No puedes almacenar datos personales para siempre.

Por regla general, los datos personales solo pueden almacenarse durante el tiempo necesario a la luz de los fines para los que se tratan los datos personales.

En algunos casos, el período de almacenamiento puede ser determinado por leyes específicas, por ejemplo, las regulaciones laborales determinan un período de almacenamiento para las listas de nómina.

Las organizaciones deben establecer políticas de conservación de datos para asegurarse de que los datos personales no se conserven durante más tiempo del necesario. Los datos personales de las personas físicas deben eliminarse o anonimizarse una vez que estos datos ya no sean necesarios para el fin para el que se trataron.

Más información:

• Aspectos básicos de la protección de datos

Debes responder sin demora indebida y a más tardar en el plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse otros dos meses si la solicitud es demasiado compleja y se necesita más tiempo para responder, siempre que se informe a la persona en el plazo de un mes a partir de la recepción de la solicitud.

Debes hacerlo de forma gratuita.

Más información:

• Respetar los derechos de las personas

Sí, pero para ello, primero deberá determinar la base legal para el tratamiento de este tipo de datos personales. Por ejemplo, el tratamiento podría considerarse un interés legítimo para su organización. Cuando se procesan datos personales sobre la base de un interés legítimo, siempre es necesario sopesar para determinar si tus intereses legítimos superan los derechos de las personas, especialmente si se trata de niños.

Otro posible fundamento jurídico para dicho tratamiento podría ser el consentimiento. En cualquier caso, las personas siempre deben ser informadas con antelación de que el evento está siendo fotografiado o filmado.

Más información:

• Procesar datos personales legalmente

De hecho, el consentimiento podría ser una base jurídica válida para almacenar los currículums de los solicitantes de empleo. Otro posible fundamento jurídico podría ser el interés legítimo. En ese caso, tendrías que sopesar la situación para demostrar que los intereses legítimos de tu organización superan los derechos de los solicitantes.

En cualquier caso, deberás informar a los candidatos que tienes previsto almacenar sus datos y para qué fines.

Más información:

• Procesar datos personales legalmente

No, el tratamiento de datos sensibles está generalmente prohibido, excepto en circunstancias muy específicas:

• La persona ha dado su consentimiento explícito para que sus datos sensibles sean tratados.
• El tratamiento de datos sensibles es necesario para que el responsable del tratamiento cumpla sus obligaciones, en particular en el contexto del empleo, la seguridad social y la protección social. Por ejemplo, el responsable del tratamiento puede necesitar tratar datos sensibles de una persona para poder determinar si tiene derecho a ciertas prestaciones de seguridad social o a estipendios laborales.
• El tratamiento de datos sensibles es necesario para proteger los intereses vitales de una persona cuando la persona es física o legalmente incapaz de dar su consentimiento. Por ejemplo, si una persona queda inconsciente como resultado de un accidente y requiere atención médica inmediata, es posible que sus datos de salud deban tratarse para que se brinde la atención médica adecuada.
• El tratamiento de datos sensibles se lleva a cabo en el contexto de las actividades legítimas de una fundación, asociación u otra organización sin ánimo de lucro con fines políticos, filosóficos, religiosos o sindicales, y solo para el tratamiento de los datos personales de sus miembros, antiguos miembros o personas que tengan contacto regular con ellos.
• Los datos sensibles fueron hechos públicos manifiestamente por individuos.
• El tratamiento de datos sensibles es necesario en el contexto de procedimientos judiciales.
• El tratamiento de datos sensibles es necesario para cuestiones de interés público sustancial.
• El tratamiento de datos sensibles es necesario en el contexto de la medicina preventiva o laboral. Por ejemplo, la evaluación de los datos sensibles de una persona, como sus datos médicos, puede ser necesaria para determinar su capacidad de trabajo como empleado.
• El tratamiento de datos sensibles es necesario para cuestiones de salud pública sobre la base de la legislación de la UE o nacional. Por ejemplo, el tratamiento de datos sensibles de las personas puede ser necesario para garantizar una alta calidad de la atención médica y una alta calidad de los productos médicos, o para combatir las amenazas graves para la salud, como los virus.
• El tratamiento de datos sensibles es necesario para fines de archivo de interés público, o para fines de investigación científica o histórica, o fines estadísticos. Por ejemplo, el tratamiento de datos sensibles puede ser necesario para proporcionar estadísticas precisas sobre la situación de un país en un campo particular.

Más información:

• Procesar datos personales legalmente

El DPD no puede ser considerado responsable por el incumplimiento del RGPD. El cumplimiento del RGPD es responsabilidad de la organización que designó al DPD.

Más información:

• Delegado de Protección de Datos

El nombramiento de un DPD es obligatorio en los tres casos siguientes:

• la organización es una autoridad pública;
• las actividades principales de la organización consisten en un seguimiento regular y sistemático de las personas a gran escala, por ejemplo, la geolocalización a través de una aplicación móvil, o la vigilancia de centros comerciales y espacios públicos a través de CCTV;
• las actividades principales de la organización consisten en el tratamiento a gran escala de datos sensibles o datos personales relacionados con condenas y delitos penales.

Siempre puede designar un DPD de forma voluntaria, incluso si esto no es legalmente requerido. Tenga en cuenta que, en ese caso, debe cumplir con todas las disposiciones del RGPD relativas a las tareas y el cargo del delegado de protección de datos.

Más información:

• Delegado de Protección de Datos

Las cookies son pequeños archivos almacenados en un dispositivo, como un ordenador, un dispositivo móvil o cualquier otro dispositivo que pueda almacenar información. Las cookies cumplen una serie de funciones importantes, como recordar a los usuarios y sus interacciones anteriores con un sitio web. Se pueden utilizar para realizar un seguimiento de los artículos en un carrito de compras en línea o para realizar un seguimiento de la información cuando los detalles se insertan en un formulario de solicitud en línea.

Las cookies de autenticación también son importantes para identificar a los usuarios cuando inician sesión en servicios bancarios y otros servicios en línea. La información almacenada en las cookies puede incluir datos personales, como una dirección IP, un nombre de usuario, un identificador único o una dirección de correo electrónico.

El RGPD impone obligaciones a todas las organizaciones que tratan datos personales, independientemente de si son responsables o encargados del tratamiento de datos.

En particular, debes:

• Preguntarte si el propósito para el que se pueden recopilar datos personales está justificado, y solo recopilar los datos personales que sean necesarios para los fines específicos previstos;
• Mantener los datos personales de los individuos precisos y actualizados, y eliminarlos cuando ya no sean necesarios;
• Respetar los derechos de las personas, informándoles sobre cómo y por qué se tratan sus datos, y permitiéndoles ejercer sus derechos;
• Comprobar  si tienes una base legal adecuada para el tratamiento de datos personales. En caso de que vayas a utilizar el consentimiento, debes solicitarlo antes de tratar sus datos personales;
• Asegurarse de que los datos personalesse traten de manera segura;
• Mantener un registro de las operaciones de procesamiento.

Los encargados del tratamiento tendrán que cumplir con las responsabilidades establecidas en el contrato responsable-encargado del tratamiento, y no deben tratar los datos de otro modo que no sea conforme a las instrucciones del responsable del tratamiento.

Más información:

• Cumplir la normativa
• Responsable o encargado del tratamiento
• Aspectos básicos de la protección de datos

• Todo tratamiento de datos personales debe ser lícito, justo y transparente.
• Solo recopilar datos personales para fines específicos, explícitos y legítimos. El tratamiento de los datos de una persona debe limitarse estrictamente a los fines inicialmente establecidos y, por lo tanto, no tratarlos para fines posteriores o de otro tipo que sean incompatibles con los fines iniciales.
• Solo tratar datos personales que sean necesarios y proporcionados a la luz de la finalidad prevista.
• Todos los datos personales que usted trate deben ser exactos y mantenerse actualizados. Los datos personales inexactos deben ser rectificados o borrados.
• El almacenamiento de los datos personales de las personas físicas debe estar limitado en el tiempo, a la luz de la finalidad para la que se recopilaron y procesaron estos datos. Como tal, los datos personales deben eliminarse o anonimizarse una vez que estos datos ya no sean necesarios.
• El tratamiento de los datos personales debe realizarse de manera segura. En este sentido, deben establecerse controles sólidos de ciberseguridad para garantizar que los datos personales estén adecuadamente protegidos.

Finalmente, el responsable del tratamiento tiene que rendir cuentas. Esto significa que es responsabledel cumplimiento de los principios anteriores y debe poder demostrarlo.

Más información:

• Protección de datos básica