Vivir y viajar
Última comprobación : 30/05/2018

Protección de datos y privacidad online

Decisión del Reino Unido de acogerse al artículo 50 del TUE: Más información

A partir del 30 de marzo de 2019 dejará de aplicarse en el Reino Unido la legislación de la UE, a menos que un acuerdo de retirada ratificado fije otra fecha o que el Consejo Europeo y el Reino Unido decidan unánimemente ampliar el período de negociaciones de dos años. Más información sobre las repercusiones jurídicas para las empresas:

El RGPD establece los requisitos específicos para empresas y organizaciones sobre recogida, almacenamiento y gestión de los datos personales. Se aplican tanto a las organizaciones europeas que tratan datos personales de ciudadanos en la UE como a las organizaciones que tienen su sede fuera de la UE y cuya actividad se dirige a personas que viven en la UE.

¿Cuándo se aplica el Reglamento general de protección de datos (RGPD)?

El RGPD se aplica cuando:

Las empresas que no tienen sede dentro de la UE y que tratan datos de ciudadanos de la UE deben nombrar un representante en la UE.

¿Cuándo no se aplica el Reglamento general de protección de datos (RGPD)?

El RGPD no se aplica cuando:

¿Qué son los datos personales?

Los datos personales son cualquier información relacionada con una persona identificada o identificable, también denominada " el interesado". Ejemplos de datos personales:

Categorías especiales de datos

No se pueden tratar datos personales sobre:

¿Quién efectúa el tratamiento de los datos personales?

Durante el tratamiento, los datos personales pueden pasar por diferentes empresas u organizaciones. En ese proceso, hay dos figuras principales que gestionan el tratamiento de datos personales:

¿Quién supervisa cómo se tratan los datos personales dentro de una empresa?

El delegado de protección de datos, que puede ser nombrado por la empresa, es responsable de supervisar cómo se tratan los datos personales y de informar y aconsejar a los empleados que tratan los datos sobre sus obligaciones. El delegado de protección de datos coopera también con la autoridad de protección de datos y sirve de punto de contacto entre estas autoridades y los ciudadanos.

¿Cuándo se debe nombrar a un delegado de protección de datos?

Una empresa tiene la obligación de nombrar a un delegado de protección de datos cuando:

Por ejemplo, si los datos personales se tratan para orientar la publicidad de los motores de búsqueda en función del comportamiento de las personas, la empresa debe contar con un delegado de protección de datos. Si, no obstante, la empresa solo envía material publicitario a sus clientes una vez al año, no es necesario un delegado de protección de datos. Del mismo modo, si un médico recoge datos sobre la salud de sus pacientes, probablemente no se necesite un delegado de protección de datos. Pero si se tratan los datos personales sobre genética y salud para un hospital, entonces sí es necesario un delegado de protección de datos.

El delegado de protección de datos puede pertenecer a la plantilla de la organización o puede haber sido contratado externamente a través de un contrato de servicios. Un delegado de protección de datos puede ser un particular o formar parte de una organización.

Tratamiento de datos para otra empresa

Un responsable del tratamiento de los datos solo puede recurrir a un encargado del tratamiento que ofrezca garantías suficientes, que deberán incluirse en un contrato escrito entre las partes implicadas. Además, el contrato deberá recoger una serie de cláusulas obligatorias, por ejemplo que el encargado del tratamiento solo podrá tratar datos personales cuando se lo encargue el responsable del tratamiento de los datos.

Transferencia de datos fuera de la UE

Cuando entre en vigor la integración del RGPD en el Acuerdo EEE, el Reglamento se aplicará en el Espacio Económico Europeo (EEE), al que pertenecen todos los países de la UE, además de Islandia, Liechtenstein y Noruega. Si los datos personales se transfieren fuera del EEE, la protección ofrecida por el RGPD acompañará a los datos. Eso significa que si los datos se exportan al extranjero, la empresa debe garantizar que se cumpla una de las siguientes condiciones:

¿Cuándo está permitido el tratamiento de datos?

Las normas de protección de datos de la UE establecen que los datos deben tratarse de manera justa y lícita para un fin específico y legítimo y solo deben tratarse los necesarios para alcanzar ese objetivo. La empresa debe cerciorarse de que se cumple una de las siguientes condiciones para el tratamiento de los datos personales:

Autorizar el tratamiento de datos: consentimiento

El Reglamento general de protección de datos aplica normas estrictas para el tratamiento de datos basadas en el consentimiento. El objetivo de estas normas es garantizar que el interesado comprenda lo que está consintiendo. Eso significa que el consentimiento debe darse de manera libre, específica, informada e inequívoca, mediante una solicitud presentada en un lenguaje claro y sencillo. El consentimiento se expresará mediante un acto afirmativo, como marcar una casilla online o firmar un formulario.

