von Alvaro Ramirez Vor 1 Jahr
87
Mehr dazu
La Evaluación de Impacto de Protección de Datos (EIPD) es un proceso que tiene como objetivo evaluar y minimizar los riesgos para la privacidad y los derechos de los interesados que puedan surgir como resultado de un tratamiento de datos personales. Este proceso se utiliza para identificar, evaluar y abordar los riesgos de manera proactiva antes de que se lleve a cabo el tratamiento de los datos.
La EIPD es una herramienta clave en la implementación del Reglamento General de Protección de Datos (RGPD), ya que establece que la EIPD debe llevarse a cabo siempre que se realice un tratamiento de datos que pueda suponer un alto riesgo para los derechos y libertades de los interesados. Este alto riesgo puede ser causado por el tipo de datos que se tratan, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como por los riesgos que plantea el tratamiento para los derechos y libertades de los interesados.
La EIPD es un proceso que implica una evaluación detallada de los riesgos para la privacidad y los derechos de los interesados. Esta evaluación incluye la identificación de los riesgos, la evaluación de su probabilidad e impacto, la identificación de medidas de mitigación de riesgos y la documentación de los resultados de la evaluación. La EIPD debe ser llevada a cabo por el responsable del tratamiento de datos y, en algunos casos, por un delegado de protección de datos.
La EIPD es una herramienta importante para garantizar la privacidad y protección de datos personales y es un requisito clave para el cumplimiento del RGPD. La AEPD puede supervisar la realización de la EIPD y sancionar a las organizaciones que no cumplan con este requisito.
Las Autoridades de Control son las entidades encargadas de supervisar y hacer cumplir el Reglamento General de Protección de Datos (RGPD) en cada Estado miembro de la Unión Europea. Su función principal es garantizar que las organizaciones que tratan datos personales cumplen con las obligaciones establecidas en el RGPD y en las leyes nacionales de protección de datos.
Entre las funciones de las Autoridades de Control se incluyen:
Las Autoridades de Control también juegan un papel importante en la cooperación y coordinación entre las autoridades de protección de datos de diferentes Estados miembros y de la Autoridad Europea de Protección de Datos (EDPB, por sus siglas en inglés). Esto es especialmente importante en el contexto de las transferencias internacionales de datos, ya que las Autoridades de Control pueden trabajar juntas para garantizar que las transferencias cumplan con las normas de protección de datos y para abordar cualquier violación que pueda surgir.
El RGPD establece que ciertas organizaciones, como aquellas que realizan un tratamiento regular y sistemático de datos personales a gran escala, deben nombrar un DPD. El DPD debe ser una persona independiente y experta en protección de datos personales, que tenga los conocimientos necesarios para garantizar el cumplimiento de las normativas de protección de datos y que tenga acceso a todos los datos y recursos necesarios para llevar a cabo su trabajo.
Las responsabilidades del DPD pueden incluir:
Es importante destacar que, aunque el RGPD exige que ciertas organizaciones deben nombrar un DPD, cualquier organización puede nombrar un DPD voluntariamente como una medida de buenas prácticas y para mejorar su cumplimiento normativo.
Derecho de acceso: el interesado tiene derecho a obtener del responsable del
tratamiento confirmación de si se están tratando o no datos personales que le
conciernen, y a acceder a los mismos con toda la información a que tiene derecho
cualquier interesado cuando se le pide consentimiento.
Derecho de rectificación: el interesado tiene derecho a la rectificación de los datos que le conciernan que sean inexactos.
Derecho de supresión ("el derecho al olvido"): el interesado tiene derecho a la
supresión de sus datos si son inexactos, a que se dejen de tratar si no son necesarios para los fines para los que se recogieron y a retirar el consentimiento si se han
tratado ilícitamente. No se suprimirán si es necesario para el ejercicio del derecho a la libertad de expresión e información, para el cumplimiento de una obligación legal,
por razones de interés publico o en el ejercicio o defensa de reclamaciones.
Derecho a la limitación del tratamiento.
Derecho a la portabilidad de los datos: el interesado tiene derecho a recibir los datos personales facilitados al responsable en un formato estructurado, de uso común
y lectura mecánica, ya transmitirlo a otro responsable.
Derecho de oposición.
Afectado o interesado:
Persona física titular de los datos objeto de tratamiento o
tutela del menor.
Responsable del tratamiento:
Persona física o jurídica, autoridad publica, servicio u
otro organismo que, solo o junto con otros, determine los fines y medios del trata
miento.
