorizada de datos personales transmitidos, conservados o tratados de otra forma, o el acceso a estos, que pueda producirse en cualquier fase del tratamiento: obtención, acceso, intervención, transmisión, conservación o supresión de datos.

    6.1. Notificación de una VIOLACIÓN de datos a la AC

    El RT notificará a la AC una VIOLACIÓN de datos, sin demora injustificada, y a ser posible en un máximo de 72 horas desde que se haya tenido constancia de ella.

    En el caso de comunicarse a la AC pasadas 72 horas desde que se haya tenido constancia, deberá acompañarse una justificación motivada.

    Cuando la VIOLACIÓN se haya producido bajo la responsabilidad del ET, éste lo notificará al RT sin demora injustificada.
    No será necesario notificar una VIOLACIÓN de datos cuando:

    • Sea improbable que la vulneración de los datos personales constituya un riesgo para los derechos y las libertades de los INTERESADOS.

    La notificación de una VIOLACIÓN de datos deberá documentarse describiendo:

    • La naturaleza y contexto de la VIOLACIÓN.
    • Los posibles efectos y consecuencias de la VIOLACIÓN.
    • Cuando sea posible:
      • Las categorías y número de INTERESADOS afectados.
      • Las categorías y número de registros afectados.
    • Las medidas correctivas o propuestas adoptadas por el RT para remediar y mitigar los efectos ocasionados.
    • Si es el caso, la identidad y los datos de contacto del DPO u otros contactos para obtener más información.
    • Si no es posible facilitar toda la información en una comunicación, se notificará por etapas sin demora indebida.

    6.2. Comunicación de una VIOLACIÓN de datos al INTERESADO

    El RT comunicará una VIOLACIÓN de datos al INTERESADO, sin demora injustificada, cuando:

    • Sea probable que presente un ALTO RIESGO para los derechos y libertades del INTERESADO.
    • Le sea exigido por la AC.

    No será necesaria la comunicación de una VIOLACIÓN de datos al INTERESADO cuando el RT pueda demostrar:

    • Que se han instaurado medidas de protección técnica y organizativa apropiadas para hacer ininteligibles los datos a personas no autorizadas y que estas se han aplicado a los datos afectados.
    • Que se han tomado medidas posteriores que garantizan que ya no sea probable un ALTO RIESGO para los derechos y libertades del INTERESADO.
    • Que supusiera una labor desproporcionada. En este caso, se optará por una comunicación pública que sea igualmente efectiva para informar al INTERESADO.

    La comunicación de una VIOLACIÓN de datos al INTERESADO será clara y contendrá:

    • Una descripción de la naturaleza de la VIOLACIÓN.
    • Las posibles consecuencias de la VIOLACIÓN.
    • Las medidas correctivas o propuestas adoptadas por el RT para remediar y mitigar los efectos ocasionados.

    Si es el caso, la identidad y los datos de contacto del DPO u otros contactos para obtener más información.

    7. TRANSFERENCIA DE DATOS A TERCEROS PAÍSES U ORGANIZACIONES INTERNACIONALES

    Las TRANSFERENCIAS internacionales son el traspaso de datos personales a RT, ET o DESTINATARIOS de terceros países u organizaciones internacionales no establecidos en la UE.

    7.1. DECISIÓN DE ADECUACIÓN

    Podrán realizarse TRANSFERENCIAS internacionales sin requerir ninguna autorización específica cuando la COMISIÓN de la UE haya tomado una DECISIÓN DE ADECUACIÓN en relación con el tercer país o un territorio o un sector especificado del mismo, o con la organización internacional.

    Una DECISIÓN DE ADECUACIÓN es una resolución adoptada por la COMISIÓN que garantiza que la TRANSFERENCIA internacional de datos posee un nivel de protección suficiente. La COMISIÓN podrá derogar, modificar o suspender una DECISIÓN DE ADECUACIÓN sin efecto retroactivo.

