Política de Privacidad

un sitio amigable y
de encuentros sociales

El pasado 24 de mayo de 2016 entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos [Ver] y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), que modifica algunos aspectos del régimen actual y contiene nuevas obligaciones para los responsables del tratamiento de datos de carácter personal.

El nuevo Reglamento es directamente aplicable desde el 25 de mayo de 2018, de modo que durante estos dos años de periodo transitorio, los responsables y encargados del tratamiento de datos han debido adoptar las medidas necesarias a fin de estar preparados y en condiciones de cumplir con sus previsiones en el momento en que sean de aplicación.

Así, tratándose de una norma directamente aplicable, no se requieren normativas nacionales de transposición, siendo el Reglamento la norma de referencia en la materia.

No obstante, la ley que sustituya a la actual Ley Orgánica de Protección de Datos, a día de hoy todavía en tramitación, podrá incluir precisiones o bien desarrollar las materias que el RGPD permita.

El RGPD deroga la Directiva 95/46/CE del Parlamento Europeo y del Consejo, que trató de armonizar la protección de los derechos y las libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de carácter personal y garantizar la libre circulación de estos datos entre los Estados miembros.

Principio de responsabilidad proactiva

Una de las mayores innovaciones del RGPD es la introducción del principio de responsabilidad proactiva, principio que el Reglamento describe como la necesidad de que el responsable del tratamiento de datos aplique medidas técnicas y organizativas apropiadas a fin de garantizar y acreditar que el tratamiento cumple con los requisitos establecidos reglamentariamente.

Este principio exige una actitud por parte de las organizaciones que sea consciente, diligente y proactiva, de manera que éstas deberán analizar qué datos tratan, con qué finalidad y qué tipo de tratamiento llevan a cabo. Asimismo, realizado dicho análisis, deberán determinar explícitamente la forma en que aplicarán las medidas del RGPD.

A fin de que las organizaciones no actúen únicamente cuando ya se ha producido la infracción, el Reglamento. prevé una serie de medidas basadas en la prevención:

  • Protección de datos desde el diseño
  • Protección de datos por defecto
  • Medidas de seguridad
  • Mantenimiento de un registro de tratamientos
  • Realización de evaluaciones de impacto sobre la protección de datos

La evaluación de impacto se realizará con carácter previo a la puesta en marcha de tratamientos que puedan conllevar un alto riesgo para los derechos y libertades de los interesados, tales como:

-Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.

- Tratamientos a gran escala de datos sensibles.

- Observación sistemática a gran escala de una zona de acceso público.

  • Nombramiento de un delegado de protección de datos
  • Promoción de esquemas de conductas y esquemas de certificación
  • Notificación de violaciones de la seguridad de los datos
Cuando se produzca una violación de seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente dentro de las 72 horas siguientes, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
Enfoque de riesgo

De acuerdo con el llamado enfoque de riesgo que inspira el RGPD, la aplicación de las medidas deberá adaptarse a las características de la organización de que se trate, es decir, teniendo en cuenta el riesgo para los derechos y libertades de las personas.

Así, el Reglamento prevé que la aplicación de las medidas dependa de factores como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento de los datos presenta para los derechos y libertades de sus titulares. Por ese motivo, las organizaciones deben realizar un análisis de riesgo de sus tratamientos para determinar las medidas que han de aplicar y cómo hacerlo.

Las Autoridades de protección de datos europeas y la Agencia Española de Protección de Datos han desarrollado herramientas que facilitan la identificación y valoración de riesgos y efectúan recomendaciones sobre la aplicación de medidas, especialmente en relación con pymes que realizan los tratamientos de datos más habituales en la gestión empresarial.
Ámbito de aplicación

El RGPD, al igual que la normativa anterior, continúa siendo de aplicación a los responsables o encargados del tratamiento de datos de carácter personal establecidos en la Unión Europea.

Como novedad, el nuevo Reglamento introduce en su ámbito de aplicación a responsables y encargados no establecidos en la Unión Europea siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

A fin de hacer efectiva la citada ampliación del ámbito de aplicación, las organizaciones deberán nombrar un representante en la Unión Europea, que actuará como contacto de las autoridades de supervisión y de los ciudadanos, y como destinatario de las acciones de supervisión pertinentes.

Se excluyen del ámbito de aplicación las siguientes actividades:

  • Actividades no comprendidas en el Derecho de la UE.
  • Actividades relacionadas con la política exterior y de seguridad común.
  • Actividades de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
  • Actividades exclusivamente personales o domésticas.
Consentimiento inequívoco

El RGPD modifica la forma de obtención del consentimiento para el tratamiento de datos de carácter personal, que deberá ser inequívoco.