Encargado del tratamiento:
Persona física o jurídica, autoridad pública, servicio u
otro organismo que trate datos personales por cuenta del responsable del tratamiento. Esta relación debe materializarse mediante un contrato que describa qué datos
se tratan, durante cuánto tiempo, su finalidad y tipo de datos personales.
Principio de responsabilidad proactiva
Este principio supone una novedad frente a la regulación anterior e influirá en toda la normativa de protección de datos, dominando sobre el resto de principios. En su virtud, el responsable del tratamiento no lo es solo del cumplimiento de todos los principios, sino que deberá ser capaz de demostrarlo.
Ya no existe un tipo de medidas para cada tipo de tratamiento; ahora, el responsable del tratamiento
debe asegurarse de que las medidas que adopta son las adecuadas para cumplir
con el RGPD y poder demostrarlo con una actitud consciente, diligente y proactiva.
Principio de integridad y confidencialidad
Los datos personales han de tratarse garantizando su seguridad mediante medidas técnicas u organizativas apropiadas. Ello incluye la protección ante accesos
no autorizados o ilícitos, destrucción, pérdida y daño accidental.
Principio de licitud
El tratamiento ha de hacerse de conformidad a la ley, y el responsable del tratamiento ha de estar legitimado para el mismo.
Principio de lealtad
Los fines específicos del tratamiento deben ser explícitos y legítimos, determinándose en el momento de la recogida del consentimiento, así como se debe
informar al interesado de la existencia de la elaboración de perfiles y de las con
secuencias de dicha elaboración.
Principio de transparencia
El responsable del tratamiento ha de facilitar el conocimiento de la existencia del
fichero o tratamiento de datos; de su finalidad; de la obligatoriedad de facilitar
datos a terceros y a quién; de la intención del responsable de transferir datos
personales a un tercer país u organización internacional;
de la voluntad de facilitar
datos a terceros y a quién y con qué fin;
de las consecuencias de la negativa al
consentimiento; de los derechos de los interesados y cómo y dónde ejercerlos; de
la identidad del responsable del tratamiento, y de cómo ponerse en contacto con
el responsable o el delegado de protección de datos, en su caso.
Principio de minimización de datos
Los datos tratados han de circunscribirse a solo lo estrictamente necesario para
su fin legitimo.
Principio de exactitud
Los datos tratados han de ser veraces, exactos y actualizados.
Principio de limitación de plazo de conservación
Ningún dato puede tratarse en el tiempo de forma indeterminada e indefinida.
Principio de limitación de la finalidad
Los datos solo se podrán conservar durante el tiempo necesario para los fines de su tratamiento. El responsable debe establecer plazos específicos para su supresión o revisión periódica.
El objetivo principal del RGPD es fortalecer y unificar la protección de los datos personales en toda la Unión Europea, garantizando el derecho fundamental a la protección de la privacidad de los ciudadanos europeos. El RGPD establece nuevas obligaciones para las empresas, organizaciones y gobiernos que procesan datos personales, como obtener el consentimiento explícito de los titulares de los datos, notificar a las autoridades de protección de datos en caso de violaciones de seguridad, garantizar la portabilidad de los datos personales y la eliminación de los datos cuando ya no sean necesarios.
Según el Reglamento General de Protección de Datos (RGPD), las organizaciones que procesan datos personales están obligadas a notificar a la autoridad de control competente en materia de protección de datos, y en algunos casos, también a los interesados, en caso de una violación de seguridad de datos personales. Esta obligación se aplica a todas las organizaciones que procesan datos personales, ya sean empresas, organismos gubernamentales, organizaciones sin fines de lucro, entre otros.
Una violación de seguridad de datos personales es cualquier violación de la seguridad que resulte en la destrucción, pérdida, alteración no autorizada, divulgación o acceso no autorizado a datos personales. La notificación de una violación de seguridad de datos personales debe ser realizada sin demora indebida y, en cualquier caso, en un plazo máximo de 72 horas después de que la organización tenga conocimiento de la violación.
La notificación a la autoridad de control debe incluir información detallada sobre la naturaleza de la violación, el número y categorías de interesados afectados, las posibles consecuencias de la violación y las medidas tomadas por la organización para abordar la violación y mitigar cualquier impacto negativo.
La Agencia Española de Protección de Datos (AEPD) es la autoridad de control española en materia de protección de datos personales. Es una entidad pública independiente que se encarga de supervisar y hacer cumplir la normativa española y europea de protección de datos.
Las funciones de la AEPD incluyen:
Además, la AEPD también tiene la responsabilidad de promover la conciencia pública sobre la importancia de la protección de datos personales y la privacidad.
