Glosario RGPD

 En Protección de datos

Ámbito territorial

El objeto del RGPD es la protección de los derechos y libertades fundamentales de las personas físicas, y la libre circulación de datos personales en territorio de la UE, no pudiendo ser restringida ni prohibida.

La protección se otorga a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, y en relación con el tratamiento de sus datos personales.

El Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión Europea, independientemente de que el tratamiento tenga lugar en la Unión Europea o no.

El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

Análisis de riesgo

El RGPD condiciona la adopción de las medidas de responsabilidad activa al riesgo que los tratamientos puedan suponer para los derechos y libertades de los interesados.

El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, De acuerdo con este enfoque de riesgo, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.

La aplicación de las medidas previstas por el RGPD debe adaptarse, por tanto, a las características de las organizaciones. Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.

Todos los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo. El tipo de análisis variará en función de:

  • los tipos de tratamiento,
  • la naturaleza de los datos,
  • el número de interesados afectados,
  • la cantidad y variedad de tratamientos que una misma organización lleve a cabo

La Agencia Española de Protección de Datos (AEPD) ha creado la  Guía de Análisis de Riesgo.

Anonimización

La anonimización de datos debe considerarse como una forma de eliminar las posibilidades de identificación de las personas y ofrece mayores garantías de privacidad a las personas.

La finalidad del proceso de anonimización es eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados manteniendo la veracidad de los resultados del tratamiento de los mismos, es decir, además de evitar la identificación de las personas, los datos anonimizados deben garantizar que cualquier operación o tratamiento que pueda ser realizado con posterioridad a la anonimización no conlleva una distorsión de los datos reales.

La anonimización permite garantizar el avance de la sociedad de la información sin menoscabar el respeto a la protección de datos. Para alcanzar este objetivo es preciso garantizar la irreversibilidad de la anonimización, y para ello habrán de valorarse tanto las fuentes de información disponibles en los diferentes medios y, en particular, a través de internet, como la tecnología aplicable en los procesos de anonimización y en los de reidentificación.

Consentimiento

El RGPD exige tener una base legal para legitimar el tratamiento de usuarios o suscriptores que no son clientes, la única base posible es el consentimiento.

El consentimiento se encuentra recogido como uno de los principios de la protección de datos, en su artículo 4.11, que enuncia lo siguiente: “Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”, por tanto, no basta con solo informar, hay que acreditar todo lo demás. Queda claro que tanto el silencio, la inacción o las casillas previamente seleccionadas como forma de recabar el consentimiento, no es válido.

El consentimiento del interesado, atendiendo a lo que enuncia el RGPD, consiste en una comunicación libre por parte del interesado por la cual acepta que se traten sus datos, para una finalidad concreta, bajo unas determinadas condiciones, de las cuales tiene que estar previamente informado.

La acción afirmativa, o el opt-in positive, significa que el consentimiento no puede inferirse del silencio, cajas pre-marcadas, o inactividad. También debe separarse de los términos y condiciones, y tener una manera sencilla de retirarlo. Las autoridades y empleadores deben prestar atención especial para asegurar que el consentimiento es dado libremente.

Los consentimientos existentes no deben ser actualizados automáticamente en la preparación para el RGPD, sino que deben cumplir con el RGPD y ser específicos, granulares, claros opt-in, documentados apropiadamente, y de fácil retirada. Si no, se deben cambiar los mecanismos de consentimiento y establecer un consentimiento que cumpla con RGPD, o buscar una alternativa al consentimiento.

El RGPD establece una serie de condiciones para legitimar el consentimiento recogido:

Demostración: El responsable del tratamiento deberá ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales ¿cómo se verifica si solo se informa?

Por tanto, los usuarios que se registran en tu formularios, deben ser informados claramente a dónde van los datos que proporcionan en ese formulario y que después el responsable tendrá acceso, hasta que no ejercite si lo hace algunos de sus derechos de acceso, rectificación, cancelación u oposición.

Dependiendo de la herramienta que utilices, (MailChimp, mailrelay, Active Campain) es importante poder realizar la exportación del informe de la campaña en formato .csv que permite obtener la fecha y la hora en que se hizo clic, así como la IP, esta sería una prueba de consentimiento. Aquí tienes más información de como llevar a cabo el consentimiento de tus suscriptores.