Cuando una persona consienta el tratamiento de sus datos personales, solo se podrán tratar para los fines para los que haya dado su consentimiento. También debe ofrecérsele la posibilidad de retirar su consentimiento.

Proporcionar información transparente

Los interesados deben recibir información clara sobre quién trata sus datos personales y por qué. Deben saber al menos lo siguiente:

En algunos casos, la información proporcionada también debe incluir:

Toda la información debe presentarse en un lenguaje claro y sencillo.

Normas específicas para menores

Cuando se recogen datos personales de menores que se basan en el consentimiento, por ejemplo para utilizar una red social o para una cuenta de descarga de contenidos, es preciso obtener primero la autorización parental, por ejemplo enviando una notificación al padre, madre o tutor. La edad hasta la cual una persona se considera menor varía según el país de residencia, pero se sitúa entre los 13 y los 16 años de edad.

Derecho de acceso y derecho a la portabilidad de los datos

Los ciudadanos deben tener derecho a acceder a sus datos personales gratuitamente. Cuando se recibe una petición de este tipo es necesario:

Cuando el tratamiento se base en el consentimiento o en un contrato, el interesado también puede pedir que se le devuelvan sus datos personales o se transmitan a otra empresa. Es lo que se conoce como derecho a la portabilidad de los datos. Los datos deben facilitarse en un formato utilizado habitualmente y de lectura automática.

Derecho de rectificación y derecho de oposición

Si una persona considera que sus datos personales son incorrectos, incompletos o inexactos, tiene derecho a rectificarlos o completarlos sin demoras indebidas.

En ese caso, se debe notificar a todos los destinatarios de los datos personales si alguno de los datos compartidos con ellos se ha modificado o suprimido. Si los datos personales compartidos son incorrectos, puede ser necesario también informar a todos los que los hayan consultado (a menos que se considere que supone un esfuerzo desproporcionado).

Una persona también puede oponerse en todo momento al tratamiento de sus datos personales para un uso específico si la empresa los trata sobre la base de un interés legítimo o para una actividad de interés público. La empresa debe dejar de tratar los datos personales a menos que el interés legítimo prevalezca sobre el interés del interesado.

Del mismo modo, una persona puede solicitar que se limite el tratamiento de sus datos personales mientras se determina si el interés legítimo de la empresa prevalece sobre su interés individual. No obstante, en caso de fines comerciales directos, la empresa siempre tiene la obligación de dejar de tratar los datos personales si lo solicita el interesado.

Derecho de supresión (derecho al olvido)

En determinadas circunstancias, una persona puede solicitar al responsable del tratamiento que suprima sus datos personales, por ejemplo si los datos ya no son necesarios para cumplir la finalidad del tratamiento. Sin embargo, la empresa no tiene la obligación de hacerlo si:

Decisiones automatizadas y elaboración de perfiles

Los interesados tienen derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado. No obstante, hay algunas excepciones a esta regla, como en los casos en que se haya dado un consentimiento explícito a la decisión automatizada. Salvo cuando una decisión automatizada se base en una ley, la empresa debe:

• informar al interesado sobre las decisiones automatizadas

• dar al interesado el derecho a que una persona revise la decisión automatizada

• dar al interesado la posibilidad de impugnar la decisión automatizada.

Por ejemplo, si un banco automatiza su decisión de conceder o no un préstamo a una persona, esta debe ser informada de la decisión automatizada y tener la posibilidad de impugnar la decisión y solicitar la intervención humana.

Violación de datos: proporcionar la notificación adecuada

Se considera violación de datos la divulgación accidental o ilegal a destinatarios no autorizados de datos que sean responsabilidad de una empresa, así como su indisponibilidad temporal o su modificación.

Si se produce una violación de datos que representa un riesgo para los derechos y las libertades individuales, es preciso notificarlo a la autoridad de protección de datos competente en un plazo de 72 horas a partir del momento en que se conozca la infracción.

En caso de que la violación de datos personales entrañe un alto riesgo para las personas afectadas, la empresa también puede estar obligada a informar a todos los afectados.

Responder a las solicitudes

Si la empresa recibe una solicitud de un particular que desea ejercer sus derechos, debe responder a la solicitud sin demoras indebidas y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse por un periodo de dos meses en caso de solicitudes complejas o múltiples, siempre y cuando se informe de la prórroga al interesado. Las solicitudes se tramitan gratuitamente.

