Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Reglamento General PD
Reglamento General PD
Vigor
24 mayo 2016
Aplicación
25 mayo 2018 → Aplicación directa
NO A PJ (instituciones,
organizaciones,
sociedades…) pero SI a
PF que estén
integradas en ella
Ámbito territorial
Se aplica a toda empresa extranjera que trate datos como consecuencia de una actividad
orientada a personas de la UE.
Definiciones
• datos personales: toda información sobre una persona física identificada o
identificable
• el interesado se considerará persona física identificable toda persona cuya identidad
pueda determinarse, directa o indirectamente, en particular mediante un
identificador, como por ejemplo un nombre, un número de identificación, datos de
localización, un identificador en línea o uno o varios elementos propios de la identidad
física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona
• tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos
personales o conjuntos de datos personales, ya sea por procedimientos automatizados
o no, como la recogida, registro, organización, estructuración, conservación,
adaptación o modificación, extracción, consulta, utilización, comunicación por
transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o
interconexión, limitación, supresión o destrucción
• limitación del tratamiento: el marcado de los datos de carácter personal conservados
con el fin de limitar su tratamiento en el futuro
• elaboración de perfiles: toda forma de tratamiento automatizado de datos personales
consistente en utilizar datos personales para evaluar determinados aspectos
personales de una persona física, en particular para analizar o predecir aspectos
relativos al rendimiento profesional, situación económica, salud, preferencias
personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha
persona física
• seudomización: el tratamiento de datos personales de manera tal que ya no puedan
atribuirse a un interesado sin utilizar información adicional, siempre que dicha
información adicional figure por separado y esté sujeta a medidas técnicas y
organizativas destinadas a garantizar que los datos personales no se atribuyan a una
persona física identificada o identificable
• fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a
criterios determinados, ya sea centralizado, descentralizado o repartido de forma
funcional o geográfica
• responsable del tratamiento o responsable: la persona física o jurídica, autoridad
pública, servicio u otro organismo que, solo o junto con otros, determine los fines y
medios del tratamiento si el Derecho de la Unión o de los Estados miembros
determina los fines y medios del tratamiento, el responsable del tratamiento o los
criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión
o de los Estados miembros
• encargado del tratamiento o encargado: la persona física o jurídica, autoridad pública,
servicio u otro organismo que trate datos personales por cuenta del responsable del
tratamiento
• destinatario: la persona física o jurídica, autoridad pública, servicio u otro organismo
al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no
se considerarán destinatarios las autoridades públicas que puedan recibir datos
personales en el marco de una investigación concreta de conformidad con el Derecho
de la Unión o de los Estados miembros el tratamiento de tales datos por dichas
autoridades públicas será conforme con las normas en materia de protección de datos
aplicables a los fines del tratamiento
• tercero: persona física o jurídica, autoridad pública, servicio u organismo distinto del
interesado, del responsable del tratamiento, del encargado del tratamiento y de las
personas autorizadas para tratar los datos personales bajo la autoridad directa del
responsable o del encargado
• consentimiento del interesado: toda manifestación de voluntad libre, específica,
informada e inequívoca por la que el interesado acepta, ya sea mediante una
declaración o una clara acción afirmativa, el tratamiento de datos personales que le
conciernen
• violación de la seguridad de los datos personales: toda violación de la seguridad que
ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no
autorizados a dichos datos
• datos genéticos: datos personales relativos a las características genéticas heredadas o
adquiridas de una persona física que proporcionen una información única sobre la
fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra
biológica de tal persona
• datos biométricos: datos personales obtenidos a partir de un tratamiento técnico
específico, relativos a las características físicas, fisiológicas o conductuales de una
persona física que permitan o confirmen la identificación única de dicha persona,
como imágenes faciales o datos dactiloscópicos
• datos relativos a la salud: datos personales relativos a la salud física o mental de una
persona física, incluida la prestación de servicios de atención sanitaria, que revelen
información sobre su estado de salud
• establecimiento principal:
o a) en lo que se refiere a un responsable del tratamiento con establecimientos