Datos personales

Cualquier información relacionada con un individuo identificado/identificable, ya sea que se relacione con su vida privada, profesional o pública. Puede ser cualquier información de identificación directa como el nombre de la persona, su número de teléfono, etc.  desde un nombre, foto, dirección de correo-email, información médica, dirección IP, o combinación de los datos que directa o indirectamente identifican a la persona.

El RGPD establece una distinción clara entre información personal de identificación directa y datos seudonimizados. Fomenta el uso de información seudonimizada e indica expresamente que la aplicación de la seudonimización a datos personales puede reducir los riesgos para las personas a las que se refieren y ayudar a los controladores y procesadores a cumplir con sus obligaciones de protección de datos

Datos personales sensibles

En el RGPD,  las categorías especiales de datos se encuentran recogidas en el art. 9 y en los considerandos 51 a 56. El RGPD se refiere a los datos personales sensibles como una “categorías especiales de datos personales”. La categoría especial de datos incluye origen racial o étnico, opiniones políticas, puntos de vista religiosos o filosóficos, membresía sindical, orientación sexual, y datos de salud, genéticos y biométricos procesados para identificar unívocamente a un individuo.

Se deben aplicar una serie de medidas de seguridad en el tratamiento de estos datos:

  • cifrado de los datos en su comunicación y almacenamiento
  • registro de accesos, con fecha y personal que accedió
  • elaboración de una lista de personas autorizadas
  • establecer un procedimiento seguro para su tratamiento

Destinatarios

Empresas a las que se haya previsto ceder o comunicar, legítimamente, los datos personales que se recogen.

Se debe informar a los interesados  acerca de la identidad de los destinatarios, si están claramente predeterminados, o de las categorías de destinatarios, si estos no están determinados previamente. En particular, es conveniente informar también de la existencia de Encargados de Tratamiento, cuya legitimidad del tratamiento es la ejecución del contrato del encargo, especialmente en los casos en que impliquen transferencias a terceros países.

DPD: Delegado de protección de datos

El RGPD establece la figura del Delegado de Protección de Datos (DPD), que será obligatorio en:

  • el tratamiento es llevado a cabo por una autoridad;
  • las “actividades principales” del responsable/encargado del tratamiento requieren “un seguimiento regular y sistemático de los interesados a gran escala”, o consiste en procesar categorías especiales de datos o datos sobre condenas penales “a gran escala”.

El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos.

La designación del DPD y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes.

El tratamiento transfronterizo

Tratamiento de datos personales realizado en el contexto de las actividades de establecimientos situados en más de un Estado miembro.

Elaboración de perfiles

El RGPD introduce, en su artículo 22 nuevas obligaciones respecto a la elaboración de perfiles y la toma de decisiones automatizadas, una práctica que se lleva a cabo en la publicidad digital.

Elaboración de perfiles es cualquier forma de tratamiento automatizado de datos personales con la intención de evaluar ciertos aspectos personales correspondientes a persona física, o analizar o predecir en particular el rendimiento de la persona en su trabajo, su situación económica, ubicación, salud, preferencias personales, confiabilidad, o su comportamiento.

El RGPD, en  el artículo 22 de la RGPD prohíbe la toma de decisiones individualizadas totalmente automáticas, incluida la elaboración de perfiles que tenga efectos jurídicos en el interesado o le afecte significativamente de modo similar. Es decir, una decisión que se basa únicamente en el tratamiento automatizado sin participación humana en el proceso de decisión.

Encargado del tratamiento (Encargado)

El encargado del tratamiento es la persona física o jurídica, autoridad, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste.

Los tipos de encargado del tratamiento y las formas en que se regulará su relación pueden ser tan variados como los tipos de servicios que puedan suponer acceso a datos personales (por ejemplo, una empresa que ofrece un servicio de alojamiento de información en sus servidores) y otros que tratan datos personales sólo como consecuencia de la actividad que presta por cuenta del responsable del tratamiento (por ejemplo, el gestor o asesor fiscal).

La regulación de la relación entre el responsable y el encargado del tratamiento debe establecerse a través de un contrato o de un acto jurídico similar que los vincule. El contrato o acto jurídico debe constar por escrito, inclusive en formato electrónico.

La agencia creó una guía de directrices para contratos de encargo que puedes consultar aquí.

Evaluación de impacto sobre la privacidad

Se trata un proceso que permita a las organizaciones identificar los riesgos que un producto o servicio puede implicar para la protección de datos antes de que se materialicen. Tras ese análisis se deberá afrontar de manera eficaz la gestión de los riesgos mediante la toma de medidas necesarias para eliminarlos o mitigarlos.