    7.2. Garantías apropiadas

    En ausencia de una DECISIÓN DE ADECUACIÓN, solo se podrán realizar TRANSFERENCIAS internacionales a terceros países que ofrezcan garantías apropiadas de protección de datos y que dispongan de recursos legales para ejercer los DERECHOS de los INTERESADOS. Dichas garantías deberán ser aportadas mediante:

    • Garantías aprobadas por la AC:
      • Acuerdos jurídicamente vinculantes y ejecutivos entre Autoridades u Organismos públicos.
      • NORMAS corporativas vinculantes.
      • Cláusulas tipo de protección de datos.
      • Códigos de CONDUCTA.
      • Mecanismos de CERTIFICACIÓN.
      • Cláusulas contractuales con el RT, ET o DESTINATARIO de los datos internacional.
    • Interés del INTERESADO
      • El INTERESADO dé explícitamente su CONSENTIMIENTO, tras haber sido informado de los riesgos debidos a la ausencia de una DECISIÓN DE SUFICIENCIA o de garantías apropiadas.
      • Sea necesario para la ejecución de un contrato o precontrato entre el RT y el INTERESADO.
      • Sea necesario para la ejecución de un contrato por interés del INTERESADO, entre el RT y otra persona física o jurídica.
      • Sea necesario para proteger los intereses vitales del INTERESADO u otras personas, cuando esté física o jurídicamente incapacitado para dar su CONSENTIMIENTO.
    • Interés legítimo e imperioso del RT o ET, siempre y cuando se cumplan todas las siguientes condiciones:
      • No repetitiva y afecte un número limitado de INTERESADOS.
      • El interés del RT no quede anulado por los intereses o derechos y libertades del INTERESADO.
      • Se realice una evaluación de IMPACTO y se hayan puesto en práctica las garantías adecuadas de protección.
    • Interés PÚBLICO
      • Por motivos importantes y legítimos de interés PÚBLICO.
      • Sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.

    Se realice desde un registro público legal que tenga por objeto facilitar información al público en general o a cualquier persona que pueda acreditar un interés legítimo y no implique la consulta de la totalidad de los datos personales o de las CATEGORÍAS DE DATOS.

    8. GARANTÍAS DE CUMPLIMIENTO

    8.1. CERTIFICACIÓN

    El RT o ET podrá garantizar el cumplimiento del REGLAMENTO mediante mecanismos de CERTIFICACIÓN, sellos y marcados de protección de datos establecidos por las Autoridades competentes en la materia.

    La CERTIFICACIÓN será voluntaria y no limitará la responsabilidad del RT o ET en cuanto al cumplimiento del REGLAMENTO.

    La CERTIFICACIÓN será expedida por organismos certificadores acreditados por las Autoridades competentes por un período máximo de 3 años y podrá ser renovada si se siguen cumpliendo los requisitos de CERTIFICACIÓN, o podrá ser retirada si no da lugar a ello.

    8.2. Códigos de CONDUCTA

    Las asociaciones y organismos que representen a categorías de RT o ET podrán elaborar códigos de CONDUCTA con el objeto de especificar la aplicación del REGLAMENTO, debiendo presentarlos para su aprobación a la AC, o a la COMISIÓN de la UE, según sea su ámbito territorial.

    Los códigos de CONDUCTA tendrán en cuenta:

    • El tratamiento equitativo y transparente de datos.
    • Los intereses legítimos del RT.
    • La recogida de datos.
    • La seudonimización de datos personales.
    • La información y la protección de los NIÑOS y la manera de recabar el CONSENTIMIENTO de sus representantes legales.
    • El respeto de los derechos del consumidor.
    • La información del público y de los INTERESADOS.
    • El ejercicio de los DERECHOS de los INTERESADOS.
    • Las medidas y procedimientos usados por el RT DESDE EL DISEÑO y POR DEFECTO para garantizar la seguridad del tratamiento.
    • La notificación de las VIOLACIONES de datos a la AC y su comunicación a los INTERESADOS.
    • Los procedimientos extrajudiciales para resolver las controversias que pudiera haber entre RT e INTERESADOS.
    • Las TRANSFERENCIAS internacionales.

    Los RT o ET que estén adheridos a códigos de CONDUCTA, deberán tener en cuenta las repercusiones que pueda tener el tratamiento a efectos de la evaluación de IMPACTO.

    En TRANSFERENCIAS internacionales a terceros países u organizaciones internacionales, los RT o ET adheridos a códigos de CONDUCTA deberán ofrecer garantías apropiadas de protección de datos, asumiendo compromisos vinculantes y de obligado cumplimiento, mediante instrumentos jurídicamente vinculantes.

