{"id":267,"date":"2021-03-06T18:23:05","date_gmt":"2021-03-06T18:23:05","guid":{"rendered":"http:\/\/privacyconsulting.es\/?page_id=267"},"modified":"2021-03-06T18:23:44","modified_gmt":"2021-03-06T18:23:44","slug":"faqs","status":"publish","type":"page","link":"https:\/\/privacyconsulting.es\/?page_id=267","title":{"rendered":"FAQS"},"content":{"rendered":"\n
\"\"<\/figure><\/div>\n\n\n\n

\u00bfCu\u00e1ndo es aplicable el Reglamento General de Protecci\u00f3n de Datos (RGPD)?<\/strong><\/p>\n\n\n\n

El Reglamento General de Protecci\u00f3n de Datos (RGPD) entr\u00f3 en vigor en mayo de 2016. No obstante, se aplica desde el 25 de mayo de 2018, por lo que los responsables y encargados de tratamiento deben adecuar el tratamiento de datos personales que realizan a lo previsto en el mismo. Asimismo, el Reglamento es directamente aplicable, por lo que a, diferencia de la anterior Directiva, no necesita ser transpuesto al ordenamiento jur\u00eddico espa\u00f1ol.<\/p>\n\n\n\n

Adem\u00e1s del RGPD, se encuentra en vigor la Ley Org\u00e1nica 3\/2018, de 5 de diciembre, de Protecci\u00f3n de Datos Personales y garant\u00eda de los derechos digitales (LOPDGDD).<\/p>\n\n\n\n

\u00bfCu\u00e1l es el \u00e1mbito de aplicaci\u00f3n del RGPD?<\/strong><\/p>\n\n\n\n

El RGPD, adem\u00e1s de aplicarse como hasta ahora a responsables o encargados de tratamientos de datos establecidos en la Uni\u00f3n Europea, contempla su aplicaci\u00f3n a aquellos responsables y encargados, que si bien no se encuentran establecidos en la Uni\u00f3n, realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Uni\u00f3n o como consecuencia de una monitorizaci\u00f3n y seguimiento de su comportamiento.<\/p>\n\n\n\n

Para que esa ampliaci\u00f3n del \u00e1mbito de aplicaci\u00f3n pueda hacerse efectiva, esas organizaciones deber\u00e1n nombrar un representante en la Uni\u00f3n Europea, que actuar\u00e1 como punto de contacto de las Autoridades de supervisi\u00f3n y de los ciudadanos y que, en caso necesario, podr\u00e1 ser destinatario de las acciones de supervisi\u00f3n que desarrollen esas autoridades. Los datos de contacto de ese representante en la Uni\u00f3n deber\u00e1n proporcionarse a los interesados entre la informaci\u00f3n relativa a los tratamientos de sus datos personales.<\/p>\n\n\n\n

\u00bfY respecto a los datos relativos a los empresarios individuales y profesionales liberales?<\/strong><\/p>\n\n\n\n

Al igual que en el supuesto anterior, el inter\u00e9s leg\u00edtimo del art\u00edculo 6.1 f) del RGPD ampara el tratamiento de estos datos, siempre y cuando se refieran a los empresarios individuales en dicha condici\u00f3n y no se traten para entablar una relaci\u00f3n con los mismos como personas f\u00edsicas.<\/p>\n\n\n\n

Con la aplicaci\u00f3n del RGPD \u00bfSigue siendo obligatoria la inscripci\u00f3n de ficheros?<\/strong><\/p>\n\n\n\n

A partir del 25 de mayo de 2018, desaparece la obligaci\u00f3n de inscribir ficheros, tanto de responsables p\u00fablicos o privados, en el Registro de Ficheros de la AEPD, u registro de la autoridad auton\u00f3mica competente. Es decir, con el RGPD desaparece la obligaci\u00f3n de inscribir ficheros en esta AEPD.<\/p>\n\n\n\n

\u00bfQu\u00e9 novedades introduce el RGPD?<\/strong><\/p>\n\n\n\n

El RGPD establece un cat\u00e1logo de las medidas que los responsables, y en ocasiones los encargados, deben aplicar para garantizar que los tratamientos son conformes al citado RGPD, as\u00ed como que est\u00e1n en condiciones de demostrarlo.<\/p>\n\n\n\n

Estas medidas de responsabilidad proactiva son las siguientes:<\/p>\n\n\n\n

\u2013 An\u00e1lisis de riesgo.<\/p>\n\n\n\n

\u2013 Registro de actividades del tratamiento.<\/p>\n\n\n\n

\u2013 Protecci\u00f3n de datos desde el dise\u00f1o y por defecto.<\/p>\n\n\n\n

\u2013 Adopci\u00f3n de medidas de seguridad.<\/p>\n\n\n\n

\u2013 Notificaciones de \u201cviolaciones de seguridad de los datos\u201d<\/p>\n\n\n\n

