1. ¿Qué es la protección de datos? (definición y normativa que la regula)
La protección de datos personales es el conjunto de técnicas jurídicas e informáticas encaminadas a garantizar los derechos de las personas sobre el control de su información personal y sobre la confidencialidad, integridad y disponibilidad de esta.
El desarrollo normativo del derecho fundamental a controlar nuestros datos personales se establece en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que adecúa la normativa de protección de datos española al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
2. ¿Qué es un dato de carácter personal?
Es cualquier información que identifique o permita identificar a una persona física (nombre y apellidos, DNI, NIF, número de afiliación a la Seguridad Social, teléfono, domicilio, imágenes de videocámaras...).
3. ¿Cuáles son los principios relativos al tratamiento de datos?
Estos principios se encuentran recogidos en el artículo 5 del RGPD y supone que los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»). Además, el responsable del tratamiento será responsable del cumplimiento de estos principios y deberá ser capaz de demostrarlo («responsabilidad proactiva»).
4. ¿Cuáles son las bases de legitimación para el tratamiento de datos?
El RGPD mantiene el principio de que todo tratamiento de datos necesita apoyarse en una base que lo legitime. Las bases de legitimación son:
a) Consentimiento.
b) Relación contractual.
c) Intereses vitales del interesado o de otras personas.
d) Cumplimiento de una obligación legal para el responsable.
e) Interés público o ejercicio de poderes públicos.
f) Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
Por otra parte, aunque no está expuesto de forma explícita, se deben documentar e identificar claramente la legitimación sobre la que se fundamentan los tratamientos.
Por ejemplo: hay que incluir la base legal sobre la que se desarrolla el tratamiento al proporcionar la información en el momento de recoger los datos de los interesados, así como especificar y documentar los intereses legítimos en que se fundamentan las operaciones de tratamiento en casos como las Evaluaciones de Impacto sobre la Protección de Datos o en determinadas transferencias internacionales.
Asimismo, la identificación de la base legal es indispensable para estar en condiciones de demostrar que se cumple con las previsiones del RGPD. Esta identificación y la correspondiente documentación deben adaptarse al tipo de tratamiento y a las características de las organizaciones.
5. ¿Cómo debe solicitarse el consentimiento de los interesados para tratar sus datos personales?
El RGPD requiere que el consentimiento sea "inequívoco", lo que supone que se preste mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que permitía la normativa española de protección de datos. Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de internet. El consentimiento en el marco del RGPD se caracteriza por lo siguiente:
- Puede ser para uno o varios fines.
- Debe ser prestado de forma libre.
- Revocable.
- El responsable debe poder probar en todo momento que ha obtenido el consentimiento.
- Utilizar un lenguaje claro y sencillo.
Por otra parte, también debe ser tenido en cuenta lo siguiente:
- Si se usa para obtenerlo una declaración escrita, debe quedar claramente diferenciada la parte referente a protección de datos del resto de declaraciones.
- Si se recaba el consentimiento para varias finalidades: Sería posible agruparlas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros), pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo tratamiento por quien recaba los datos y cesión a terceros).
Asimismo, existen supuestos en que además de inequívoco, el consentimiento ha de ser explícito:
- Tratamiento de datos sensibles
- Adopción de decisiones automatizadas
- Transferencias internacionales
6. ¿Qué ocurre con los consentimientos tácitos obtenidos con anterioridad a la entrada en vigor del Reglamento General de Protección de Datos?
Con el RGPD desaparecen los consentimientos tácitos, lo que supone que este tipo de consentimientos no son acordes con la nueva norma. De esta forma, desde la aplicación del RGPD (25 de mayo de 2018), estos consentimientos deberán adaptarse a los requisitos establecidos por el mismo, de manera que debe encontrarse otra forma de legitimación para estos tratamientos:
- Mediante una nueva solicitud de consentimiento acorde con el RGPD.
- Mediante la aplicación de algún otro supuesto de legitimación, como podría ser la regla del interés legítimo que tendría que ponderarse (Para determinar si es posible aplicar esta regla del interés legítimo, habrá de atenderse a las circunstancias de cada tratamiento concreto y, en particular, el origen de los datos, el alcance de la información tratada o la finalidad perseguida, no siendo posible fijar una respuesta única).
En todo caso, si se opta por una base legal distinta del consentimiento será preciso informar a los interesados, entendiendo que, además, les corresponden todos los derechos y garantías propios de la base jurídica elegida, como podría ser el derecho de oposición.
7. ¿Qué actuaciones debe realizar la Confederación Hidrográfica del Júcar, O.A. para adecuarse al Reglamento General de Protección de Datos?