    Las AC u otros organismos acreditados por estas, podrán supervisar el cumplimiento de los códigos de CONDUCTA, excepto en tratamientos realizados por Autoridades y Organismos públicos.

    8.3. NORMAS corporativas vinculantes

    Un GRUPO de empresas podrá solicitar a la AC la aprobación de NORMAS corporativas vinculantes cuando:

    • Sean jurídicamente vinculantes y se apliquen a todos los miembros afectados del GRUPO de empresas que participen en una actividad económica conjunta.
    • Confieran expresamente a los INTERESADOS, DERECHOS exigibles en relación con el tratamiento.

    Las NORMAS corporativas vinculantes especificarán, como mínimo:

    • La forma en que se facilitará a los INTERESADOS la información sobre las NORMAS corporativas vinculantes.
    • La estructura y los datos de contacto de los miembros del GRUPO de empresas afectado.
    • Su carácter jurídicamente vinculante, tanto a nivel interno como externo.
    • La aplicación de los principios generales en materia de protección de datos:
      • Base jurídica del tratamiento.
      • Limitación de la finalidad.
      • Minimización de los datos.
      • Periodos de conservación limitados.
      • Minimización de los datos.
      • Protección de datos DESDE EL DISEÑO y POR DEFECTO.
      • Tratamiento de categorías ESPECIALES de datos.
      • Medidas para garantizar la seguridad de los datos.
      • Requisitos relativos a comunicaciones posteriores de datos a otras organizaciones que no estén vinculadas por las NORMAS corporativas vinculantes.
    • Los DERECHOS de los INTERESADOS y los medios para ejercerlos.
    • El DERECHO a presentar una reclamación ante la AC y órganos jurisdiccionales competentes de la UE.
    • El DERECHO a obtener una reparación y, si procede, una indemnización por la VIOLACIÓN de las NORMAS corporativas vinculantes.
    • Los procedimientos de reclamación.
    • La aceptación por parte del RT o ET establecidos en la UE, de la responsabilidad por la VIOLACIÓN de las NORMAS corporativas vinculantes de cualquier miembro del GRUPO no establecido en la UE.
    • Los cometidos del DPO encargado de la supervisión del cumplimiento de las NORMAS corporativas vinculantes y la tramitación de reclamaciones.
    • Los mecanismos establecidos dentro del GRUPO para:
      • Garantizar el cumplimiento de las NORMAS corporativas vinculantes.
      • Comunicar y registrar las modificaciones de las NORMAS corporativas vinculantes y su notificación a la AC.
      • Informar a la AC de cualquier requisito jurídico al que esté sometido un miembro del GRUPO en un tercer país cuando sea probable que tenga un efecto adverso sobre las garantías establecidas en las NORMAS corporativas vinculantes.
      • Formar al PERSONAL autorizado en materia de protección de datos.
    • Las TRANSFERENCIAS internacionales de datos, incluyendo las CATEGORÍAS DE DATOS, el tipo de tratamientos y sus fines, el tipo de INTERESADOS afectados y los nombres de los terceros países destinatarios.

    9. DERECHOS DE LOS INTERESADOS

    Los INTERESADOS tendrán derecho a ser informados del tratamiento de sus datos personales y a obtener del RT el gobierno de los mismos siempre que lo permita la legislación vigente.

    9.1. DERECHO de acceso a los datos

    El INTERESADO tendrá derecho a que el RT le comunique si se están tratando o no sus datos personales, y en caso de que se confirme el tratamiento, posibilitará su acceso facilitándole la siguiente información:

    • Los fines del tratamiento.
    • Las CATEGORÍAS DE DATOS de que se trate.
    • El plazo o criterios de conservación.
    • El ejercicio de los DERECHOS de rectificación o supresión de los datos personales y de la limitación u oposición al tratamiento.
    • El DERECHO a presentar una reclamación a la AC.

    Y cuando:

    • Los datos no se obtienen del INTERESADO: información de la fuente de procedencia.
    • Exista una comunicación de datos: los DESTINATARIOS o categorías de DESTINATARIOS, incluidos los internacionales.
    • Exista una TRANSFERENCIA internacional de datos: información de las garantías apropiadas de protección de datos.
    • Se elaboren PERFILES: información significativa sobre la lógica aplicada y la importancia y consecuencias previstas de dicho tratamiento para el INTERESADO.