\u2013 Evaluaciones de impacto sobre la protecci\u00f3n de datos.<\/p>\n\n\n\n

\u2013 Nombramiento del Delegado de Protecci\u00f3n de Datos.<\/p>\n\n\n\n

Adem\u00e1s, el RGPD contempla dos medidas m\u00e1s con la finalidad de contribuir a la correcta aplicaci\u00f3n de la norma:<\/p>\n\n\n\n

\u2013 La adhesi\u00f3n por parte de responsables y encargados de tratamiento a c\u00f3digos de conducta.<\/p>\n\n\n\n

-La creaci\u00f3n de mecanismos de certificaci\u00f3n y de sellos y marcas de protecci\u00f3n de datos.<\/p>\n\n\n\n

\u00bfCu\u00e1les son los principios relativos al tratamiento de datos?<\/strong><\/p>\n\n\n\n

Estos principios se encuentran recogidos en el art\u00edculo 5 del RGPD y supone que los datos personales ser\u00e1n:<\/p>\n\n\n\n

a) tratados de manera l\u00edcita, leal y transparente en relaci\u00f3n con el interesado (\u00ablicitud, lealtad y transparencia\u00bb);<\/p>\n\n\n\n

b) recogidos con fines determinados, expl\u00edcitos y leg\u00edtimos, y no ser\u00e1n tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el art\u00edculo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en inter\u00e9s p\u00fablico, fines de investigaci\u00f3n cient\u00edfica e hist\u00f3rica o fines estad\u00edsticos no se considerar\u00e1 incompatible con los fines iniciales (\u00ablimitaci\u00f3n de la finalidad\u00bb);<\/p>\n\n\n\n

c) adecuados, pertinentes y limitados a lo necesario en relaci\u00f3n con los fines para los que son tratados (\u00abminimizaci\u00f3n de datos\u00bb);<\/p>\n\n\n\n

d) exactos y, si fuera necesario, actualizados; se adoptar\u00e1n todas las medidas razonables para que se supriman o rectifiquen sin dilaci\u00f3n los datos personales que sean inexactos con respecto a los fines para los que se tratan (\u00abexactitud\u00bb);<\/p>\n\n\n\n

e) mantenidos de forma que se permita la identificaci\u00f3n de los interesados durante no m\u00e1s tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podr\u00e1n conservarse durante per\u00edodos m\u00e1s largos siempre que se traten exclusivamente con fines de archivo en inter\u00e9s p\u00fablico, fines de investigaci\u00f3n cient\u00edfica o hist\u00f3rica o fines estad\u00edsticos, de conformidad con el art\u00edculo 89, apartado 1, sin perjuicio de la aplicaci\u00f3n de las medidas t\u00e9cnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado (\u00ablimitaci\u00f3n del plazo de conservaci\u00f3n\u00bb);<\/p>\n\n\n\n

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protecci\u00f3n contra el tratamiento no autorizado o il\u00edcito y contra su p\u00e9rdida, destrucci\u00f3n o da\u00f1o accidental, mediante la aplicaci\u00f3n de medidas t\u00e9cnicas u organizativas apropiadas (\u00abintegridad y confidencialidad\u00bb). Adem\u00e1s, el responsable del tratamiento ser\u00e1 responsable del cumplimiento de estos principios y deber\u00e1 ser capaz de demostrarlo (\u00abresponsabilidad proactiva\u00bb).<\/p>\n\n\n\n

\u00bfEn qu\u00e9 consiste el principio de transparencia e informaci\u00f3n a los afectados?<\/strong><\/p>\n\n\n\n

En virtud de este principio, la informaci\u00f3n a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deber\u00e1 proporcionarse de forma concisa, transparente, inteligible y de f\u00e1cil acceso, con un lenguaje claro y sencillo.<\/p>\n\n\n\n

Se deber\u00e1n evitar las f\u00f3rmulas especialmente farragosas y que incorporan remisiones a los textos legales.<\/p>\n\n\n\n

Las cl\u00e1usulas informativas deber\u00e1n explicar el contenido al que inmediatamente se refieren de forma clara y accesible para los interesados, con independencia de sus conocimientos en la materia.<\/p>\n\n\n\n

Seg\u00fan el RGPD \u00bfC\u00f3mo debe solicitarse el consentimiento de los interesados para tratar sus datos personales?<\/strong><\/p>\n\n\n\n