La AEPD es una de las Autoridades de Control de protección de datos más activas de Europa y ha llevado a cabo importantes investigaciones y sanciones contra organizaciones que han incumplido las normativas de protección de datos. La AEPD también trabaja en estrecha colaboración con otras Autoridades de Control de protección de datos europeas y con la Autoridad Europea de Protección de Datos (EDPB) para garantizar una aplicación coherente y efectiva de las normativas de protección de datos en toda la Unión Europea.
Las transferencias internacionales de datos se refieren al movimiento de datos personales fuera del Espacio Económico Europeo (EEE) a países o territorios que no ofrecen un nivel adecuado de protección de datos.
El RGPD establece que las transferencias internacionales de datos personales solo pueden realizarse si se cumplen ciertas condiciones.
Entre las condiciones se incluyen:
Es importante destacar que la transferencia de datos personales a países que no ofrecen un nivel adecuado de protección de datos puede exponer a los interesados a un mayor riesgo de violaciones de seguridad y de privacidad. Por lo tanto, es fundamental que los responsables del tratamiento y los encargados del tratamiento realicen evaluaciones de riesgos adecuadas y tomen medidas apropiadas para proteger los datos personales durante las transferencias internacionales.
Derecho a la neutralidad de internet: obligatoriedad de los proveedores de servicios
de internet de proporcionar una oferta transparente de servicios sin discriminación
por motivos técnicos o económicos.
Derecho de acceso universal a internet: todos los ciudadanos tienen derecho a
acceder a internet, independientemente de su condición personal, social, económica
o geográfica, garantizando un acceso universal, asequible, de calidad y no discriminatorio.
Derecho a la seguridad digital: segundad de las comunicaciones que transmitan y
reciban a través de internet.
Derecho a la educación digital: ha de garantizarlo el sistema educativo de forma
segura y respetuosa con la dignidad humana, con los valores constitucionales, con
los derechos fundamentales y, particularmente, con el respeto y la garantía de la
intimidad personal y familiar y la protección de datos personales. Estas actuaciones
deben tener un carácter inclusivo.
Protección de los menores en internet: se ha de procurar que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información, a fin de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales. La utilización
o difusión de imágenes o información personal de menores en las redes sociales y servicios de la sociedad de la información equivalentes que puedan implicar una
intromisión ilegitima en sus derechos fundamentales determinara la intervención del
Ministerio Fiscal, instando medidas cautelares y de protección.
Derecho de rectificación en internet: todos los ciudadanos tienen derecho a la
libertad de expresión en internet. Los responsables de redes sociales y servicios equivalentes han de adoptar protocolos adecuados para posibilitar el ejercicio del derecho de rectificación ante los usuarios que difundan contenidos que atenten contra el derecho al honor, la intimidad personal y familiar en internet, y el derecho a
comunicar o recibir libremente información veraz. En caso de atender la solicitud de
rectificación, deberán proceder a la publicación en sus archivos digitales de un aviso
aclaratorio que ponga de manifiesto que la noticia original no refleja la situación
actual del individuo que aparezca en lugar visible junto con la información original.
Derecho a la actualización de informaciones en medios de comunicación digitales:
en caso de no reflejar una información la situación actual del solicitante, causándole
un perjuicio, puede reclamar la inclusión de un aviso de actualización.
Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral:
los en el uso de dispositivos digitales puestos a su disposición por su empleador. siempre que se utilicen conforme a criterios establecidos por este del que deberán
informados.
Derecho a la desconexión digital en el ámbito laboral: es así a fin de garantizar, fuera del tiempo de trabajo legal o convencionales establecido, el respeto de su
tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y
Familiar.
Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo: los empleadores podrán tratar imágenes
obtenidas previa información, de forma expresa, clara y concisa, a los trabajadores
o los empleados públicos. No se admite en lugares destinados al descanso o es
parecimiento, tales como vestuarios, aseos, comedores y análogos. La grabación de sonidos solo es admisible en el lugar de trabajo cuando resulten relevantes los
riesgos para la seguridad de las instalaciones, bienes y personas derivados de la
actividad que se desarrolle en el centro de trabajo, y respetando el principio de proporcionalidad y el de intervención mínima.
Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral: los empleadores podrān tratar los datos obtenidos a través de sistemas
de geolocalización para el ejercicio de las funciones de control de los trabajadores o los empleados públicos siempre que se ejerzan esas funciones dentro del marco
legal. Con carácter previo, el empleador habrá de informar de forma expresa, clara e inequívoca acerca de la existencia y características de estos dispositivos y del
posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento
y supresión.