    El RT facilitará al INTERESADO una copia gratuita de los datos personales sometidos a tratamiento. Para más copias, podrá cobrar una tasa razonable basada en los costes administrativos.

    Cuando el INTERESADO haga la solicitud en formato electrónico, se facilitará la información estructurada, si es posible, en el mismo formato, a menos que solicite que se proceda de otro modo.

    El DERECHO de acceso no deberá afectar negativamente a los derechos y libertades de terceros.

    9.2. DERECHO de rectificación de los datos

    El INTERESADO tendrá derecho a que el RT rectifique sus datos sin demora injustificada cuando resulten inexactos o incompletos mediante una declaración rectificativa adicional.
    En el caso que exista una comunicación previa de datos a DESTINATARIOS, el RT deberá informarles para que procedan a la rectificación de los mismos, salvo que sea imposible o exija un esfuerzo desproporcionado.

    9.3. DERECHO de supresiónde los datos (DERECHO al olvido)

    El INTERESADO tendrá derecho a que el RT suprima sus datos sin demora injustificada, cuando:

    • El tratamiento sea ilícito.
    • El INTERESADO haya retirado su CONSENTIMIENTO.
    • Ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados.
    • Los datos se hayan obtenido en relación con la oferta de servicios de la SOCIEDAD DE LA INFORMACIÓN.
    • El INTERESADO haya ejercido el DERECHO de oposición al tratamiento y no prevalezcan otros motivos legítimos para el tratamiento.
    • Los datos deban suprimirse para cumplir una obligación jurídica del RT.

    El INTERESADO no tendrá derecho a que el RT suprima sus datos cuando el tratamiento sea necesario:

    • Para ejercer el derecho a la libertad de expresión e información.
    • Para cumplir una obligación jurídica del RT.
    • Para la formulación, ejercicio o defensa de reclamaciones.
    • Por interés PÚBLICO fundamentado en la legislación vigente:
      • Por razones de salud pública.
      • Para fines de investigación histórica, estadística o científica.

    En el caso que exista una comunicación previa de datos a DESTINATARIOS, el RT deberá informarles para que procedan a la supresión de los mismos, salvo que sea imposible o exija un esfuerzo desproporcionado.

    9.4. DERECHO a la limitación del tratamiento

    El INTERESADO tendrá derecho a que el RT marque sus datos con el fin de limitar el tratamiento cuando:

    • El INTERESADO impugne la exactitud de los datos.
    • El tratamiento sea ilícito y el INTERESADO se oponga a la supresión de los datos y solicite en su lugar la limitación de su uso.
    • El INTERESADO se ha opuesto al tratamiento, mientras se verifica si los motivos legítimos del RT prevalecen sobre los del INTERESADO.
    • El RT ya no necesite los datos para los fines del tratamiento, pero el INTERESADO los necesite para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.

    Cuando se haya procedido a limitar el tratamiento, solo se podrá levantar la restricción, previa comunicación al INTERESADO, si existe:

    • El CONSENTIMIENTO del INTERESADO.
    • La posibilidad que el tratamiento afecte a la protección de los derechos de otra persona física o jurídica.
    • Un procedimiento judicial que lo justifique.
    • Un motivo importante de interés PÚBLICO fundamentado en la legislación vigente.

    En el caso que exista una comunicación previa de datos a DESTINATARIOS, el RT deberá informarles para que procedan a la limitación del tratamiento, salvo que sea imposible o exija un esfuerzo desproporcionado.

    9.5. Derecho a la portabilidad de los datos

    El INTERESADO tendrá derecho a que el RT transmita sus datos a otro RT o al mismo INTERESADO, mediante un formato estructurado de uso habitual y lectura mecánica, cuando el tratamiento se efectúe por medios AUTOMATIZADOS y se base en:

    • El CONSENTIMIENTO del INTERESADO para fines específicos.
    • La ejecución de un contrato o precontrato con el INTERESADO.

    El derecho a la portabilidad de datos no se aplicará cuando:

    • Sea técnicamente imposible la transmisión.
    • Pueda afectar negativamente a los derechos y libertades de terceros.
    • El tratamiento tenga una misión de interés PÚBLICO fundamentado en la legislación vigente.