El RGPD requiere que el consentimiento sea \u201cinequ\u00edvoco\u201d, lo que supone que se preste mediante una manifestaci\u00f3n del interesado o mediante una clara acci\u00f3n afirmativa. Esto excluye la utilizaci\u00f3n del llamado consentimiento t\u00e1cito, que permit\u00eda la normativa espa\u00f1ola de protecci\u00f3n de datos. As\u00ed, no se consideran formas v\u00e1lidas de obtener el consentimiento el uso de casillas ya marcadas o la inacci\u00f3n. En cambio, s\u00ed son acordes al RGPD, la utilizaci\u00f3n de una declaraci\u00f3n por escrito, o la marcaci\u00f3n de casillas en un sitio web de internet. El consentimiento en el marco del RGPD se caracteriza por lo siguiente:<\/p>\n\n\n\n

\u2013 Puede ser para uno o varios fines.<\/p>\n\n\n\n

\u2013 Debe ser prestado de forma libre.<\/p>\n\n\n\n

\u2013 Revocable.<\/p>\n\n\n\n

\u2013 El responsable debe poder probar en todo momento que ha obtenido el consentimiento.<\/p>\n\n\n\n

\u2013 Utilizar un lenguaje claro y sencillo.<\/p>\n\n\n\n

Por otra parte, tambi\u00e9n debe ser tenido en cuenta lo siguiente:<\/p>\n\n\n\n

\u2013 Si se usa para obtenerlo una declaraci\u00f3n escrita, debe quedar claramente diferenciada la parte referente a protecci\u00f3n<\/p>\n\n\n\n

de datos del resto de declaraciones.<\/p>\n\n\n\n

\u2013 Si se recaba el consentimiento para varias finalidades:<\/p>\n\n\n\n

* Ser\u00eda posible agruparlas en virtud de su vinculaci\u00f3n (por ejemplo, consentimiento para la recepci\u00f3n de publicidad propia o de terceros).<\/p>\n\n\n\n

* Pero deber\u00edan desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo tratamiento por quien recaba los datos y cesi\u00f3n a terceros).<\/p>\n\n\n\n

Asimismo, existen supuestos en que adem\u00e1s de inequ\u00edvoco, el consentimiento ha de ser expl\u00edcito:<\/p>\n\n\n\n

\u2013 Tratamiento de datos sensibles<\/p>\n\n\n\n

\u2013 Adopci\u00f3n de decisiones automatizadas<\/p>\n\n\n\n

\u2013 Transferencias internacionales<\/p>\n\n\n\n

\u00bfQu\u00e9 ocurre con los consentimientos t\u00e1citos obtenidos con anterioridad a la entrada en vigor del RGPD?<\/strong><\/p>\n\n\n\n

Como ya se ha indicado en la anterior pregunta-respuesta, con el RGPD desaparecen los consentimientos t\u00e1citos, lo que supone que este tipo de consentimientos no son acordes con la nueva norma. De esta forma, desde la aplicaci\u00f3n del RGPD (25 de mayo de 2018), estos consentimientos deber\u00e1n adaptarse a los requisitos establecidos por el mismo, de manera que debe encontrarse otra forma de legitimaci\u00f3n para estos tratamientos:<\/p>\n\n\n\n

\u2013 Mediante una nueva solicitud de consentimiento acorde con el RGPD.<\/p>\n\n\n\n

\u2013 Mediante la aplicaci\u00f3n de alg\u00fan otro supuesto de legitimaci\u00f3n, como podr\u00eda ser la regla del inter\u00e9s leg\u00edtimo que tendr\u00eda que ponderarse.<\/p>\n\n\n\n

* Para determinar si es posible aplicar esta regla del inter\u00e9s leg\u00edtimo, habr\u00e1 de atenderse a las circunstancias de cada<\/p>\n\n\n\n

tratamiento concreto y, en particular, el origen de los datos, el alcance de la informaci\u00f3n tratada o la finalidad perseguida, no siendo posible fijar una respuesta \u00fanica.<\/p>\n\n\n\n

En todo caso, si se opta por una base legal distinta del consentimiento ser\u00e1 preciso informar a los interesados, entendiendo que, adem\u00e1s, les corresponden todos los derechos y garant\u00edas propios de la base jur\u00eddica elegida, como podr\u00eda ser el derecho de oposici\u00f3n.<\/p>\n\n\n\n

Con el RGPD \u00bfSigue vigente la LOPD y su Reglamento de desarrollo?<\/strong><\/p>\n\n\n\n

En la actualidad se encuentra en vigor la Ley Org\u00e1nica 3\/2018, de 5 de diciembre, de Protecci\u00f3n de Datos Personales y garant\u00eda de los derechos digitales (LOPDGDD), por la que se deroga la Ley Org\u00e1nica 15\/1999, de 13 de diciembre, de Protecci\u00f3n de Datos de Car\u00e1cter Personal, as\u00ed como cualquier otra disposici\u00f3n de igual o inferior rango que contradiga, se oponga o resulte incompatible con lo dispuesto en el RGPD y en la LOPDGDD.<\/p>\n\n\n\n

No obstante, las normas dictadas en aplicaci\u00f3n del art\u00edculo 13 de la Directiva 95\/46\/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protecci\u00f3n de las personas f\u00edsicas en lo que respecta al tratamiento de datos personales y a la libre circulaci\u00f3n de estos datos, que hubiesen entrado en vigor con anterioridad a 25 de mayo de 2018, y en particular los art\u00edculos 23 y 24 de la Ley Org\u00e1nica 15\/1999, de 13 de diciembre, de Protecci\u00f3n de Datos de Car\u00e1cter Personal, siguen vigentes en tanto no sean expresamente modificadas, sustituidas o derogadas.<\/p>\n\n\n\n

Asimismo, los tratamientos sometidos a la Directiva (UE) 2016\/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protecci\u00f3n de las personas f\u00edsicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevenci\u00f3n, investigaci\u00f3n, detecci\u00f3n o enjuiciamiento de infracciones penales o de ejecuci\u00f3n de sanciones penales, y a la libre circulaci\u00f3n de dichos datos y por la que se deroga la Decisi\u00f3n Marco 2008\/977\/JAI del Consejo, continuar\u00e1n rigi\u00e9ndose por la Ley Org\u00e1nica 15\/1999, de 13 de diciembre, y en particular el<\/p>\n\n\n\n

art\u00edculo 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho espa\u00f1ol lo dispuesto en la citada directiva.<\/p>\n\n\n\n

\u00bfCu\u00e1les son las bases de legitimaci\u00f3n para el tratamiento de datos?<\/strong><\/p>\n\n\n\n

El RGPD mantiene el principio de que todo tratamiento de datos necesita apoyarse en una base que lo legitime. Hay que destacar que en ese sentido el RGPD no implica cambios para los responsables del tratamiento de datos; pues tambi\u00e9n recoge las mismas bases jur\u00eddicas que conten\u00eda la Directiva y que reproduce la LOPD:<\/p>\n\n\n\n

a) Consentimiento.<\/p>\n\n\n\n

b) Relaci\u00f3n contractual.<\/p>\n\n\n\n

c) Intereses vitales del interesado o de otras personas.<\/p>\n\n\n\n

d) Cumplimiento de una obligaci\u00f3n legal para el responsable.<\/p>\n\n\n\n

e) Inter\u00e9s p\u00fablico o ejercicio de poderes p\u00fablicos.<\/p>\n\n\n\n

f) Intereses leg\u00edtimos prevalentes del responsable o de terceros a los que se comunican los datos.<\/p>\n\n\n\n

Por otra parte, aunque no se est\u00e1 expuesto de forma expl\u00edcita, se deben documentar e identificar claramente la legitimaci\u00f3n sobre la que se fundamentan los tratamientos, ya que se deduce de algunos art\u00edculos del RGPD y del principio general de \u201cresponsabilidad activa\u201d.<\/p>\n\n\n\n

Por ejemplo: hay que incluir la base legal sobre la que se desarrolla el tratamiento al proporcionar la informaci\u00f3n en el momento de recoger los datos de los interesados, as\u00ed como especificar y documentar los intereses leg\u00edtimos en que se fundamentan las operaciones de tratamiento en casos como las Evaluaciones de Impacto sobre la Protecci\u00f3n de Datos oen determinadas transferencias internacionales.<\/p>\n\n\n\n

Asimismo, la identificaci\u00f3n de la base legal es indispensable para estar en condiciones de demostrar que se cumple con las previsiones del RGPD. Esta identificaci\u00f3n y la correspondiente documentaci\u00f3n deben adaptarse al tipo de tratamiento y a las caracter\u00edsticas de las organizaciones.<\/p>\n\n\n\n

\u00bfCu\u00e1les son las bases de legitimaci\u00f3n para el tratamiento de las categor\u00edas especiales de datos?<\/strong><\/p>\n\n\n\n

Las categor\u00edas especiales de datos son aquellas que incluyen datos que revelen el origen \u00e9tnico o racial, las opiniones pol\u00edticas, convicciones religiosas o filos\u00f3ficas, afiliaci\u00f3n sindical, datos gen\u00e9ticos, datos biom\u00e9tricos dirigidos a identificar de manera un\u00edvoca a una persona f\u00edsica, datos relativos a la salud o a la vida sexual o las orientaciones sexuales de una persona f\u00edsica.<\/p>\n\n\n\n

La regla general contemplada en el Reglamento es la prohibici\u00f3n del tratamiento de categor\u00edas especiales de datos<\/p>\n\n\n\n

(art. 9). No obstante, se recoge un amplio abanico de excepciones a esta regla general como son las siguientes:<\/p>\n\n\n\n

a) el interesado dio su consentimiento expl\u00edcito para el tratamiento de dichos datos personales con uno o m\u00e1s de los fines especificados, excepto cuando el Derecho de la Uni\u00f3n o de los Estados miembros establezca que la prohibici\u00f3n mencionada en el apartado 1 no puede ser levantada por el interesado;<\/p>\n\n\n\n

b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos espec\u00edficos del responsable del tratamiento o del interesado en el \u00e1mbito del Derecho laboral y de la seguridad y protecci\u00f3n social, en la medida enque as\u00ed lo autorice el Derecho de la Uni\u00f3n de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garant\u00edas adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;<\/p>\n\n\n\n

c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona f\u00edsica, en el supuesto de que el interesado no est\u00e9 capacitado, f\u00edsica o jur\u00eddicamente, para dar su consentimiento;<\/p>\n\n\n\n

d) el tratamiento es efectuado, en el \u00e1mbito de sus actividades leg\u00edtimas y con las debidas garant\u00edas, por una fundaci\u00f3n, una asociaci\u00f3n o cualquier otro organismo sin \u00e1nimo de lucro, cuya finalidad sea pol\u00edtica, filos\u00f3fica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relaci\u00f3n con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;<\/p>\n\n\n\n

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente p\u00fablicos;<\/p>\n\n\n\n

f) el tratamiento es necesario para la formulaci\u00f3n, el ejercicio o la defensa de reclamaciones o cuando los tribunales act\u00faen en ejercicio de su funci\u00f3n judicial;<\/p>\n\n\n\n

g) el tratamiento es necesario por razones de un inter\u00e9s p\u00fablico esencial, sobre la base del Derecho de la Uni\u00f3n o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protecci\u00f3n de datos y establecer medidas adecuadas y espec\u00edficas para proteger los intereses y derechos fundamentales del interesado\u201d.<\/p>\n\n\n\n

Como motivos de inter\u00e9s p\u00fablico amparado en habilitaciones legales que except\u00faan la prohibici\u00f3n, el propio RGPD recoge expresamente los siguientes supuestos:<\/p>\n\n\n\n

-El tratamiento es necesario para fines de medicina preventiva o laboral, evaluaci\u00f3n de la capacidad laboral del trabajador, diagn\u00f3stico m\u00e9dico, prestaci\u00f3n de asistencia o tratamiento de tipo sanitario o social, o gesti\u00f3n de los sistemas y servicios de asistencia sanitaria y social. Sobre los tratamientos realizados con las finalidades citadas se prev\u00e9 que el tratamiento se realice por un profesional sujeto a deber de secreto o bajo su responsabilidad, as\u00ed como por cualquier otra persona<\/p>\n\n\n\n

sujeta a la obligaci\u00f3n de secreto: -El tratamiento es necesario por razones de inter\u00e9s p\u00fablico en el \u00e1mbito de la salud p\u00fablica, como la protecci\u00f3n frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios.<\/p>\n\n\n\n

\u2013 El tratamiento es necesario con fines de archivo en inter\u00e9s p\u00fablico, fines de investigaci\u00f3n cient\u00edfica o hist\u00f3rica o fines estad\u00edsticos. Finalmente, se admite que los Estados miembro puedan mantener o introducir condiciones adicionales, incluidas limitaciones, sobre los tratamientos de datos gen\u00e9ticos, biom\u00e9tricos o de salud.<\/p>\n\n\n\n

\u00bfSe debe cumplir con el contenido del derecho de informaci\u00f3n del RGPD para los tratamientos realizados antes de su aplicaci\u00f3n?<\/strong><\/p>\n\n\n\n

Respecto a los afectados a quienes se les haya recabado sus datos de car\u00e1cter personal con anterioridad a la aplicaci\u00f3n del RGPD (25 de mayo de 2018), el responsable no tiene que enviar una comunicaci\u00f3n al respecto con el contenido del derecho de informaci\u00f3n del RGPD. Es decir, este derecho de informaci\u00f3n del RGPD no se aplica de forma retroactiva.<\/p>\n\n\n\n

\u00bfQu\u00e9 informaci\u00f3n debe facilitarse cu\u00e1ndo los datos se obtengan directamente del afectado?<\/strong><\/p>\n\n\n\n

Puesto que como hemos indicado anteriormente, el contenido del derecho de informaci\u00f3n se ha ampliado considerablemente, la AEPD recomienda adoptar un modelo de informaci\u00f3n por capas o niveles de manera que: Se presente una informaci\u00f3n b\u00e1sica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos.<\/p>\n\n\n\n

Y por otra parte, remitir el resto de las informaciones, en un medio m\u00e1s adecuado para su presentaci\u00f3n, compresi\u00f3n y, si se desea, archivo. La informaci\u00f3n a facilitar por capas o niveles ser\u00eda la siguiente:<\/p>\n\n\n\n

1.- Informaci\u00f3n b\u00e1sica (1\u00aa capa, resumida):<\/p>\n\n\n\n

 \u2013 Identidad del responsable del tratamiento;<\/p>\n\n\n\n

\u2013 Descripci\u00f3n sencilla de los fines del tratamiento, incluyendo la elaboraci\u00f3n de perfiles si existiese;<\/p>\n\n\n\n

\u2013 Base jur\u00eddica del tratamiento;<\/p>\n\n\n\n

\u2013 Previsi\u00f3n o no de cesiones.<\/p>\n\n\n\n

\u2013 Previsi\u00f3n de transferencias o no, a terceros pa\u00edses.<\/p>\n\n\n\n

\u2013 Referencia al ejercicio de derechos.<\/p>\n\n\n\n

 2.- Informaci\u00f3n adicional (2\u00aa capa, detallada):<\/p>\n\n\n\n

\u2013 Datos de contacto del responsable. Identidad y datos del representante (si existiese).<\/p>\n\n\n\n

\u2013 Datos de contacto del delegado de protecci\u00f3n de datos (si existiese).<\/p>\n\n\n\n

\u2013 Descripci\u00f3n ampliada de los fines del tratamiento.<\/p>\n\n\n\n

\u2013 Plazos o criterios de conservaci\u00f3n de los datos.<\/p>\n\n\n\n

\u2013 Decisiones automatizadas, perfiles y l\u00f3gica aplicada.<\/p>\n\n\n\n

\u2013 Detalle de la base jur\u00eddica del tratamiento, en los casos de obligaci\u00f3n legal, inter\u00e9s p\u00fablico o inter\u00e9s leg\u00edtimo.<\/p>\n\n\n\n

\u2013 Obligaci\u00f3n o no de facilitar datos y consecuencias de no hacerlo.<\/p>\n\n\n\n

\u2013 Destinatarios o categor\u00edas de destinatarios.<\/p>\n\n\n\n

\u2013 Decisiones de adecuaci\u00f3n, garant\u00edas, normas corporativas vinculantes o situaciones espec\u00edficas aplicables.<\/p>\n\n\n\n

\u2013 C\u00f3mo ejercer los derechos de acceso, rectificaci\u00f3n, supresi\u00f3n y portabilidad de los datos, y la limitaci\u00f3n u oposici\u00f3n a su tratamiento.<\/p>\n\n\n\n

\u2013 Derecho a retirar el consentimiento prestado.<\/p>\n\n\n\n

\u2013 Derecho a reclamar ante la Autoridad de Control.<\/p>\n\n\n\n

Esta informaci\u00f3n no se facilitar\u00e1 en los supuestos de que el afectado ya disponga de la misma.<\/p>\n\n\n\n

\u00bfQu\u00e9 informaci\u00f3n debe facilitarse cu\u00e1ndo los datos no se hayan obtenido directamente del afectado?<\/strong><\/p>\n\n\n\n

La misma a la que nos hemos referido en la anterior pregunta-respuesta a\u00f1adiendo lo siguiente:<\/p>\n\n\n\n

\u2013 En la informaci\u00f3n b\u00e1sica (1\u00aa capa, resumida), la fuente (procedencia) de los datos.<\/p>\n\n\n\n

\u2013 En la informaci\u00f3n adicional (2\u00aa capa, detallada), la informaci\u00f3n detallada del origen de los datos, incluso si proceden de fuentes de acceso p\u00fablico, as\u00ed como la categor\u00eda de datos que se traten.<\/p>\n\n\n\n