Protección de datos de los menores en internet: los centros educativos y cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen
menores de edad han de garantizar la protección del interés superior del menor y
Sus derechos fundamentales, especialmente, el derecho a la protección de sus
datos personales, en la publicación o difusión de sus datos personales a través
de servicios de la sociedad de la información. Cuando dicha publicación o difusión
fuera a tener lugar a través de servicios de redes sociales o servicios equivalentes,
deberán contar con el consentimiento del menor o sus representantes legales.
Derecho al olvido en búsquedas en internet:
toda persona tiene derecho a que los motores de búsqueda en internet eliminen los enlaces publicados que contuvieran información relativa a esa persona de las listas de resultados que se obtuvieran tras una búsqueda efectuada a partir de su nombre, si esos enlaces fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información. El ejercicio de este derecho no impedirá el acceso a la información publicada en el sitio web a través de la utilización de otros criterios de búsqueda
distintos del nombre de quien ejerciera el derecho.
Derecho al olvido en servicios de redes sociales y servicios equivalentes:
deben Suprimirse, a simple solicitud, los datos personales que se hubiesen facilitado para
Su publicación por servicios de redes sociales y servicios de la sociedad de la información equivalentes. legalmente, los facilitados por terceros cuando fuesen inadecuados, no pertinentes, no actualizados o excesivos o hubieren devenido como tales
por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron
o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.
No están incluidos los facilitados por personas físicas en el ejercicio de actividades personales o domésticas.
Derecho al testamento digital: las personas vinculadas al fallecido por razón familiar o de hecho, así como sus herederos, pueden dirigirse a los prestadores de
servicios de la sociedad de la información para acceder a sus contenidos e impartir
las instrucciones que estimen oportunas sobre su utilización, destino o supresión,
salvo que así lo hubiera prohibido expresamente el fallecido.
Las categorías especiales de datos, también conocidas como datos sensibles o datos personales sensibles, son una clase de datos personales que se consideran especialmente delicados debido a su naturaleza. Estos datos pueden incluir información relacionada con la salud, la orientación sexual, la afiliación política, la religión, la raza o la etnia, entre otros.
El RGPD define las categorías especiales de datos como cualquier información relacionada con:
Estos datos están sujetos a una mayor protección legal que otros datos personales, y su tratamiento está limitado a ciertas situaciones específicas, como cuando se da el consentimiento explícito del titular de los datos o cuando es necesario para el cumplimiento de obligaciones legales o para fines de investigación científica. Además, el RGPD establece requisitos más estrictos para el tratamiento de estas categorías especiales de datos, incluyendo medidas adicionales de seguridad y la designación de un responsable de protección de datos.
El consentimiento de los interesados es un principio fundamental en la protección de datos personales. Se refiere al derecho de los titulares de los datos a otorgar su consentimiento libre, específico, informado e inequívoco para el tratamiento de sus datos personales por parte de una empresa, organización o gobierno. El consentimiento debe ser otorgado de manera clara y activa, y no puede ser asumido por defecto o mediante la inacción del titular de los datos.
En la práctica, esto significa que las empresas deben explicar de manera clara y sencilla qué datos se van a recopilar, con qué propósito y cómo se van a tratar, y obtener el consentimiento expreso de los titulares de los datos antes de proceder con el tratamiento de los mismos.
Además, el RGPD establece el derecho de los titulares de los datos a revocar su consentimiento en cualquier momento, lo que significa que pueden retirar su autorización para el tratamiento de sus datos personales. Si los titulares de los datos revocan su consentimiento, las empresas deben dejar de procesar los datos de inmediato, a menos que exista otra base legal para el tratamiento de los mismos.
Es importante destacar que el consentimiento es solo una de las bases legales para el tratamiento de los datos personales, y existen otras bases legales que permiten el tratamiento de los datos sin necesidad de obtener el consentimiento de los titulares de los mismos.
Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos
o conjunto de datos, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier
otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o
destrucción.
Datos personales: información sobre una persona física identificada o identificable.
Esta persona física será el interesado.
Elaboración de perfiles: forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular, para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona.
Seudonimización: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha
información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
Destinatario: persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta.
Persona fisica identificada o identificable: persona cuya identidad pueda determinarse, directa o indirectamente, mediante una información alfanumérica (DNI, número de
la Seguridad Social, etc.), gráfica, fotográfica, video, acústica (voz), un identificador (nombre, datos de localización, domicilio, identificador en línea o descripciones físicas), características genéticas, psíquicas, fisiológicas, culturales, ideológicas, etc.
A este respecto, es indiferente la nacionalidad o residencia de la persona.
Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma
funcional o geográfica, o tratado o no de forma automatizada. Los tratamientos de datos personales no automatizados que no estén estructurados con arreglo a criterios específicos no estarán en el ámbito de aplicación del RGPD.