en más de un Estado miembro, el lugar de su administración central en la
Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se
tomen en otro establecimiento del responsable en la Unión y este último
establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso
el establecimiento que haya adoptado tales decisiones se considerará
establecimiento principal
o b) en lo que se refiere a un encargado del tratamiento con establecimientos en
más de un Estado miembro, el lugar de su administración central en la Unión
o, si careciera de esta, el establecimiento del encargado en la Unión en el que
se realicen las principales actividades de tratamiento en el contexto de las
actividades de un establecimiento del encargado en la medida en que el
encargado esté sujeto a obligaciones específicas con arreglo al presente
Reglamento
• representante: persona física o jurídica establecida en la Unión que, habiendo sido
designada por escrito por el responsable o el encargado del tratamiento con arreglo al
artículo 27, represente al responsable o al encargado en lo que respecta a sus
respectivas obligaciones en virtud del presente Reglamento
• empresa: persona física o jurídica dedicada a una actividad económica,
independientemente de su forma jurídica, incluidas las sociedades o asociaciones que
desempeñen regularmente una actividad económica
• grupo empresarial: grupo constituido por una empresa que ejerce el control y sus
empresas controladas
• normas corporativas vinculantes: las políticas de protección de datos personales
asumidas por un responsable o encargado del tratamiento establecido en el territorio
de un Estado miembro para transferencias o un conjunto de transferencias de datos
personales a un responsable o encargado en uno o más países terceros, dentro de un
grupo empresarial o una unión de empresas dedicadas a una actividad económica
conjunta
• autoridad de control: la autoridad pública independiente establecida por un Estado
miembro con arreglo a lo dispuesto en el artículo 51)
• autoridad de control interesada: la autoridad de control a la que afecta el tratamiento
de datos personales debido a que:
o a) el responsable o el encargado del tratamiento está establecido en el
territorio del Estado miembro de esa autoridad de control
o b) los interesados que residen en el Estado miembro de esa autoridad de
control se ven sustancialmente afectados o es probable que se vean
sustancialmente afectados por el tratamiento, o
o c) se ha presentado una reclamación ante esa autoridad de control
• tratamiento transfronterizo:
o a) el tratamiento de datos personales realizado en el contexto de las
actividades de establecimientos en más de un Estado miembro de un
responsable o un encargado del tratamiento en la Unión, si el responsable o el
encargado está establecido en más de un Estado miembro, o
o b) el tratamiento de datos personales realizado en el contexto de las
actividades de un único establecimiento de un responsable o un encargado del
tratamiento en la Unión, pero que afecta sustancialmente o es probable que
afecte sustancialmente a interesados en más de un Estado miembro
• objeción pertinente y motivada: la objeción a una propuesta de decisión sobre la
existencia o no de infracción del presente Reglamento, o sobre la conformidad con el
presente Reglamento de acciones previstas en relación con el responsable o el
encargado del tratamiento, que demuestre claramente la importancia de los riesgos
que entraña el proyecto de decisión para los derechos y libertades fundamentales de
los interesados y, en su caso, para la libre circulación de datos personales dentro de la
Unión
• servicio de la sociedad de la información: todo servicio conforme a la definición del
artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo
y del Consejo
• organización internacional: una organización internacional y sus entes subordinados
de Derecho internacional público o cualquier otro organismo creado mediante un
acuerdo entre dos o más países o en virtud de tal acuerdo
Categorías especiales de datos personales: Datos personales sensibles
Ni empresas ni otras entidades que no sean AAPP podrán realizar datos de esta naturaleza
DERECHOS CARACTERÍSTICAS
Si los datos no son obtenidos del interesado, sino de otra fuente, deberá informar del
tratamiento en el plazo máx. 1 M.
Si el responsable del tratamiento desea utilizar los datos para fines ≠ de aquellos para los que
fueran recabados, deberá informar al interesado antes de iniciar ese nuevo tratamiento.
Información a facilitar cuando se obtienen los datos por parte del interesado
La AEPD recomienda que para cumplir con el derecho de , los responsables de tratamiento
faciliten la necesaria por capas o niveles
Información a facilitar cuando no se obtienen los datos por parte del interesado
de 1er nivel → procedencia de los datos
Comunicación del responsable al interesado, tras obtener los datos, plazo máx. 1 M excepto si
los datos son para comunicarse con el interesado que entonces deberá hacerlos en la 1ª
comunicación.