    9.6. DERECHO de oposición al tratamiento

    El INTERESADO tendrá derecho a oponerse al tratamiento de sus datos realizado por un RT por motivos relacionados con su situación particular, cuando el tratamiento se base en:

    • Mercadotecnia directa.
    • Elaboración de PERFILES.
    • Interés legítimo del RT o terceros, siempre que no prevalezcan los intereses o los derechos y libertades del INTERESADO, especialmente si es un NIÑO.
    • Investigación histórica, estadística o científica, salvo que el tratamiento sea necesario por motivos de interés PÚBLICO.

    Aunque el INTERESADO se oponga al tratamiento de sus datos, el RT podrá seguir tratándolos siempre y cuando:

    • El interés legítimo del RT impere sobre los intereses o los derechos y libertades del INTERESADO en un procedimiento judicial que lo justifique.

    El RT deberá informar al INTERESADO del derecho a oponerse al tratamiento de sus datos de manera explícita, clara y separada de cualquier otra información, en el momento de la primera comunicación.

    En el contexto de los servicios de la SOCIEDAD DE LA INFORMACIÓN, la oposición al tratamiento se podrá realizar por medios AUTOMATIZADOS recurriendo a especificaciones técnicas.

    9.7. DERECHO a presentar una reclamación ante la AC

    El INTERESADO tendrá derecho estar informado por el RT de que puede presentar una reclamación ante la AC si considera que el tratamiento de sus datos personales no se ajusta a lo dispuesto en el REGLAMENTO.

    9.8. DERECHO a no ser objeto de una elaboración de PERFILES

    El INTERESADO tendrá derecho a no ser objeto de una elaboración de PERFILES cuya finalidad sea adoptar decisiones individuales basadas en un tratamiento AUTOMATIZADO de datos y destinadas a evaluar, analizar o predecir los siguientes aspectos personales:

    • Rendimiento profesional.
    • Situación económica.
    • Salud.
    • Preferencias o intereses personales.
    • Fiabilidad.
    • Comportamiento.
    • Ubicación o movimientos de la persona.

    Cuando la elaboración de PERFILES se base únicamente en un tratamiento AUTOMATIZADO:

    • El INTERESADO tendrá derecho a estar informado si la decisión que pueda ser tomada pueda producirle efectos jurídicos que le afecten significativamente.
    • El INTERESADO tendrá derecho a obtener la intervención humana por parte del RT, a expresar su punto de vista y a impugnar la decisión, si el tratamiento ha sido autorizado mediante:

    No se aplicará al DERECHO a no ser objeto de una elaboración de PERFILES cuando la decisión que pueda ser tomada a consecuencia de la misma esté autorizada mediante:

    • El CONSENTIMIENTO explícito del INTERESADO.
    • Un contrato entre el RT y el INTERESADO.
    • Un tratamiento fundamentado en la legislación vigente.

    10. DELEGADO DE PROTECCIÓN DE DATOS (DPO)

    El DPO es la persona encargada de informar y asesorar al RT, ET y al PERSONAL autorizado de las obligaciones relativas a la protección de datos personales.

    10.1. Designación del DPO

    El RT y ET deberán designar un DPO cuando la actividad principal del RT o ET contemple tratamientos:

    • A GRAN ESCALA de:
      • Seguimiento periódico y sistemático de INTERESADOS.
      • Categorías ESPECIALES de datos.
      • Relativos a condenas y delitos PENALES.
    • Realizados por Organismos públicos.

    Se podrá nombrar un único DPO para varios RT o ET cuando se designe para representar a:

    • Un GRUPO de empresas, siempre que sea accesible desde cada uno de los establecimientos del GRUPO.
    • Varias entidades de un mismo Organismo público, siempre que se tenga en cuenta su estructura organizativa y su tamaño.

    Cualquier RT o ET, asociación u organismo que represente categorías de RT o ET, podrán designar un DPO y autorizarle para actuar por su cuenta.

    El DPO será designado atendiendo a:

    • Cualidades profesionales.
    • Conocimientos especializados en protección de datos.
    • Capacidad para ejecutar los cometidos que le confiere el REGLAMENTO.

    El DPO podrá pertenecer a la plantilla del RT o ET o, si es externo, en el marco de un contrato de servicios.

    El RT o ET publicarán los datos de contacto del de DPO y los comunicarán a la AC.