Esta evaluación permite a las organizaciones evaluar de forma anticipada las vicisitudes a las que se verán sometidos los datos personales en función de los tratamientos previstos.

El nuevo reglamento europeo exige la elaboración de informes de impacto cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines. Entre otros, el procesamiento de datos personales de más de 5.000 personas en un plazo de 12 meses, la ocurrencia de un incidente de seguridad que afecte potencialmente a la protección de los datos personales o cuando las actividades centrales de una entidad impliquen la monitorización sistemática de datos personales.

Puedes consultar la  Guía de Evaluación de Impacto en la Protección de Datos

Interesado

El interesado es una persona física. Ejemplos de un interesado pueden ser un individuo, un cliente, un empleado, una persona contacto, etc.

Legitimación

El RGPD exige que todo tratamiento de datos debe apoyarse en una base que lo legitime. También recoge las mismas bases jurídicas que contenía la Directiva y que reproduce la LOPD:

  • Legitimación por ejecución de un contrato: Cuando el tratamiento sea necesario para la ejecución de algún contrato (mercantil, laboral, administrativo,) en el que el interesado sea parte, o para la aplicación de medidas precontractuales EE
  • Legitimación por cumplimiento de una obligación legal: Cuando el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, es decir, una obligación derivada del derecho de la Unión o del ordenamiento jurídico interno,
  • Legitimación por misión en Interés público o ejercicio de Poderes Públicos: Cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento
  • Legitimación por Interés legítimo del Responsable, o de un tercero: Cuando el tratamiento sea necesario para la satisfacción de “intereses legítimos” perseguidos por el responsable del tratamiento o por un tercero,
  • Legitimación por consentimiento del interesado: Cuando la legitimación para la finalidad principal no encuentre acomodo en ninguna de las bases jurídicas anteriores, deberá solicitarse el consentimiento del interesado para el tratamiento de sus datos personales, es el caso de usuarios o personas que no tengan relación comercial directa con el responsable y en dónde no aplique ninguna otra base legal que legitimite el tratamiento. En la Guía modelo para cumplir el deber de informar encontrarás más información

Órgano controlador

Diversas organizaciones internacionales –Naciones Unidas, la Unión Europea, OCDE y la Red Iberoamericana de Protección de Datos, por nombrar algunas– recomiendan a los Estados a establecer instituciones y mecanismos de control que garanticen la protección de datos. Cada Estado puede contar con uno o más de estos órganos, dependiendo de la organización política y administrativa del país. Sus funciones y competencias están establecidas por ley, según el nuevo Reglamento General de Protección de Datos(RGPD) de la Unión Europea, que entrará en vigencia en mayo de 2018.

Parte de las características esenciales de los órganos de control de protección de datos es la autonomía, independencia e imparcialidad, .En efecto, estos órganos no deben recibir instrucciones de otras instituciones del Estado, estando libre de influencias externas.

Asimismo, este tipo de órganos deben contar con cualificación técnica, competencias suficientes, infraestructura, recursos adecuados y presupuesto propio, para conocer denuncias de personas naturales, para realizar investigaciones e intervenciones necesarias, correctivas y/o sancionadoras, para cumplir la legislación nacional en materia de protección de la privacidad y tratamiento de datos personales.

En particular, la Unión Europea enfatiza la necesidad de que los órganos de control de protección de datos tengan la capacidad de cooperar con sus homólogos a nivel regional e internacional, lo que facilitaría el intercambio de información en actividades de investigación.

En España, el órgano controlador es la Agencia Española de protección de datos-

Registro de actividades de tratamiento

el nuevo Reglamento General de Protección de datos (en adelante, “RGPD”), que será de aplicación a partir del próximo 25 de mayo de 2018, elimina la obligación de notificar los ficheros ante la Agencia Española de Protección de Datos (en adelante, “AEPD”). En su lugar, se establece la obligación, en determinados supuestos, de llevar a cabo un registro de actividades del tratamiento.

Según el artículo 30 del RGPD, tendrán obligación de contar con un registro de actividades del tratamiento todas aquellas organizaciones responsables del tratamiento que emplee a más de 250 personas, a menos que:

El tratamiento, sin ser ocasional, pueda entrañar un riesgo para los derechos y libertades del interesado, o

El tratamiento incluya categorías especiales de datos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos para identificar a una persona, datos de salud, vida y orientación sexual), o

El tratamiento incluya datos relativos a condenas e infracciones penales.

