Matomo Plantillas Pol铆tica Privacidad
Browse articles in this level »
New article next to GDPR New article below GDPR

Contents

LA GDPR

La GDPR regula la protecci贸n de datos personales en la Uni贸n Europea. La regulaci贸n se aplica si el controlador de datos (una organizaci贸n que recolecta datos de residentes de la UE) o el procesador (una organizaci贸n que trata datos en nombre del controlador de datos, por ejemplo, proveedores de servicios en la nube) o el interesado (persona) tiene su sede en la UE. Adem谩s, la regulaci贸n tambi茅n se aplica a las organizaciones con sede fuera de la Uni贸n Europea si recopilan o tratan datos personales de los residentes de la UE. Seg煤n la Comisi贸n Europea, 芦los datos personales son cualquier informaci贸n relacionada con un individuo, ya sea que se refiera a su vida privada, profesional o p煤blica. Puede ser cualquier cosa desde un nombre, domicilio, foto, direcci贸n de correo electr贸nico, detalles bancarios, publicaciones en sitios web de redes sociales, informaci贸n m茅dica o la direcci贸n IP de una computadora禄.

https://es.wikipedia.org/wiki/Reglamento_General_de_Protecci贸n_de_Datos

Los datos solo se pueden tratar si existe al menos una base legal para hacerlo. Las bases legales para tratar datos son:

  • El interesado ha dado su consentimiento para el tratamiento de sus datos personales con uno o m谩s prop贸sitos espec铆ficos.
  • El tratamiento es necesario para la ejecuci贸n de un contrato del que el interesado es parte o para tomar medidas a petici贸n del interesado antes de celebrar un contrato.
  • El tratamiento es necesario para cumplir con una obligaci贸n legal a la cual el controlador est谩 sujeto.
  • El tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona f铆sica.
  • El tratamiento es necesario para la realizaci贸n de una tarea llevada a cabo en inter茅s p煤blico o en el ejercicio de la autoridad oficial conferida al controlador.
  • El tratamiento es necesario para los fines de los intereses leg铆timos perseguidos por el responsable o por un tercero, salvo cuando dichos intereses sean anulados por los intereses o los derechos y libertades fundamentales del interesado que requieren protecci贸n de datos personales, en particular cuando el interesado es un ni帽o.

Los m谩s importantes, porque suelen ser lo m艣 usados son los bases amparadas en los intereses leg铆timos y el consentimiento del usuario:

  • Intereses leg铆timos. Es el m谩s flexible y el que implica un mayor nivel de responsabilidad. Habr铆a que establecer cu谩les son estos intereses (comerciales, confecci贸n de estad铆sticas para la mejora del sitio, etc.) y porqu茅 el procesamiento de datos es necesario para conseguir dichos fines. Este ha de ser necesario, es decir, si se puede conseguir por medios menos intrusivos no estar铆a justificado. Este supuesto no necesita el consentimiento expl铆cito del usuario. https://www.aepd.es/sites/default/files/2019-09/informe-juridico-rgpd-interes-legitimo.pdf

  • Consentimiento del usuario. La base legal es el consentimiento expl铆cito que otorga el usuario para el procesamiento de sus datos personales.

Delegado de protecci贸n de datos

El art铆culo 37, apartado 1, del RGPD requiere la designaci贸n de un DPD en tres casos espec铆ficos:

  • cuando el tratamiento lo lleve a cabo una autoridad u organismo p煤blico
  • cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en raz贸n de su naturaleza, alcance o fines, requieran una observaci贸n habitual y sistem谩tica de interesados a gran escala; o
  • cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categor铆as especiales de datos personales o de datos relativos a condenas e infracciones penales

Las administraciones p煤blicas siempre tienen la obligaci贸n de nombrar un DPD (salvo los tribunales en el ejercicio de su funci贸n judicial).

El DPD puede ser un miembro del personal de su organizaci贸n o puede contratar uno externo en el marco de un contrato de servicio. El DPD puede ser una persona o una organizaci贸n.

https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers/does-my-company-organisation-need-have-data-protection-officer-dpo_es

Pol铆tica de datos (Privacy Policy or Privacy Notice)

Si una organizaci贸n recopila informaci贸n de un individuo directamente, debe incluir la siguiente informaci贸n en su aviso de privacidad:

  • La identidad y los datos de contacto de la organizaci贸n, su representante y su Delegado de Protecci贸n de Datos.
  • El prop贸sito de la organizaci贸n para procesar los datos personales de un individuo y su base legal
  • Los intereses leg铆timos de la organizaci贸n (o de terceros, cuando corresponda)
  • Cualquier destinatario o categor铆as de destinatarios de los datos de una persona.
  • Los detalles sobre cualquier transferencia de datos personales a un tercer pa铆s y las garant铆as tomadas
  • El per铆odo de retenci贸n o los criterios utilizados para determinar el per铆odo de retenci贸n de los datos.
  • La existencia de los derechos de cada interesado
  • El derecho a retirar el consentimiento en cualquier momento (cuando sea relevante)
  • El derecho a presentar una queja ante una autoridad supervisora
  • Si el suministro de datos personales es parte de un requisito u obligaci贸n legal o contractual y las posibles consecuencias de no proporcionar los datos personales
  • La existencia de un sistema automatizado de toma de decisiones, incluida la elaboraci贸n de perfiles, e informaci贸n sobre c贸mo se ha establecido este sistema, la importancia y las consecuencias.

Si una organizaci贸n obtiene sus datos indirectamente (a trav茅s de otra organizaci贸n), su aviso de privacidad debe proporcionar la misma informaci贸n, excepto:

  • Si el suministro de datos personales es parte de un requisito u obligaci贸n legal o contractual y las posibles consecuencias de no proporcionar los datos personales

https://gdpr.eu/privacy-notice/