Así, se requiere la obtención por parte de las organizaciones de una manifestación del interesado o una clara acción afirmativa, sin que se admitan formas de consentimiento tácito o por omisión basadas en la inacción.

Para determinadas situaciones el consentimiento deberá ser, además de inequívoco, explícito:

  • Tratamiento de datos sensibles
  • Adopción de decisiones automatizadas
  • Transferencias internacionales de datos
El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.
Se presume que el consentimiento no se ha prestado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales, o cuando el cumplimiento de un contrato sea dependiente del consentimiento, aún cuando este no sea necesario para dicho cumplimiento.

En cuanto al consentimiento prestado por menores de edad, el RGPD dispone que pueden prestarlo por sí mismos para el tratamiento de sus datos personales en el ámbito de los servicios de la información (por ejemplo, en redes sociales) a los 16 años, edad que podrá ser rebajada por los Estados miembros hasta el límite mínimo de 13 años.

En el caso de España, el límite de edad para prestar el consentimiento se fija en los 14 años, el mismo que venía establecido en la normativa anterior.

El RGPD requiere que los responsables hagan esfuerzos razonables teniendo en cuenta la tecnología disponible para verificar que el consentimiento se ha prestado por los padres o tutores de los niños con edades inferiores.
Transparencia e información a los interesados

La información a los interesados respecto de las condiciones de los tratamientos que les afecten así como en las respuestas a los ejercicios de derechos, deberá proporcionarse por escrito, de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

Asimismo, se amplía la lista de información que debe proporcionarse a los interesados, añadiéndose los siguientes aspectos:

  • Base jurídica del tratamiento.
  • Intención de realizar transferencias internacionales de datos.
  • Datos del Delegado de Protección de Datos, en caso de que lo haya.
  • Elaboración de perfiles.
En cuanto a la identificación de la base legal sobre la que se desarrollan los tratamientos, es necesario incluirla al proporcionar la información en el momento de recoger los datos de los interesados, especificando y documentando los intereses legítimos en que se fundamentan las bases de tratamiento.
Encargado de tratamiento

El RGPD contiene obligaciones expresamente dirigidas a los encargados, a pesar de que la responsabilidad última sobre el tratamiento sigue estando atribuida al responsable, que es quien determina la existencia del tratamiento y su finalidad.

Los encargados cuentan con una serie de obligaciones propias, al margen del contrato que los une al responsable (contrato de encargo), que pueden ser supervisadas separadamente por las autoridades de protección de datos, como son:

  • * Mantener un registro de actividades de tratamiento.
  • Determinar las medidas de seguridad aplicables a los tratamientos que realizan.
  • Designar un Delegado de Protección de Datos en los casos previstos en el RGPD.

En cuanto a la elección del encargado por parte del responsable, éste deberá elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme al RGPD.

Para demostrar que los encargados cumplen con las garantías exigidas por el Reglamento, podrán adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación.

El contrato de encargo es un acto jurídico vinculante que regula las relaciones entre el responsable y el encargado. El RGPD regula minuciosamente su contenido mínimo:

  • * Objeto, duración, naturaleza y finalidad del tratamiento.
  • Tipo de datos personales y categorías de interesados.
  • Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable.
  • Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones.
  • Asistencia al responsable en la atención al ejercicio de derechos de los interesados.
Datos personales particularmente sensibles

Los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, merecen una especial protección, ya que el contexto de su tratamiento podría entrañar importantes riesgos.

Así, el Reglamento dispone expresamente la prohibición de tratar lo siguientes datos:

  • Los que revelen el origen racial o étnico
  • Los que revelen opiniones políticas o confesiones religiosas o filosóficas
  • Datos sobre afiliación sindical
  • Datos relativos a la salud
  • Datos genéticos
  • Datos biomédicos que permitan la identificación unívoca de una persona
  • Datos relativos a la vida y orientación sexual

No obstante, se permite el tratamiento de datos sensibles o categorías especiales de datos cuando se den las siguientes circunstancias:

  • Los que revelen el origen racial o étnico
  • Cuando el interesado haya prestado explícitamente su consentimiento para fines específicos, excepto si está prohibido por la legislación vigente.
  • Cuando el tratamiento sea necesario para proteger los intereses vitales del interesado y se encuentre incapacitado para dar su consentimiento.
  • Cuando el tratamiento lo realice legítimamente una organización sin ánimo de lucro con finalidad política, filosófica, religiosa o sindical con relación a sus fines.
  • Cuando el interesado haya hecho manifiestamente públicos sus datos.
  • Cuando el tratamiento se realice bajo la responsabilidad de personas sujetas al secreto profesional.
  • Cuando se realice para fines de asistencia sanitaria o social, medicina preventiva o laboral o diagnóstico médico, incluida la evaluación de la capacidad laboral del trabajador.
  • Cuando se trate de procedimientos judiciales.
  • Cuando sea necesario para cumplir con la legislación laboral, de seguridad, protección social o de convenios colectivos.
  • Cuando sea necesario por razones de interés público en el ámbito de la salud pública o la asistencia sanitaria.
  • Cuando sea necesario para fines de archivo de interés público en investigaciones científicas, históricas o estadísticas.

Los responsables o encargados que realicen tratamientos de categorías especiales de datos tendrán las siguientes obligaciones:

  • Prohibición de tratamiento basado en la elaboración de perfiles.
  • Obligación de llevar un Registro de las actividades del tratamiento.
  • Obligación de realizar una evaluación de impacto relativa a la protección de datos.
  • Obligación de designar un Delegado de Protección de Datos.
Derecho al olvido y derecho a la portabilidad

El derecho al olvido y el derecho a la portabilidad introducidos en el RGPD, mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

El derecho al olvido es el derecho de los ciudadanos a solicitar que sus datos personales sean suprimidos cuando dejen de ser necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando se hayan recogido de forma ilícita.

Este derecho no está considerado un derecho autónomo o diferenciado de los clásicos derechos ARCO, sino la consecuencia de la aplicación del derecho al borrado de los datos.

El derecho a la portabilidad consiste en que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado pueda solicitar recuperarlos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá transferir los datos directamente al nuevo responsable designado por el interesado.

Así, se trata de una forma evolucionada del derecho de acceso que garantiza que la copia que se proporcione al interesado se ofrezca en un formato estructurado, de uso común y lectura mecánica.

Derecho a la limitación de tratamiento

La limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso correspondan.

Los supuestos en los que procede solicitar la limitación son los siguientes:

  • Cuando el interesado haya ejercido los derechos de rectificación u oposición y el responsable esté en proceso de determinar si procede atender la solicitud.
  • Cuando el tratamiento sea ilícito y el interesado se oponga al borrado de datos que sería procedente.
  • Cuando los datos ya no sean necesarios para el tratamiento, lo que determinaría el borrado de datos, pero el interesado solicita la limitación por necesitarlo para la formulación, ejercicio o defensa de reclamaciones.
Se impide la práctica del borrado de datos cuando se ejerciten otros derechos, como el de acceso, ya que impediría el ejercicio del derecho a la limitación del tratamiento.
Delegado de Protección de Datos

El nombramiento de un Delegado de Protección de Datos es obligatorio en los siguientes casos:

  • Autoridades y organismos públicos.
  • Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.

El Delegado de Protección de Datos no debe contar con una titulación específica, si bien es indudable que los conocimientos jurídicos en la materia son necesarios, así como también contar con conocimientos en materia de tecnología aplicada al tratamiento de datos o en relación con el ámbito de actividad de la organización en la que se desempeñe la tarea.

La Agencia Española de Protección de Datos ha promovido un sistema de certificación de profesionales de protección de datos como herramienta para evaluar a los candidatos.
Las certificaciones, que serán otorgadas por entidades acreditadas por la Entidad Nacional de Acreditación, no serán un requisito indispensable para el acceso a la profesión, sino tan sólo una opción a disposición de responsables y encargados para facilitar la selección de los profesionales llamados a ocupar el puesto.

La designación del DPD debe hacerse pública por los responsables y encargados y deberá ser comunicada a las autoridades de supervisión competentes.

La relación entre el DPD y los responsables o encargados puede ser mediante un contrato laboral o bien mediante un contrato de servicios, desarrollando sus funciones a tiempo completo o parcial.

La nueva normativa supone un mayor compromiso de las organizaciones, tanto públicas como privadas, con la protección de datos de carácter personal. Sin embargo, ello no implica necesariamente una mayor carga, sino que en muchos casos se tratará tan sólo de una forma distinta de gestionar la protección de datos. Algunas de las medidas introducidas son una continuación o sustitución de otras ya existentes, como las medidas de seguridad, la obligación de documentación, la evaluación de impacto o la consulta a autoridades de supervisión.

Reserva con Detalles

Puedes realizar una reserva detallada específicanos la cantidad de personas y selecciona nuestras especialidades