Si la empresa rechaza una solicitud, debe informar al interesado de las razones y de su derecho a presentar una reclamación ante la autoridad de protección de datos.

Evaluación de impacto

Es obligatorio realizar una evaluación de impacto sobre la protección de datos siempre que el tratamiento previsto pueda representar un alto riesgo para los derechos y libertades de las personas, por ejemplo cuando se utilizan nuevas tecnologías.

Existe ese alto riesgo cuando:

Nota: las autoridades de protección de datos pueden considerar de alto riesgo otras categorías de tratamiento de datos.

Si las medidas indicadas en la evaluación del impacto sobre la protección no eliminan todos los altos riesgos identificados, debe consultarse a la autoridad de protección de datos antes de que se lleve a cabo el tratamiento.

Mantenimiento de registros

La empresa debe demostrar que actúa de conformidad con el Reglamento general de protección de datos y cumple todas las obligaciones aplicables, especialmente a petición o bajo la inspección de la autoridad de protección de datos.

Una manera de hacerlo es mantener registros detallados de aspectos tales como:

La empresa debe también conservar, y actualizar periódicamente, las directrices y procedimientos escritos y darlos a conocer a sus empleados.

Si se trata de una pymeen o una empresa más pequeña, no es necesario mantener registros de las actividades de tratamiento siempre que:

• no se hagan habitualmente

• no afecten a los derechos o libertades de los interesados

• no traten datos confidenciales o registros de antecedentes penales.

Protección de datos desde el diseño y por defecto

La protección de datos desde el diseño significa que la empresa debe tener en cuenta la protección de datos desde las primeras etapas de la planificación de una nueva forma de tratamiento de los datos personales. Según este principio, un responsable del tratamiento debe adoptar todas las medidas técnicas y organizativas necesarias para aplicar los principios de protección de datos y proteger los derechos de las personas. Estas medidas pueden consistir, por ejemplo, en la seudonimización.

La protección de datos por defecto significa que la empresa debe siempre adoptar por defecto las configuraciones que más defiendan la privacidad. Por ejemplo, si dos configuraciones de privacidad son posibles y una de las configuraciones impide que accedan terceras personas a los datos personales, esta debería utilizarse como configuración por defecto.

Infracción de las normas y sanciones

El incumplimiento del Reglamento general de protección de datos puede dar lugar a multas de hasta 20 millones de euros o del 4% del volumen de negocios mundial de la empresa, en determinadas infracciones. La autoridad de protección de datos puede imponer medidas correctivas adicionales, como obligar a poner término al tratamiento de los datos personales.

Cookies

En los sititos web pueden utilizarse distintos tipos de cookies. Dependiendo de la finalidad de la cookie, puede ser necesario obtener el consentimiento previo de los usuarios.

Cookies que no requieren el consentimiento

Estos son algunos casos en los que no se requiere el consentimiento:

Cookies que requieren el consentimiento

Algunas cookies requieren el consentimiento de los usuarios antes de que la empresa pueda utilizarlas para recoger datos de sus clientes. Eso significa que las cookies no pueden estar activas cuando se accede por primera vez a una página web. La empresa solo puede activarlas y utilizar la información recogida a través de ellas una vez que haya obtenido el consentimiento del usuario.

Estos son algunos casos en los que el consentimiento es necesario:

Finalidad prevista de las cookies

Si una empresa utiliza cookies que requieran el consentimiento, debe ofrecer a la persona que navega por su web una información clara y completa sobre las cookies utilizadas en la web y su finalidad. La empresa debe permitir que los usuarios den su consentimiento específico en función de la finalidad de los diferentes tipos de cookies que aceptan, por ejemplo dando un consentimiento diferenciado para las cookies de rastreo.

Retirada del consentimiento

Para los usuarios debe ser tan sencillo retirar su consentimiento como aceptar las cookies. Si el usuario opta por retirar su consentimiento, la empresa debe ser capaz de garantizar al usuario algún tipo de servicio mínimo que le permita, por ejemplo, acceder a una parte de la web.

Preguntas frecuentes: protección de datos y privacidad online

Reglamentos de la UE aún no vigentes

¿Necesitas recurrir a los servicios de asistencia?

Ponte en contacto con los servicios de asistencia especializados

Apoyo a las empresas locales - ¿Tiene preguntas sobre la gestión de una actividad empresarial transfronteriza? Por ejemplo, la exportación o la expansión a otro país de la UE. En ese caso, la Red Europea para las Empresas puede proporcionarle asesoramiento gratuito.

Compartir esta página: