RGPD Índice de contenidos 1

Reglamento General de

Protección de Datos

RGPD

GRUPO CONFORSA, ANÁLISIS, DESARROLLO Y FORMACIÓN S.A.

C/ Santa Catalina nº 9

Alcalá de Henares, 28801

Telf: 918772711

grupoconforsa@grupoconforsa.com

www.grupoconforsa.com

Queda prohibida toda la reproducción de la obra o partes de

la misma por cualquier medio sin la autorización previa.

Ofimática

Edición: Septiembre 2018

Impresión: Grupo Conforsa

RGPD Índice de contenidos ii

ÍNDICE DE CONTENIDOS

1. Introducción, definiciones y conceptos básicos.

1.1. La protección de datos en la UE

1.2. Conceptos básicos del RGPD

1.3. Definiciones

1.3.1. Datos personales

1.3.2. Tratamiento de datos personales

1.3.3. Consentimiento del interesado

1.3.4. Responsable del tratamiento

1.3.5. Encargado del tratamiento

1.3.6. Autoridades de protección de datos (APD)

1.3.7. Delegado de protección de datos (DPD)

2. Principios relativos al tratamiento de datos.

2.1. Principios relativos al tratamiento

2.2. Licitud del tratamiento

2.3. Condiciones para el consentimiento

2.3.1. Niños y consentimiento

2.4. Categorías especiales

2.5. Tratamiento de datos personales relativos a condenas e infracciones penales

2.6. Tratamiento que no requiere identificación

3. Derechos del interesado: Transparencia e Información

3.1. ¿Cuáles son nuestros derechos?

3.2. El principio de transparencia

3.3. Información y acceso a los datos personales

3.3.1. Información a facilitar cuando se obtienen los datos por parte del interesado

3.3.2. Información a facilitar cuando no se obtienen los datos por parte del interesado

3.3.3. Derechos de acceso

RGPD Índice de contenidos iii

4. Derechos del interesado: Rectificación, Supresión y Oposición

4.1. Rectificación

4.2. Supresión - Derecho al olvido

4.2.1. Derecho al olvido en internet

4.3. Limitación del tratamiento

4.4. Portabilidad de los datos

4.5. Oposición

4.6. Decisiones individuales automatizadas, incluida la elaboración de perfiles

4.7. Limitaciones

5. Las figuras de responsable y encargado del tratamiento.

5.1. El responsable del tratamiento de datos

5.1.1. ¿Quién es el responsable del tratamiento?

5.1.2. El principio de responsabilidad proactiva

5.1.3. Enfoque de riesgo

5.1.4. Obligaciones del responsable

5.2. El encargado del tratamiento de datos

5.3. Corresponsables del tratamiento

5.4. Representantes o Encargados del mantenimiento no establecidos en la UE

5.5. Registro de las actividades del tratamiento

6. Seguridad de los datos personales

6.1. Seguridad del tratamiento

6.2. Notificación de fallas de seguridad a la autoridad de control

6.3. Notificación de fallas de seguridad a los interesados

7. La Evaluación de Impacto

7.1. Aspectos previos

7.1.1. ¿Qué es una Evaluación de Impacto en Protección de Datos (EIPD)?

7.1.2. ¿Qué debe incuir una EIPD?

7.1.3. ¿Quién debe realizar una EIPD y a quién se debe involucrar?

7.2. Metodología para la realización de una EIPD

RGPD Índice de contenidos iv

7.2.1. Contexto del tratamiento

7.2.2. Gestión de riesgos

7.2.3. Conclusión

7.2.4. Comunicación y consulta a la autoridad de control

7.2.5. Supervisión y revisión de la implantación

8. El delegado de protección de datos

8.1. La figura del delegado de protección de datos - DPO -

8.2. Funciones del Delegado de Protección

8.3. ¿Quién y cuándo hay que designar un Delegado de Protección?