Responsabilidad proactiva

La responsabilidad proactiva es la capacidad de demostrar el cumplimiento con el RGPD. El Reglamento explícitamente establece que es responsabilidad de la organización. Para demostrar cumplimiento, las medidas técnicas y organizacionales apropiadas deben estar implementadas. Las mejores prácticas, tales como evaluaciones de impacto de privacidad y privacidad por diseño ahora son legalmente requeridas bajo ciertas circunstancias.

Responsable del tratamiento (Responsable)

Cualquier organización, persona o entidad que determine los propósitos y medios para el tratamiento de datos personales, controle los datos y sea responsable de ello, solo o conjuntamente.

Ejemplos de organizaciones que pueden ser responsables de tratamientos, pueden ser con o sin fines de lucro, privadas o públicas, grandes o pequeñas, las cuales mantienen información personal acerca de sus empleados, clientes, etc.

Seudonimización

Se refiere al tratamiento de datos de carácter personal, de manera que ya no puedan atribuirse a un interesado sin utilizar información adicional. Es decir, a una técnica que impide la vinculación entre los datos de carácter personal y la persona a la que identifican.

Está definida en el art. 4.5) del Reglamento General de Protección de Datos

Tercero

Un tercero es cualquier persona física o legal, autoridad, agencia, o cualquier otra entidad diferente al interesado, responsable, encargado y de las personas que, bajo la autoridad directa del responsable o encargado, están autorizadas a tratar los datos.

Transferencia internacional de datos

La transferencia de los datos personales a países fuera del AEE o a organizaciones internacionales está sujeta a restricciones. Tal como se establece en la Directiva de Protección de Datos,  los datos no necesitan ser transportados físicamente para que se haga la transferencia. Visualizar los datos alojados en otra ubicación es considerado transferencia para los propósitos del RGPD.

Se aplica a la comunicación de datos fuera de del Espacio Económico Europeo.

Los datos solo podrán ser comunicados fuera del Espacio Económico Europeo a

  • Países, territorios o sectores específicos sobre los que la Comisión haya adoptado una decisión reconociendo que ofrecen un nivel de protección adecuado
  • Cuando se hayan ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino
  • Cuando se aplique alguna de las excepciones que permiten transferir los datos sin garantías de protección adecuada por razones de necesidad vinculadas al propio interés del titular de los datos o a intereses generales.

Aquí puedes encontrar toda información necesario a la transferencia internacional de datos.

Tratamiento

Tratamiento es cualquier operación realizada en los datos personales, tales como creación, colección, almacenamiento, visualización, transporte, uso, modificación, transferencia, borrado, etc., de manera automatizada o no.

Violación de la seguridad de los datos personales 

Se entiende toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de alguna otra forma, o la comunicación o acceso no autorizados a dichos datos.

Una de las novedades que contiene el RGPD, radica en la obligatoriedad de notificar las brechas o fugas de seguridad tanto a las Autoridades de Control como a los usuarios o afectados. Esto significa que ante una fuga de datos, el responsable del tratamiento está obligado a notificar la brecha de seguridad a la autoridad de control competente. Se deben notificar las incidencias de seguridad que impliquen una violación de datos personales sin demora injustificada y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella.

La Agencia Española de protección de datos  ha presentado la ‘Guía para la gestión y notificación de brechas de seguridad’, que recoge una serie de recomendaciones preventivas y planes de actuación ante las brechas de seguridad.

Foto principal por Lucian Andrei en Unsplash
Entradas recomendadas

Dejar un comentario

He leído y acepto la política de privacidad *

LEXblogger te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por Luz Soluciones TIC, S.L. como responsable de esta web.

La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar los comentarios que realizas en este blog.

Legitimación: Al marcar la casilla de aceptación, estás dando tu legítimo consentimiento para que tus datos sean tratados conforme a las finalidades de este formulario descritas en la política de privacidad.

Como usuario e interesado te informamos que los datos que nos facilitas estarán ubicados en los servidores de Raiola Networks (proveedor de hosting de LEXblogger) dentro de la UE. Ver política de privacidad de Raiola Networks.

Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@lexblogger.com, así como el derecho a presentar una reclamación ante una autoridad de control. Más información aquí.

Legal Box Basic, la app que adecua 100% tu negocio al RGPD - LEXblogger5 Razones para legalizar tu web si quieres ver crecer tu negocio - LEXblogger