Derecho de acceso
Es el derecho que tienen los interesados a dirigirse al responsable del tratamiento para
obtener una confirmación sobre si están siendo tratados sus datos personales. AEPD facilita
un modelo para ejercer este derecho.
Derecho de rectificación
El interesado podrá obtener rectificación de sus datos que sean inexactos.
En la solicitud de rectificación deberá indicar de forma inequívoca los datos que se pretenden
modificar y la corrección.
Una vez recibida por el responsable del tratamiento éste está obligado a:
• Cuando los datos personales ya no sean necesarios en relación a los fines para los que
fueron recogidos
• Si el tratamiento de los datos se ha basado en el consentimiento del interesado y éste
lo retira
• Si los datos han sido tratados ilícitamente
• Si los datos deben suprimirse para cumplimiento de una obligación legal establecida
en el Derecho de la UE o de los estados miembros
• Cuando los datos se hayan obtenido en relación con la oferta de servicios de la
sociedad de la información
Además, si
Derecho de oposición
Cuando tenga uno de los siguientes fines
Tratamiento automatizado: decisiones tomadas sin intervención humana, sin que el proceso
de toma de decisión intervenga alguna persona que tenga influencia real en la decisión que se
toma
• Rendimiento profesional
• Situación económica
• Salud
• Preferencias o intereses procesales
• Fiabilidad o comportamiento
• Ubicación o movimientos
¿
¿Qué datos vamos a
¿Cómo¿los tratar?
trataremos?
¿
¿Por qué?
Principios
El encargado no decide sobre el tratamiento, SIEMPRE actúa bajo la autoridad del responsable
Corresponsables de tratamiento
Varias personas y/o entidades las que toman decisiones respecto del tratamiento de datos.
Los interesados podrán dirigirse a cualquier corresponsable del tratamiento para el ejercicio de
sus derechos
Excepciones:
El representante podrá ser sancionado por los incumplimientos del responsable o el encargado
Registro de actividades del tratamiento
Lo deben mantener los responsables y encargados bajo su responsabilidad siempre que:
que deberá tener el registro en caso del registro de actividades que deberá
responsable mantener el encargado
Nombre y datos de responsable y Nombre y datos del encargado y del
corresponsables, representantes y delegado responsable por cuenta de quien actúe. En
si los hubiere su caso también del representante y del
delegado
Finalidad del tratamiento Categorías de datos personales tratados por
cuenta de cada responsable
Transferencias internacionales de datos que se realizan, si se realizan, y la documentación
de las garantías adecuadas, se identificará el país o la organización internacional a la que se
transfieren los datos
Los plazos para la eliminación de las ≠
categorías de los datos cuando sea posible
Descripción de las medidas técnicas y organizativas que se han adoptado para garantizar la
seguridad cuando sea posible
• El estado de la técnica
• Los costes de la app de medidas
• La naturaleza, alcance, contexto y fines del tratamiento
• Probabilidad de que el riesgo se materialice
• Gravedad para los derechos y libertades de las personas físicas en caso de que el
riesgo se materialice
La una vez cifrada solo podrá verse si se aplica una clave previamente que debe conocer
tanto el que cifra como el que descifra
Integridad: implica que los datos personales no se alteren y se mantengan sin modificaciones
Disponibilidad: refleja la capacidad de acceso inmediato a la de aquellas personas que
cuenten con autorización
• La naturaleza de la violación
• Categorías de datos
• Categorías de interesados afectados,
• Nombre y datos del delegado de protección de datos o de otro contacto
• Medidas impuestas por el responsable para resolver la brecha
• Describir las posibles consecuencias
• Si procede, las medidas adoptadas para reducir los posibles efectos negativos sobre los
interesados
Funciones:
✓ Asesoramiento
✓ Supervisión del cumplimiento
normativo
✓ Cooperación y enlace con la
autoridad de control
✓ Atención a los interesados
Procedimiento sancionador
Características de las sanciones:
• Individuales • Proporcionadas
• Efectivas • Disuasorias
Ley Orgánica de Protección de Datos y
Derechos Digitales
Conceptos básicos
3/2018, 5 diciembre → vigor 7 dic.