8.4. Posición del Delegado de Protección

8.5. Certificación de Delegados de Protección

9. Códigos de conducta y certificación

9.1. Códigos de conducta

9.1.1. Supervisión

9.2. Certificación

9.2.1. Organismos de certificación

10. Transferencias de datos personales a terceros países u organizaciones internacionales

10.1. Las transferencias de datos internacionales

10.2. Transferencias basadas en una decisión de adecuación

10.3. Transferencias mediante garantías adecuadas

10.4. Normas corporativas vinculantes

10.5. Transferencias o comunicaciones no autorizadas por el Derecho de la Unión

10.6. Excepciones para situaciones específicas

10.7. Cooperación internacional en el ámbito de la protección de datos personales

11. Responsabilidad y sanciones

11.1. Derechos de reclamación

11.2. Responsabilidad y derecho a indemnización

11.3. Procedimiento sancionador

RGPD Índice de contenidos v

11.3.1. Criterios

11.3.2. Categorías

RGPD Introducción, definiciones y conceptos básicos 6

1. Introducción, definiciones y conceptos

básicos

1.1. La protección de datos en la UE

Los ciudadanos de la Unión Europea (UE) tenemos derecho a la protección de nuestros datos personales, tal y como está establecido en la carta de Derechos Fundamentales de la Unión Europea y en el Tratado de Funcionamiento de la Unión europea. Bajo esta premisa, la Unión Europea ha desarrollado este derecho mediante diversas directivas relativas a la protección de los datos de las personas. Estas directivas, se fueron aplicando en los estados miembros de manera fragmentada y con diferencias en el grado de protección de los datos de carácter personal de los ciudadanos. Debido a esto y a que, desde un punto de vista tecnológico, las directivas existentes empezaban a quedar obsoletas, en 2012 la Comisión Europea propuso la elaboración de un Reglamento General para la protección de datos que amparase a todos los ciudadanos de la UE con independencia del lugar en que se procesen sus datos y los medios tecnológicos con los que estos datos se traten. Se inició entonces un proceso para la elaboración, enmiendas y discusión del Reglamento que culminó en abril de 2016 con la aprobación del REGLAMENTO (UE) 2016/ 679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Que es lo que ya todos conocemos de forma resumida como Reglamento General de Protección de Datos o RGPD (GDPR por sus siglas en inglés). El Reglamento nace con intención de fortalecer la protección de los datos de los ciudadanos en esta era digital y de simplificar las normas que las empresas y entidades deben aplicar, al haberlas unificado en una sola normativa que se aplica en toda la Unión. Cabe destacar, que esta protección se extiende a todas las personas, con independencia de su nacionalidad o residencia.

RGPD Introducción, definiciones y conceptos básicos 7

1.2. Conceptos básicos del RGPD El Reglamento General de protección de datos entró en vigor el 24 de mayo de 2016 y se aplica desde el 25 de mayo de 2018. Regula el tratamiento que realizan personas, empresas u organizaciones de los datos personales relacionados con personas físicas en la Unión Europea. En el caso de España, para aplicar las directivas europeas de protección de datos anteriores al RGPD, se elaboró la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) La aplicación del RGPD implica que deja de aplicarse nuestra LOPD. Esto es así porque el Reglamento europeo es de aplicación directa y no necesita ninguna ley a nivel nacional para ser implementado. No obstante, los países de la UE tendrán que desarrollar legislación a nivel nacional para ajustar o precisar aquellos aspectos que el Reglamento permite o recomienda precisar. En nuestro caso, ya se está tramitando un Proyecto de nueva Ley Orgánica de Protección de Datos para ajustar nuestro ordenamiento al Reglamento. Este Reglamento es tecnológicamente neutro, es decir, protege los datos con independencia de las tecnologías empleadas en el tratamiento de los datos. Se aplica tanto a tratamientos automatizados como manuales, siempre que los datos se organicen según algún criterio determinado. Tampoco importa la forma en que se conserven los datos (soporte informático, vídeo, papel…), en todo caso estarán sujetos a los requisitos de protección que establece el Reglamento.

Ámbito de aplicación material

Según la naturaleza del tratamiento, el RGPD se aplica a:

• Cualquier tratamiento automatizado (total o parcialmente) de datos personales.

• Tratamientos no automatizados de datos personales que estén o vayan a estar

organizados en un fichero. Es decir, organizados de acuerdo con algún criterio

específico.

El Reglamento no se aplica:

• En el tratamiento de datos personales de personas fallecidas o jurídicas.

• A datos personales tratados por una persona con fines exclusivamente personales o

domésticos.

• Al tratamiento de datos realizado por las autoridades competentes para investigar,

detectar o prevenir delitos e infracciones, o para el mantenimiento de la seguridad.

Según lo anterior, el Reglamento no se aplicará a las personas jurídicas (instituciones, organizaciones, sociedades…), pero sí a las personas físicas que estén integradas en ellas.

Ámbito territorial

En cuanto al ámbito territorial, será irrelevante que el tratamiento de datos personales se

RGPD Introducción, definiciones y conceptos básicos 8

realice o no dentro de la UE dado que se aplicará:

• Al tratamiento de datos derivado de una actividad estable en la UE (aunque en

tratamiento en sí se realice fuera de la UE).

• Al tratamiento de datos personales de residentes en la UE por parte de un responsable

o encargado no establecido en la UE. Para este caso, el Reglamento contempla tres

situaciones de aplicación:

Oferta de bienes o servicios a personas de la UE, ya sean de pago o no.

¿Cómo valorar si la oferta está destinada a personas de la UE? El Reglamento indica los siguientes elementos a tener en cuenta:

- Uso de una lengua o moneda utilizada en uno o varios de los

estados miembros de la Unión.

- Posibilidad de encargar bienes o servicios en la lengua del

estado miembro.

- Se hace mención a clientes o usuarios que son residentes en

la UE.

Control del comportamiento de personas en la UE, siempre que este control se realice en la UE

¿Cómo valorar este control de comportamiento? El Reglamento indica que se deberá tener en cuenta:

- Si los interesados de la UE son objeto de seguimiento en

Internet.

- El potencial uso de los datos obtenidos con este control para

elaborar perfiles para tomar decisiones sobre la persona,

analizar o predecir sus preferencias, comportamientos o

actitudes.

Tratamiento realizado por un responsable en un lugar fuera de la UE en el que se aplique el derecho de alguno de los estados miembros debido

al Derecho internacional público.

Este caso se daría, por ejemplo, en el tratamiento de datos realizado en una oficina consular de un miembro de la UE. Dicha oficina estará fuera del territorio de la Unión Europea, pero en ella se aplicará la legislación del estado al que pertenece, tal y como establece el Derecho internacional.

RGPD Introducción, definiciones y conceptos básicos 9

Según lo expuesto, queda claro que el RGPD se aplicará a toda empresa extranjera que trate datos como consecuencia de una actividad orientada deliberadamente a personas ubicadas en la UE, tenga o no esta empresa sus medios (equipos, medios técnicos) en la UE. Para estos casos, como veremos más adelante, será necesario que la empresa extranjera designe un representante en la Unión Europea que atienda las cuestiones relacionadas con la protección de los datos personales de los europeos realizadas por los interesados o por autoridades de control.

Ejemplo

Se aplica el Reglamento:

• Una empresa establecida en la Unión Europea ofrece servicios a clientes en Estados

Unidos y, como parte de esta actividad, trata datos de personas físicas.

No se aplica el Reglamento:

• Una persona utiliza su propia agenda de contactos para invitar a sus amigos a una fiesta

que piensa celebrar.

1.3. Definiciones

A la hora de abordar el estudio del RGPD conviene definir algunos conceptos con los que trabajaremos a lo largo del curso. Veremos a continuación algunas definiciones de términos y figuras incluidos en el RGPD.

1.3.1. Datos personales Los datos personales son cualquier información relativa a una persona física viva e identificable. Aquí podemos añadir otra definición, pues el Reglamento identifica a la persona física viva identificable como “el interesado”. También se consideran datos personales:

• Cualquier información que pueda llevar a identificar a una persona física viva.

• Datos personales anonimizados, cifrados o presentadas con seudónimo que permitan

volver a identificar al interesado.

Si los datos personales se han anonimizado de forma que no es posible recuperar la identidad de la persona, entonces dejarán de considerarse datos personales. En cualquier caso, para que los datos sean considerados realmente anónimos, el proceso de anonimización deberá ser irreversible.

RGPD Introducción, definiciones y conceptos básicos 10

¿Y cómo se identifica a una persona según el RGPD?

• A través de datos sobre elementos propios de identidad física, fisiológica, psíquica,

cultural, social o genética.