La AEPD ha publicado dos documentos, uno dirigido al sector privado y otro a las Administraciones públicas, reflejando las actuaciones u "hoja de ruta" que se debe llevar a cabo para que los tratamientos sean conformes al RGPD. Estas actuaciones serían las siguientes:
- Designar al delegado de protección de datos si es obligatorio o si se asume voluntariamente.
- Elaborar el registro de actividades de tratamiento.
- Analizar las bases jurídicas de los tratamientos.
- Efectuar un análisis de riesgos.
- Revisar las medidas de seguridad en función del análisis de riesgos realizado.
- Establecer mecanismos y procedimientos de gestión de quiebras de seguridad.
- Llevar a cabo, cuando sea necesario, una evaluación de impacto de la protección de datos.
- Adecuar los formularios de recogida de datos personales al contenido del derecho a la información del RGPD.
- Adaptar los procedimientos para atender a los derechos de los afectados en relación al tratamiento de sus datos personales.
- Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD.
- Adoptar los contratos con encargados de tratamiento al contenido que dispone el RGPD.
- Confeccionar e implantar políticas de protección de datos.
8. ¿Qué es el registro de actividades de tratamiento?
Los responsables y encargados del tratamiento de datos personales deberán mantener un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro deberá contener la información que recoge al respecto el artículo 30 del RGPD y que es la siguiente:
Respecto a los responsables:
a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos personales;
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.
Respecto a los encargados:
a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
b) las categorías de tratamientos efectuados por cuenta de cada responsable;
c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.
Por otra parte, están exentas de configurar este registro de actividades las organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.
No obstante, hay que indicar que estas excepciones se aplican en casos muy limitados, puesto que en la práctica todos los tratamientos pueden suponer un riesgo para los derechos y libertades de los interesados, aunque sea ocasional, lo que viene a implicar que en la práctica, que la mayoría de los responsables o encargados del tratamiento que empleen a menos de 250 trabajadoras estarán obligadas a llevar un registro de actividades de tratamiento.
Por último, para organizar este registro de actividades de tratamiento se puede:
-Partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.
-Configurarlo en torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas (por ejemplo, "gestión de clientes", "gestión contable" o "gestión de recursos humanos y nóminas") o con arreglo a otros criterios distintos.
9. ¿Qué obligaciones específicas contiene el Reglamento General de Protección de Datos para los encargados de tratamiento?
En determinadas materias los encargados tienen obligaciones propias que establece el RGPD, que no se circunscriben al ámbito del contrato que los une al responsable, y que pueden ser supervisadas separadamente por las autoridades de protección de datos. Estas obligaciones son:
- Mantener un registro de actividades de tratamiento.
- Determinar las medidas de seguridad aplicables a los tratamientos que realizan.
- Designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.
Los encargados pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación previstos por el RGPD.
Los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados.
10. ¿Qué es un delegado de protección de datos y qué funciones tiene atribuidas?
Esta figura constituye uno de los elementos claves del RGPD, siendo un garante del cumplimiento de la normativa de protección de datos en las organizaciones.
El Delegado de Protección de Datos (DPD), debe nombrarse atendiendo a sus cualidades profesionales y en particular debe contar con conocimientos especializados del Derecho y práctica en protección de datos, no se le exige ningún tipo de titulación y tampoco tiene que estar certificado.
Actúa de forma independiente y entre las funciones que se le atribuyen están las de informar y asesorar al responsable o encargado del tratamiento además de supervisar que cumplen con el RGPD. No obstante, el detalle de todas sus funciones está incluido en el artículo 39 del RGPD. Además conviene precisar que el DPD puede ser personal interno o externo, persona física o persona jurídica.
Las funciones del Delegado de Protección de Datos se encuentran especificadas en el artículo 39 del RGPD, siendo las siguientes:
-Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento, de las obligaciones del RPGD y demás normativa aplicable en protección de datos.
-Supervisar el cumplimiento del RGPD y demás normativa aplicable en protección de datos, y de las políticas del responsable o encargado del tratamiento en dicha materia, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en operaciones de tratamiento, y las auditorías correspondientes.
-Ofrecer el asesoramiento que se solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación conforme al artículo 35 del RGPD.
-Cooperar con la autoridad de control. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa del artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.
11. ¿Qué derechos reconoce el RPGD a los afectados?
Además del derecho de información, el RGPD permite que los afectados puedan ejercitar los derechos de acceso, rectificación, supresión ("derecho al olvido"), oposición, portabilidad, limitación del tratamiento, y derecho de oposición a las decisiones automatizadas (incluyendo la elaboración de perfiles).
Estos derechos se ejercitarán ante el responsable del tratamiento. También es posible ejercitarlos en los casos de que existiese un encargado de tratamiento ante éste, siempre y cuando el responsable y dicho encargado así lo hubiesen convenido.