    10.2. Funciones del DPO

    • Los RT o ET deberán:
      • Respaldarle para que pueda cumplir sus cometidos.
      • Facilitarle los recursos necesarios para desempeñar sus funciones y mantener sus conocimientos especializados.
      • Velar para que el DPO no reciba ninguna instrucción en lo que respecta al ejercicio de sus cometidos y no podrán destituirle ni sancionarlo por realizarlos.
    • El DPO:
      • Desempeñará sus cometidos prestando la debida atención a los riesgos en la protección de datos, teniendo en cuenta la naturaleza, alcance, contexto y fines del tratamiento.
      • Estará obligado a mantener el secreto o la confidencialidad de sus cometidos.
      • Podrá desempeñar otros cometidos y funciones ajenas a su relación con el RT o ET, siempre que no exista un conflicto de intereses con los mismos.
      • Podrá informar directamente al más alto nivel de dirección del RT o ET.
    • Los INTERESADOS
      • Podrán contactar con el DPO para tratar los asuntos que les afecten relativos al tratamiento de sus datos y al ejercicio de los DERECHOS que les confiere el REGLAMENTO.


    10.3. Cometidos del DPO

    • Informar y asesorar al RT, ET y al PERSONAL autorizado de las obligaciones del REGLAMENTO y de cualquier otra disposición legislativa de protección de datos vigente en la UE o en los Estados de la UE.
    • Actuar como punto de contacto o de consulta con la AC y cooperar con ella.
    • Supervisar:
      • El cumplimiento del REGLAMENTO y de cualquier otra disposición legislativa de protección de datos vigente en la UE o en los Estados de la UE.
      • La implementación y aplicación de las políticas de protección de datos.
      • La asignación de responsabilidades, concienciación y formación del PERSONAL autorizado.
      • La realización de la evaluación de IMPACTO.
      • Las auditorías realizadas.

    11. AUTORIDADES DE CONTROL

    Autoridades públicas dispuestas por un Estado de la UE destinadas a supervisar la aplicación del REGLAMENTO con el fin de proteger los derechos y las libertades fundamentales de los INTERESADOS en lo que respecta al tratamiento de sus datos personales y a facilitar la libre circulación de datos personales en la UE.

    11.1. Cometidos de la Autoridad de control (AC)

    Cometidos que afectan al INTERESADO:

    • Facilitar información al INTERESADO de los DERECHOS que le otorga el REGLAMENTO.
    • Facilitar la presentación de reclamaciones mediante formularios por vía electrónica u otros medios de comunicación.
    • Resolver las reclamaciones presentadas por un INTERESADO.

    Cometidos que afectan al RT y ET:

    • Recibir las notificaciones de VIOLACIONES de seguridad del RT y, si procede, exigir su comunicación al INTERESADO.
    • Adoptar cláusulas contractuales tipo de protección de datos para:
      • La formalización de contratos entre RT y ET.
      • Realizar TRANSFERENCIAS internacionales de datos mediante garantías apropiadas.
    • Autorizar las cláusulas contractuales establecidas entre el RT, ET o DESTINATARIO para realizar TRANSFERENCIAS internacionales.
    • Elaborar y mantener una lista de los tipos de tratamiento que requieren una evaluación de IMPACTO y de los detalles que se deben incluir en su documentación.
    • Asesorar al RT o ET del procedimiento para realizar una CONSULTA PREVIA y, cuando ésta se haya producido y no sea conforme al REGLAMENTO, comunicárselo por escrito en un plazo máximo de 8 semanas

    Cometidos que afectan a las garantías de cumplimiento:

    • Establecer los requisitos de CERTIFICACIÓN y expedir los mecanismos de CERTIFICACIÓN, sellos y marcados de protección de datos a los RT o ET que lo soliciten y renovarlos o retirarlos a su vencimiento.
    • Elaborar y publicar los criterios para la acreditación de un organismo de CERTIFICACIÓN o de supervisión de códigos de CONDUCTA y expedir la acreditación a tales organismos.
    • Emitir un dictamen y aprobar los proyectos de códigos de CONDUCTA presentados por asociaciones y organismos que representen a categorías de RT o ET.
    • Aprobar NORMAS corporativas vinculantes solicitadas por un GRUPO de empresas.