• O mediante identificadores como el nombre, número de identificación, datos de

localización o un identificador de usuario…

Existiría en el RGPD una categoría intermedia entre los datos personales y los datos anonimizados: la seudonimización. La seudonimización consiste en tratar los datos personales de forma que las personas no pueden ser identificadas sin utilizar información adicional, siempre que esta información adicional se mantenga por separado y con los medios necesarios para evitar que los datos puedan atribuirse a los interesados.

Ejemplo

Son datos personales:

• Domicilio

• Número del documento nacional de identidad

• Una dirección de email de tipo nombre.apellidos@empresa.es

No son datos personales:

• Datos anonimizados

• Número de registro mercantil

• Una dirección de email de tipo contacto@empresa.es

Categorías especiales de datos personales: Datos personales sensibles

El RGPD distingue una clase especial de datos personales que, por su naturaleza especialmente sensible, requieren una mayor protección. Son los llamados datos personales sensibles. Estos datos serán aquellos que incluyan información sobre la salud, raza, orientación sexual, religión, creencias políticas, la afiliación sindical de las personas, datos genéticos o biométricos. Esta categoría especial de datos sería la que denominábamos datos personales especialmente protegidos en nuestra LOPD. Estos datos sólo se podrán tratar bajo determinadas condiciones y siempre bajo garantías de protección adicionales. En relación con los datos sensibles, el RGPD precisa dos definiciones adicionales:

Debemos tener presente que los datos seudonimizados siguen siendo considerados datos personales en el RGPD, dado que no son datos anonimizados

de manera irreversible (será posible identificar a los interesados mediante información adicional).

RGPD Introducción, definiciones y conceptos básicos 11

• Datos genéticos: Son aquellos datos relativos a características genéticas propias o

heredadas que puedan proporcionar información única sobre la fisiología o la salud de

una persona física, obtenidos particularmente a partir de una muestra biológica de la

persona.

• Datos biométricos: Son aquellos datos que se obtienen a partir de un tratamiento

técnico específico de características físicas, fisiológicas o conductuales de una persona

física, y que permitan la identificación única de la persona.

1.3.2. Tratamiento de datos personales Según el RGDP, el tratamiento de datos personales lo constituye toda operación o conjunto de operaciones realizada sobre datos personales, ya sea de forma automatizada o no. Dichas operaciones incluyen la obtención, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción de datos personales.

Es decir, cualquier recogida, almacenamiento, modificación, difusión o acceso a datos implica un tratamiento de los mismos.

Ejemplos de tratamiento:

• Consulta de un fichero de clientes que contiene datos personales.

• Publicación de la foto de una persona en una página web.

• Triturado de documentos que contienen datos personales.

• Grabación de vídeo mediante CCTV.

1.3.3. Consentimiento de interesado El concepto de consentimiento es, probablemente, uno de los más importantes en lo relativo al

RGPD Introducción, definiciones y conceptos básicos 12

tratamiento de datos personales. Es, como veremos más adelante, uno de los principios que legitiman en tratamiento. En el Reglamento europeo, además, encontramos novedades en su definición con respecto a la LOPD. Según el RGPD, el consentimiento del interesado será toda manifestación libre, específica, informada e inequívoca mediante la cual el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, que se traten sus datos personales.

• El consentimiento es libre porque se da libremente.

• El consentimiento es específico porque se deberá solicitar para cada una de las

finalidades del tratamiento.

• El consentimiento es informado porque se comunicará al interesado la finalidad, el

responsable del tratamiento, la forma en que se tratarán los datos y los derechos que

lo asisten.

• El consentimiento es inequívoco porque el interesado sabrá sin lugar a dudas qué está

consintiendo.

La principal novedad en el consentimiento, respecto a lo establecido en la LOPD, es que deja de admitirse que el interesado dé su consentimiento de forma tácita o por omisión (presentando al interesado una casilla para consentir el tratamiento ya marcada, por ejemplo). En el RGPD el consentimiento debe ser dado mediante una clara acción afirmativa por parte del interesado.

1.3.4. Responsable del tratamiento El responsable del tratamiento será la persona (física, jurídica, autoridad, organismo…) que decida sobre el tratamiento de datos personales, determinando la finalidad y medios para el tratamiento.