12. ¿Qué es el derecho de acceso?
El afectado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen.
Si se estuviesen tratando sus datos personales, tiene derecho a que el responsable le facilite lo siguiente:
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
i) cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.
Además, el responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento, sin afectar negativamente a los derechos y libertades de otros.
Por otra parte, el responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos.
Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
13. ¿Qué el derecho de rectificación?
Mediante el ejercicio de este derecho, el afectado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan.
Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
14. ¿Qué es el derecho de supresión ("derecho al olvido")?
Es el derecho del afectado a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;
c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;
d) los datos personales hayan sido tratados ilícitamente;
e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.
Asimismo, cuando se hayan hecho públicos los datos personales y conforme a los supuestos descritos anteriormente proceda la supresión, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.
No obstante, lo anterior, no se aplicará la supresión cuando el tratamiento sea necesario:
a) para ejercer el derecho a la libertad de expresión e información;
b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;
d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento,
e) para la formulación, el ejercicio o la defensa de reclamaciones.
15. ¿Qué es el derecho a la limitación del tratamiento de datos?
Este derecho se configura en una doble vertiente. En primer lugar, cuando se ejercitan los derechos de rectificación u oposición, supone una "suspensión cautelar del tratamiento de los datos". De esta forma, si el afectado ha impugnado la exactitud de los datos, durante el plazo que permita al responsable verificar la exactitud de los mismos, se limita el tratamiento de dichos datos. Igualmente se produce esta limitación, cuando el interesado se haya opuesto en virtud del artículo 21.1 del RGPD, mientras se verifican si los motivos legítimos del responsable prevalecen sobre los del afectado.
En segundo lugar, este derecho de limitación se aplicará en los siguientes supuestos:
- Cuando el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
- Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el afectado los necesite para la formulación, el ejercicio o defensa de reclamaciones
16. ¿Qué es el derecho a la portabilidad de los datos?
Es el derecho del afectado a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.
En este sentido, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
No obstante, este derecho se aplicará cuando:
a) el tratamiento esté basado en el consentimiento o en la ejecución de un contrato.
b) el tratamiento se efectúe por medios automatizados.
17. ¿A qué tipo de datos personales afecta el derecho de portabilidad?
Este derecho incluye los datos facilitados por el afectado cuando han sido «facilitados por» el afectado de manera consciente y activa, por ejemplo, datos de una cuenta (como dirección postal, nombre de usuario, edad) enviados a través de formularios en línea, pero también cuando se generan y recopilan a partir de actividades de los usuarios, mediante el uso del servicio o del dispositivo.
Por el contrario, los datos personales que se obtienen o deducen de los datos facilitados por el afectado, como un perfil de usuario creado por el análisis de datos en bruto por un sistema de medición inteligente, quedan excluidos del ámbito de aplicación del derecho a la portabilidad de los datos, ya que no han sido facilitados por el interesado, sino creados por el responsable del tratamiento.
Asimismo, el ejercicio de este nuevo derecho no debería afectar negativamente a los derechos y libertades de terceros. Por ejemplo, si el conjunto de datos transferido a petición del interesado contiene datos personales relativos a otras personas, el nuevo responsable del tratamiento debe tratarlos únicamente si existe un fundamento jurídico adecuado para ello. Normalmente, el tratamiento de datos bajo el control único del afectado, como parte de actividades puramente personales o domésticas, se considerará adecuado.
18. ¿Cómo puedo interponer una reclamación si han vulnerado mis datos de carácter personal?
Si dispone de pruebas o indicios que acrediten la vulneración de su derecho a la protección de datos, puede presentar una reclamación a través de nuestra sede electrónica, en el siguiente enlace:
https://sedeagpd.gob.es/sede-electronica-web/vistas/formNuevaReclamacion/solicitudReclamacion.jsf
Alternativamente, puede remitir un escrito de reclamación a través de las oficinas de asistencia en materia de registro de las Administraciones públicas, en las oficinas de Correos o en las representaciones diplomáticas u oficinas consulares de España, si se encuentra en el extranjero. En el siguiente enlace puede localizar su oficina más cercana: https://administracion.gob.es/pagFront/atencionCiudadana/oficinas/encuentraOficina.htm
Dicho escrito deberá contener:
Igualmente, las reclamaciones deberán expresar la identificación de los presuntos responsables y acompañar los documentos o cualquier otro tipo de prueba o indicio que permita corroborar los hechos objeto de reclamación.
Enlace a la página de preguntas frecuentes de la Agencia Española de Protección de Datos.
https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/preguntasFrecuentes.jsf