    11.2. Facultades investigadoras de la AC

    Cada AC dispondrá de las siguientes facultades investigadoras:

    • Ordenar al RT y ET o, si lo hubiere, al REPRESENTANTE de los mismos, que faciliten cualquier información que requiera para el desempeño de sus funciones.
    • Llevar a cabo investigaciones en forma de auditorías de protección de datos.
    • Llevar a cabo una revisión de las CERTIFICACIONES expedidas.
    • Notificar al RT y ET las presuntas infracciones del REGLAMENTO.
    • Obtener del RT y ET el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones.
    • Obtener el acceso a todos los locales del RT y ET, incluidos cualquiera de los equipos y medios de tratamiento de datos.

    11.3. Facultades correctoras de la AC

    Cada AC dispondrá de las siguientes facultades correctoras:

    • Formular advertencias o amonestaciones a RT y ET cuando las operaciones de tratamiento puedan infringir el REGLAMENTO.
    • Ordenar al RT y ET que atiendan las solicitudes del INTERESADO de ejercer sus DERECHOS con arreglo al REGLAMENTO.
    • Ordenar al RT y ET que realice el tratamiento en consonancia con el REGLAMENTO, en una forma y plazo especificado.
    • Ordenar al RT la comunicación de una VIOLACIÓN de datos al INTERESADO.
    • Imponer una limitación temporal o definitiva del tratamiento.
    • Ordenar la rectificación, limitación o supresión de datos.
    • Retirar una CERTIFICACIÓN si no se cumplen los requisitos legales.
    • Imponer una multa administrativa según las circunstancias de cada caso particular.
    • Ordenar la suspensión de una TRANSFERENCIA internacional de datos.

    11.4. Derecho a presentar una reclamación ante una AC

    Todo INTERESADO podrá reclamar ante la AC de cualquier Estado de la UE, si considera que el tratamiento de sus datos personales no se ajusta a lo dispuesto en el REGLAMENTO.

    11.5. Derecho a un recurso judicial contra una AC

    • Los RT o ET tendrán derecho a un recurso judicial efectivo contra una decisión jurídicamente vinculante de la AC que les afecte.
    • El INTERESADO tendrá derecho a un recurso judicial efectivo en contra de la AC cuando ésta no de curso a una reclamación o no le haya informado en 3 meses.


    11.6. Derecho a un recurso judicial contra un RT o ET

    • El INTERESADO tendrá derecho a un recurso judicial efectivo contra un RT o ET cuando considere que el tratamiento de sus datos personales no se ajusta a lo dispuesto en el REGLAMENTO.
    • Las acciones contra el RT y ET podrán ejercitarse ante los órganos jurídicos del Estado de la UE donde:
      • Esté establecido el RT o ET.
      • Resida el INTERESADO, siempre y cuando el RT o ET no sea una Autoridad pública que actúe en ejercicio de su poder público.

    11.7. Derecho a indemnización y responsabilidad

    Todo INTERESADO que haya sufrido perjuicio material o inmaterial como consecuencia de una vulneración del REGLAMENTO, tendrá derecho a recibir una indemnización del RT o ET.

    • Si en el tratamiento participan más de un RT o ET, cada uno de ellos será considerado responsable de la totalidad del perjuicio.
    • Cuando un RT o ET haya pagado una compensación total por un perjuicio tendrá derecho a reclamar a los demás participantes del tratamiento la parte de la compensación que les corresponda por el perjuicio ocasionado.
    • El ET solo será responsable de los perjuicios provocados por el tratamiento cuando haya actuado al margen o en contra de las instrucciones legales del RT o haya incumplido las obligaciones que le impone REGLAMENTO.
    • Los RT o ET estarán exentos de responsabilidades si consiguen probar que no son responsables del hecho que ha provocado el perjuicio.


    11.8. Derecho a la representación del INTERESADO

    El INTERESADO tendrá derecho a dar mandato a una entidad, organización o asociación sin afán de lucro correctamente constituida, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los INTERESADOS en materia de protección de sus datos personales, para que presente una reclamación en su nombre y que ejerza los derechos de:

    • Recurso judicial contra una AC.
    • Recurso judicial contra un RT o ET.
    • Indemnización y responsabilidad.