Esta informaci\u00f3n se facilitar\u00e1 dentro de un plazo razonable, y m\u00e1s tardar en un mes, salvo que:<\/p>\n\n\n\n

 -Si los datos personales han de utilizarse para una comunicaci\u00f3n con el afectado, a m\u00e1s tardar en el momento de la primera comunicaci\u00f3n a dicho afectado.<\/p>\n\n\n\n

-Si est\u00e1 previsto comunicarlos a otro interesado, a m\u00e1s tardar en el momento en que los datos personales sean comunicados por primera vez.<\/p>\n\n\n\n

No obstante lo anterior, no ser\u00e1 necesario comunicar el contenido del derecho de informaci\u00f3n cuando:<\/p>\n\n\n\n

 -El afectado ya disponga de la informaci\u00f3n.<\/p>\n\n\n\n

-La comunicaci\u00f3n de dicha informaci\u00f3n resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo de inter\u00e9s p\u00fablico, fines de investigaci\u00f3n cient\u00edfica o hist\u00f3rica o fines estad\u00edsticos, sin perjuicio de que el responsable adopte medidas adecuadas para proteger los derechos, libertades e intereses leg\u00edtimos del afectado.<\/p>\n\n\n\n

-La comunicaci\u00f3n de los datos est\u00e9 expresamente establecida por el Derecho de la Uni\u00f3n o de los Estados miembros que se aplique al responsable del tratamiento y se establezcan medidas adecuadas para proteger los intereses leg\u00edtimos del afectado.<\/p>\n\n\n\n

-Los datos personales deban seguir teniendo car\u00e1cter confidencial sobre la base de una obligaci\u00f3n de secreto profesional regulada por el Derecho de la Uni\u00f3n o de los Estados miembros, incluida la obligaci\u00f3n de secreto de naturaleza estatutaria.<\/p>\n\n\n\n

\u00bfQu\u00e9 actuaciones hay que realizar para adecuarse al RPGD?<\/strong><\/p>\n\n\n\n

La AEPD ha publicado dos documentos, uno dirigido al sector privado y otro a las Administraciones p\u00fablicas, reflejando las actuaciones u \u201choja de ruta\u201d que se debe llevar a cabo para que los tratamientos sean conformes al RGPD. Estas actuaciones ser\u00edan las siguientes:<\/p>\n\n\n\n

\u2013 Designar al delegado de protecci\u00f3n de datos si es obligatorio o si se asume voluntariamente.<\/p>\n\n\n\n

\u2013 Elaborar el registro de actividades de tratamiento.<\/p>\n\n\n\n

\u2013 Analizar las bases jur\u00eddicas de los tratamientos.<\/p>\n\n\n\n

\u2013 Efectuar un an\u00e1lisis de riesgos.\u00bf<\/p>\n\n\n\n

En el sector privado, debe realizarse por aquella entidad que no pueda utilizar el programa Facilita_RGPD.<\/p>\n\n\n\n

\u2013 Revisar las medidas de seguridad en funci\u00f3n del an\u00e1lisis de riesgos realizado.<\/p>\n\n\n\n

\u2013 Establecer mecanismos y procedimientos de gesti\u00f3n de quiebras de seguridad.<\/p>\n\n\n\n

\u2013 Llevar a cabo, cuando sea necesario, una evaluaci\u00f3n de impacto de la protecci\u00f3n de datos.<\/p>\n\n\n\n

\u2013 Adecuar los formularios de recogida de datos personales al contenido del derecho a la informaci\u00f3n del RGPD.<\/p>\n\n\n\n

\u2013 Adaptar los procedimientos para atender a los derechos de los afectados en relaci\u00f3n al tratamiento de sus datos personales.<\/p>\n\n\n\n

\u2013 Valorar si los encargados de tratamiento ofrecen garant\u00edas de cumplimiento del RGPD.<\/p>\n\n\n\n

\u2013 Adoptar los contratos con encargados de tratamiento al contenido que dispone el RGPD.<\/p>\n\n\n\n

\u2013 Confeccionar e implantar pol\u00edticas de protecci\u00f3n de datos.<\/p>\n\n\n\n

\u00bfQu\u00e9 es el Registro de actividades de tratamiento?<\/strong><\/p>\n\n\n\n

Los responsables y encargados del tratamiento de datos personales deber\u00e1n mantener un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro deber\u00e1 contener la informaci\u00f3n que recoge al respecto el art\u00edculo 30 del RGPD y que es la siguiente: Respecto a los responsables:<\/p>\n\n\n\n