Objetivos:
• Únicamente podrán tratarse los datos que sirvan para la localización profesional de la
persona en cuestión
1
Ref. art. 18.4 CE
• Finalidad debe ser mantener relaciones con la empresa
Tratamiento de datos con fines de archivo o interés público por parte de las
AAPP
Es ilícito el tratamiento con fines de archivo en interés público2
2
Aquel que, por su valor para la historia, la investigación, la ciencia o la cultura es de interés público y
declarado como tal por el legislador
Los responsables o encargados que se adhieran al condigo de conduta se obligan a someter al
organismo o entidad de supervisión las reclamaciones que le fueran formuladas
• RGPD
• L.O y sus normas de desarrollo
• En las circulares de la AEPD y autoridades de P.D
AEPD: se crea con el objetivo de velar por el cumplimiento de la normativa en materia de PD y
para controlar su aplicación. Es una autoridad adtiva. Independiente.
Ejerce el papel de representante común de las autoridades de protección de datos del Reino
de España en el Comité Europeo de protección de datos.
Funciones:
• Controlar la aplicación del RGPD y LOPD-GDD y del resto de la normativa, así como
proceder a que se aplique
• Promover la sensibilización del público y su comprensión de los riesgos, normas,
garantías y derechos en relación con el tratamiento. Las actividades dirigidas
específicamente a los niños deberán ser objeto de especial atención.
• Asesoran, con arreglo al derecho de los estados miembros, al PAR nacional, Gob. y
otras instituciones y organismos sobre las medidas legislativas y adtivas. Relativas a la
protección de derechos y libertades de personas físicas con respecto al tratamiento.
• Promover la sensibilización de los responsables y encargados del tratamiento acerca
de las obligaciones que les incumben
• Previa solicitud, facilitar , a cualquier interesado en relación con el ejercicio de sus
derechos y en su caso, cooperar con las autoridades de control de otros estados
miembros.
• Tratar las reclamaciones e investigar el motivo de la reclamación
• Cooperar, compartiendo , con otras autoridades de control y prestar asistencia
mutua
• Llevar a cabo investigaciones sobre aplicación del presente Reglamento, en particular,
basándose en recibida de otra autoridad de control pública
• Hacer un seguimiento de cambios que sean de interés, en particular el desarrollo de
las tecnologías de la y comunicación y las prácticas comerciales
• Adoptar cláusulas contractuales del RGPD3
• Elaborar y mantener una lista relativa al requisito de evaluación impacto4
• Ofrecer asesoramiento sobre las operaciones de tratamiento5
• Alentar la colaboración de códigos de conducta y dictaminar y aprobar los códigos de
conducta6
3
Art. 28.8, 46.2.d) RGPD
4
Art. 35.4 RGPD
5
Art. 36.2 RGPD
6
Art. 40.1 y 40.5 RGPD
• Fomentar creación de mecanismos de certificación de protección de datos y sellos y
marcas de protección de datos y aprobar los criterios de certificación7
• Llevar a cabo, si procede, una revisión periódica de certificaciones expedidas8
• Elaborar y publicar los criterios para la acreditación de organismos de supervisión de
los códigos de conducta y de organismos de certificación9
• Efectuar la acreditación de organismos de supervisión de los códigos de conducta y de
organismos de certificación10
• Autorizar las cláusulas contractuales y disposiciones11
• Contribuir a las actividades del Comité
• Llevar registros internos de las infracciones y de las medidas adoptadas12
Presidencia
Gabinete Jurídico
Área internacional
Gabinete de
comunicación y prensa
Subdirector General de
Subdirector General de
Registro General de Secretario General
Inspección de Datos
Protección de Datos
7
Art. 42.1 y 42.5 RGPD
8
Art. 42.7 RGPD
9
Art. 41 y 43 RGPD
10
Art. 41 y 43 RGPD
11
Art. 46.3 RGPD
12
Art. 58.2 RGPD
Autoridades autonómicas de protección de datos
Son autoridades adtivas. Independientes de ámbito autonómico con personalidad jurídica y
plena capacidad pública y privada, que actúan con plena independencia de los poderes
públicos en el ejercicio de sus funciones en el ámbito de protección de datos.
Vulneración de la normativa
• Hechos
• La identificación de la persona o entidad contra la que se dirige el procedimiento
• La infracción que hubiera podido cometerse
• La posible sanción
Derechos espe
Derecho a la portabilidad