    11.9. Sanciones

    Cada AC podrá imponer multas administrativas al RT, ET o, si lo hubiere, al REPRESENTANTE de los mismos por infringir el REGLAMENTO garantizando que serán efectivas, proporcionadas y disuasorias.
    Las multas administrativas se impondrán en función de las circunstancias de cada caso individual, teniendo en cuenta las facultades investigadoras y correctoras conferidas a la AC.

    11.10. Valoración de las sanciones

    La decisión de la AC para imponer una multa administrativa y calcular su importe tendrá en cuenta:

    • La naturaleza, gravedad y duración de la infracción en relación con el fin del tratamiento.
    • El número de INTERESADOS afectados.
    • El nivel de los perjuicios sufridos por los INTERESADOS.
    • La intencionalidad o negligencia de la infracción.
    • Las CATEGORÍAS DE DATOS afectados por la infracción.
    • El grado de responsabilidad del RT o ET.
    • La reiteración de infracciones del RT o ET.
    • Las medidas tomadas por el RT o ET para paliar los perjuicios sufridos por los INTERESADOS.
    • El grado de cooperación con la AC con el fin de remediar la infracción y mitigar sus posibles efectos adversos.
    • La forma en que la AC ha tenido conocimiento de la infracción (si se ha notificado, o en la medida que se ha hecho).
    • El cumplimiento de las medidas ordenadas previamente por la AC contra el RT o ET en relación con el mismo asunto.
    • La adhesión a códigos de CONDUCTA o a mecanismos de CERTIFICACIÓN aprobados por la AC.
    • Otros factores agravantes o atenuantes aplicables a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas por la infracción.

    11.11. Importe de las sanciones

    • Multa administrativa con un máximo del importe más elevado entre 10.000.000 € y el 2% del total de la facturación mundial anual del ejercicio financiero anterior, para las infracciones de las siguientes disposiciones del REGLAMENTO:
      • Condiciones aplicables al CONSENTIMIENTO del menor en relación con los servicios de la SOCIEDAD DE LA INFORMACIÓN.
      • Tratamientos que no requieren identificación.
      • ENCARGADOS del tratamiento (ET).
      • Corresponsables del tratamiento (CoRT).
      • Tratamientos bajo la autoridad del RT y del ET.
      • REPRESENTANTES de los RT no establecidos en la UE.
      • REGISTRO DE ACTIVIDADES del tratamiento.
      • Protección de datos DESDE EL DISEÑO y POR DEFECTO.
      • Seguridad del tratamiento.
      • Evaluación de IMPACTO relativa a la protección de datos.
      • CONSULTAS PREVIAS.
      • Notificación de una VIOLACIÓN de datos personales a la AC.
      • Comunicación de una VIOLACIÓN de datos personales al INTERESADO.
      • Garantías de CERTIFICACIÓN.
      • Organismos y procedimientos de CERTIFICACIÓN.
      • Designación del DPO.
      • Funciones del DPO.
      • Cometidos del DPO.
      • Cooperación con la AC.
    • Multa administrativa con un máximo del importe más elevado entre 20.000.000 € y el 2% del total de la facturación mundial anual del ejercicio financiero anterior, para las infracciones de las siguientes disposiciones del REGLAMENTO:
      • Principios relativos al tratamiento de datos personales.
      • Licitud del tratamiento.
      • Condiciones para el CONSENTIMIENTO.
      • Tratamiento de categorías ESPECIALES de datos personales.
      • TRANSFERENCIAS de datos personales a terceros países u organizaciones internacionales.
      • Disposiciones relativas a situaciones específicas de tratamiento de datos.
      • DERECHOS del INTERESADO.
      • No facilitar el acceso a la AC para ejercer sus facultades investigadoras.
      • El incumplimiento de un requerimiento de la AC.
    • Multa administrativa con un máximo del importe más elevado entre 20.000.000 € y el 4% del total de la facturación mundial anual del ejercicio financiero anterior, para las infracciones de las siguientes disposiciones del REGLAMENTO:
      • El incumplimiento de las resoluciones de la AC.

    El importe total de las multas para unas mismas operaciones de tratamiento que incumplan diversas disposiciones del REGLAMENTO, no podrá superar la cantidad prevista para los incumplimientos más graves de dichas operaciones.

    Cada Estado de la UE podrá establecer normas sobre la imposición de multas administrativas a las Autoridades y Organismos públicos establecidos en dicho Estado.