Bajo esta definición tan amplia, lo que se dice en definitiva, es que el responsable será quien decida todos los aspectos del tratamiento de los datos: qué se va a hacer con ellos, durante

RGPD Introducción, definiciones y conceptos básicos 13

cuánto tiempo se conservarán, si se cederán a terceros, cómo podrán ejercer sus derechos los interesados… El Reglamento contempla la posibilidad de que exista más de un responsable, siempre que tomen conjuntamente las decisiones que hemos mencionado. Son los corresponsables del tratamiento.

1.3.5. Encargado del tratamiento El encargado del tratamiento será la persona (física, jurídica, autoridad, organismo…) que trate datos por cuenta del responsable del tratamiento. Los responsables serán, pues, quienes designarán encargados del tratamiento si así lo necesitan.

Hay que destacar que el Reglamento exige que el responsable designe a un encargado “que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados”. Es decir, el encargado del tratamiento deberá estar cualificado, debiendo reunir conocimientos especializados, fiabilidad y recursos necesarios para llevar a cabo las tareas necesarias para un tratamiento de datos que cumpla los requisitos del RGPD.

Profundizaremos más, en siguientes temas, sobre las funciones y responsabilidades de los responsables y los encargados.

1.3.6. Autoridades de protección de datos (APD) Las autoridades de protección de datos (APD o autoridades de control) son entidades públicas e independientes que supervisan la aplicación de la normativa sobre protección de datos. Además, ofrecen asesoramiento sobre cualquier cuestión relativa a la protección de datos

El encargado del tratamiento siempre actuará bajo la autoridad del responsable del tratamiento.

RGPD Introducción, definiciones y conceptos básicos 14

personales y tramitan las reclamaciones por violaciones del RGPD o de las legislaciones nacionales relacionadas con la protección de datos personales. EL RGPD hace mucho hincapié en el carácter totalmente independiente de las funciones en el ejercicio de los poderes de las APD. Del mismo modo, sus integrantes no podrán ser influidos externamente ni realizar actividades que sean incompatibles con su cometido. Las autoridades de protección tendrán poder, entre otras cosas, para requerir cualquier información pertinente a los responsables o encargados del tratamiento, realizar auditorías de protección de datos, notificar infracciones a los responsables o encargados, aplicar sanciones, limitar o detener un tratamiento de datos, ordenar a los responsables o encargados que las operaciones de tratamiento de datos se ajusten al Reglamento… El Reglamento les otorga, resumiendo, poderes de investigación, correctivos, de autorización y consultivos. Existe una autoridad en cada estado de la Unión Europea (aunque puede haber más), por lo que, generalmente, nos dirigiremos a la APD correspondiente en nuestro país. No obstante, si somos una empresa u organización con sede en varios estados de la UE, podremos dirigirnos a la autoridad de cualquiera de los estados. En el caso de España, la autoridad de control principal es la Agencia Española de Protección de Datos (AEPD). Aunque en principio son competentes dentro de su país, las distintas APD podrán y deberán colaborar mutuamente e incluso podrán emprender acciones conjuntas si lo necesitan. Para asegurar la coherencia en las actuaciones de las APD se ha creado un Comité europeo de protección de datos, en el que participan los directores de todas las APD nacionales.

1.3.7. Delegado de protección de datos (DPD) El delegado de protección de datos de una organización será el responsable de supervisar el cumplimiento del RGPD en dicha organización.

RGPD Introducción, definiciones y conceptos básicos 15

Será obligatorio que el responsable del tratamiento designe un DPD:

• Si se trata de un organismo público (excepto los tribunales en el ejercicio de su función

judicial).

• Si, dentro de la actividad principal de la organización, se tratan habitualmente datos

pertenecientes a categorías especiales, a gran escala.

• Si, dentro de la actividad principal de la organización, se observan habitual y

sistemáticamente a personas, a gran escala.

El DPD podrá pertenecer a la empresa/organismo, o bien ser contratado externamente. Además, si se considera oportuno, se podrá designar un DPD aunque no se esté obligado a ello.

Ejemplo DPD obligatorio:

• Una empresa de seguridad que realiza tareas de vigilancia en centros comerciales y

espacios públicos.

Ejemplo DPD no obligatorio:

• Una pequeña empresa que trata los datos personales de sus clientes.

Cuando una organización nombre un DPD, deberá hacer públicos sus datos de contacto y comunicarlos a la APD correspondiente.