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protecci\u00f3n de datos;<\/p>\n\n\n\n

b) los fines del tratamiento;<\/p>\n\n\n\n

c) una descripci\u00f3n de las categor\u00edas de interesados y de las categor\u00edas de datos personales;<\/p>\n\n\n\n

d) las categor\u00edas de destinatarios a quienes se comunicaron o comunicar\u00e1n los datos personales, incluidos los destinatarios en terceros pa\u00edses u organizaciones internacionales;<\/p>\n\n\n\n

e) en su caso, las transferencias de datos personales a un tercer pa\u00eds o una organizaci\u00f3n internacional, incluida la identificaci\u00f3n de dicho tercer pa\u00eds u organizaci\u00f3n internacional y, en el caso de las transferencias indicadas en el art\u00edculo 49, apartado 1, p\u00e1rrafo segundo, la documentaci\u00f3n de garant\u00edas adecuadas;<\/p>\n\n\n\n

f) cuando sea posible, los plazos previstos para la supresi\u00f3n de las diferentes categor\u00edas de datos;<\/p>\n\n\n\n

g) cuando sea posible, una descripci\u00f3n general de las medidas t\u00e9cnicas y organizativas de seguridad a que se refiere el art\u00edculo 32, apartado 1.<\/p>\n\n\n\n

Respecto a los encargados:<\/p>\n\n\n\n

a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual act\u00fae el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protecci\u00f3n de datos;<\/p>\n\n\n\n

b) las categor\u00edas de tratamientos efectuados por cuenta de cada responsable;<\/p>\n\n\n\n

c) en su caso, las transferencias de datos personales a un tercer pa\u00eds u organizaci\u00f3n internacional, incluida la identificaci\u00f3n de dicho tercer pa\u00eds u organizaci\u00f3n internacional y, en el caso de las transferencias indicadas en el art\u00edculo 49, apartado 1, p\u00e1rrafo segundo, la documentaci\u00f3n de garant\u00edas adecuadas;<\/p>\n\n\n\n

d) cuando sea posible, una descripci\u00f3n general de las medidas t\u00e9cnicas y organizativas de seguridad a que se refiere el art\u00edculo 30, apartado 1.<\/p>\n\n\n\n

Por otra parte, est\u00e1n exentas de configurar este registro de actividades las organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entra\u00f1ar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categor\u00edas especiales de datos o datos relativos a condenas e infracciones penales.<\/p>\n\n\n\n

No obstante, hay que indicar que estas excepciones se aplican en casos muy limitados, puesto que en la pr\u00e1ctica todos los tratamientos pueden suponer un riesgo para los derechos y libertades de los interesados, aunque sea ocasional, lo que viene a implicar que en la pr\u00e1ctica, que la mayor\u00eda de los responsables o encargados del tratamiento que empleen a menos de 250 trabajadoras estar\u00e1n obligadas a llevar un registro de actividades de tratamiento.<\/p>\n\n\n\n

Por \u00faltimo, para organizar este registro de actividades de tratamiento se puede:<\/p>\n\n\n\n

-Partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protecci\u00f3n de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.<\/p>\n\n\n\n

-Configurarlo en torno a operaciones de tratamiento concretas vinculadas a una finalidad b\u00e1sica com\u00fan de todas ellas (por ejemplo, \u201cgesti\u00f3n de clientes\u201d, \u201cgesti\u00f3n contable\u201d o \u201cgesti\u00f3n de recursos humanos y n\u00f3minas\u201d) o con arreglo a otros criterios distintos.<\/p>\n","protected":false},"excerpt":{"rendered":"

\u00bfCu\u00e1ndo es aplicable el Reglamento General de Protecci\u00f3n de Datos (RGPD)? El Reglamento General de Protecci\u00f3n de Datos (RGPD) entr\u00f3 en vigor en mayo de 2016. No obstante, se aplica desde el 25 de mayo de 2018, por lo que los responsables y encargados de tratamiento deben adecuar el tratamiento de datos personales que realizan […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-267","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/privacyconsulting.es\/index.php?rest_route=\/wp\/v2\/pages\/267","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/privacyconsulting.es\/index.php?rest_route=\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/privacyconsulting.es\/index.php?rest_route=\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/privacyconsulting.es\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/privacyconsulting.es\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=267"}],"version-history":[{"count":1,"href":"https:\/\/privacyconsulting.es\/index.php?rest_route=\/wp\/v2\/pages\/267\/revisions"}],"predecessor-version":[{"id":268,"href":"https:\/\/privacyconsulting.es\/index.php?rest_route=\/wp\/v2\/pages\/267\/revisions\/268"}],"wp:attachment":[{"href":"https:\/\/privacyconsulting.es\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=267"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}