Preguntas frecuentes
¿Debo nombrar un Delegado de Protección de Datos (DPD)?
El nombramiento de un DPD es obligatorio en los tres casos siguientes:
- la organización es una autoridad pública;
- las actividades principales de la organización consisten en un seguimiento regular y sistemático de las personas a gran escala, por ejemplo, la geolocalización a través de una aplicación móvil, o la vigilancia de centros comerciales y espacios públicos a través de CCTV;
- las actividades principales de la organización consisten en el tratamiento a gran escala de datos sensibles o datos personales relacionados con condenas y delitos penales.
Siempre puede designar un DPD de forma voluntaria, incluso si esto no es legalmente requerido. Tenga en cuenta que, en ese caso, debe cumplir con todas las disposiciones del RGPD relativas a las tareas y el cargo del delegado de protección de datos.
Más información:
¿El RGPD también se aplica a los registros en papel?
Sí, el RGPD se aplica si los datos personales están contenidos o están destinados a ser contenidos en un sistema de archivo. Esto significa que el RGPD también se aplica a los registros en papel y no solo al tratamiento automatizado de datos personales.
Más información:
¿Es el Delegado de Protección de Datos (DPD) responsable del cumplimiento del RGPD?
El DPD no puede ser considerado responsable por el incumplimiento del RGPD. El cumplimiento del RGPD es responsabilidad de la organización que designó al DPD.
Más información:
¿Es necesario tener certificación para convertirme en un Delegado de Protección de Datos (DPD)?
No, usted no necesita tener una certificación para convertirse en un DPD.
Sin embargo, los DPD deben poder demostrar que tienen las cualificaciones necesarias requeridas por el RGPD, como el conocimiento experto de la legislación y las prácticas en materia de protección de datos.
Más información:
Estoy organizando un evento como parte de mis actividades empresariales, ¿puedo hacer fotos y videos del evento y de las personas que asisten?
Sí, pero para ello, primero deberá determinar la base legal para el tratamiento de este tipo de datos personales. Por ejemplo, el tratamiento podría considerarse un interés legítimo para su organización. Cuando se procesan datos personales sobre la base de un interés legítimo, siempre es necesario sopesar para determinar si tus intereses legítimos superan los derechos de las personas, especialmente si se trata de niños.
Otro posible fundamento jurídico para dicho tratamiento podría ser el consentimiento. En cualquier caso, las personas siempre deben ser informadas con antelación de que el evento está siendo fotografiado o filmado.
Más información:
¿Los encargados del tratamiento también tienen que respetar el RGPD?
Sí, los encargados del tratamiento (es decir, las personas u organismos que procesan datos en nombre de un responsable del tratamiento), tienen obligaciones en virtud del RGPD. Sin embargo, existen algunas diferencias entre las responsabilidades de los responsables del tratamiento y los encargados del tratamiento.
Los encargados del tratamiento deben cumplir con las responsabilidades establecidas en el contrato responsable-encargado del tratamiento, que detalla las operaciones de tratamiento y los medios para tratar los datos personales. Por ejemplo, el encargado del tratamiento tendrá que llevar a cabo las operaciones de tratamiento con las medidas técnicas y organizativas adecuadas según las instrucciones del responsable del tratamiento. Al hacerlo, el encargado ayuda al responsable a cumplir con el RGPD.
Más información:
¿Mi organización tiene que cumplir con el RGPD?
Cada organización, independientemente de su tamaño o sector, establecida en el Espacio Económico Europeo (EEE) o que ofrezca productos o servicios a personas en el EEE, trata datos personales, ya sea por medios automatizados o no, para cumplir con el RGPD. Incluso si el RGPD se refiere principalmente al tratamiento automatizado de datos personales, las operaciones de tratamiento realizadas manualmente también estarán sujetas al RGPD desde el momento en que los archivos en papel se organizan de manera sistemática, por ejemplo, ordenados alfabéticamente en un archivador.
Ejemplos de operaciones de tratamiento incluyen la recopilación, grabación, organización, uso, modificación, almacenamiento, divulgación, alteración y borrado de los datos personales de las personas.
No obstante, la aplicación del RGPD se modula en función de la naturaleza, el contexto, los fines y los riesgos de las operaciones de tratamiento realizadas. Para las pymes cuya actividad principal no es el tratamiento de datos personales, las obligaciones pueden ser menos estrictas que para una gran empresa.
Más información:
¿Puedo transferir datos personales fuera del Espacio Económico Europeo (EEE)?
Según el RGPD, existen, en principio, dos formas principales de transferir datos personales a un país no perteneciente al EEE o a una organización internacional. Las transferencias pueden efectuarse sobre la base de una decisión de adecuación o, a falta de tal decisión, sobre la base de garantías adecuadas, incluidos derechos exigibles y recursos legales para las personas.
Más información:
¿Qué debe incluirse en un contrato de responsable-encargado del tratamiento?
El contrato entre el responsable y el encargado del tratamiento debe estipular que el encargado del tratamiento de datos:
- trata los datos personales únicamente siguiendo instrucciones del responsable del tratamiento, incluso en lo que respecta a las transferencias de datos personales a un país no perteneciente al EEE;
- garantiza que las personas autorizadas para tratar los datos se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada;
- garantiza la seguridad del tratamiento;
- no contratará a otro encargado del tratamiento sin previa autorización específica o general por escrito del responsable del tratamiento;
- asiste al responsable del tratamiento para el cumplimiento de la obligación del responsable del tratamiento de responder a las solicitudes individuales de ejercicio de derechos;
- ayuda al responsable del tratamiento a proteger el tratamiento, notificar las brechas de datos y llevar a cabo las EIPD;
- a elección del responsable del tratamiento, suprime o devuelve todos los datos personales al responsable del tratamiento una vez finalizada la prestación de los servicios;
- pone a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones derivadas del RGPD;
- permite y contribuye a las auditorías, incluidas las inspecciones realizadas por el responsable del tratamiento u otro auditor encargado por el responsable del tratamiento.
Además, el encargado del tratamiento informará inmediatamente al responsable del tratamiento si, en su opinión, las instrucciones infringen el RGPD u otras disposiciones de protección de datos de la UE o nacionales.
Más información:
¿Qué puedo hacer en caso de que el encargado del tratamiento de datos no quiera firmar un contrato responsable-encargado?
Un contrato válido entre el responsable del tratamiento y el encargado del tratamiento es obligatorio en virtud del RGPD. La infracción puede ser objeto de una multa administrativa de hasta 10 millones de euros o de hasta el 2 % del volumen de negocios anual total de una empresa, lo que sea mayor.
Para orientarte a la hora de establecer un acuerdo sobre el responsable del tratamiento, las autoridades danesas y eslovenas de protección de datos, así como la Comisión Europea, han elaborado acuerdos sobre modelos.
Más información: