Print bookPrint book

El RGPD

Site: Soteria H2020 awareness training
Course: Formación electrónica para la gestión de datos personales y privacidad
Book: El RGPD
Printed by: Guest user
Date: Monday, 7 April 2025, 6:51 PM

Table of contents

1. Derechos de los interesados (usuarios)

El Reglamento General de Protección de Datos (RGPD) es la legislación de protección de datos que se aplica en la Unión Europea (UE) y regula la protección de los datos personales. El RGPD concede a los interesados varios derechos para mantener el control de su información personal. He aquí un resumen de estos derechos:

  1. Derecho a la información: El RGPD establece que los interesados tienen derecho a recibir información clara y comprensible sobre cómo se procesan sus datos personales.
  2. Derecho de acceso: los interesados tienen derecho a obtener confirmación sobre si se están procesando sus datos personales y, en caso afirmativo, a solicitar el acceso a dichos datos. Las empresas deben proporcionar una copia de los datos que poseen sobre un individuo.
  3. Derecho de rectificación: Si los datos personales son inexactos o incompletos, los interesados tienen derecho a solicitar su rectificación. Esto también incluye el derecho a completar la información que falte.
  4. Derecho de supresión ("derecho al olvido"): En determinadas circunstancias, los interesados pueden tener derecho a solicitar la supresión de sus datos personales. Este es el caso, por ejemplo, si los datos ya no son necesarios para la finalidad original o si el tratamiento es ilícito.
  5. Derecho a restringir el tratamiento: Los interesados tienen derecho a restringir el tratamiento de sus datos personales en determinados casos. Cuando se restringe el tratamiento, los datos sólo pueden almacenarse y tratarse de forma limitada.
  6. Derecho a la portabilidad de los datos: las personas tienen derecho a recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica y a transferir estos datos a otro responsable del tratamiento sin impedimentos por parte del responsable original.
  7. Derecho de oposición: Cuando los datos personales se tratan sobre la base de un interés legítimo, los interesados pueden oponerse a este tratamiento en determinadas circunstancias. En ese caso, es responsabilidad de la empresa demostrar que existen motivos legítimos imperiosos para el tratamiento que prevalecen sobre los intereses, derechos y libertades del interesado.

  8. Derecho a no ser objeto de una toma de decisiones automatizada, incluida la elaboración de perfiles: las personas tienen derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado que produzca efectos jurídicos en ellas o les afecte de forma similar de manera significativa. Esto incluye el derecho a recibir información sobre la lógica implicada en la toma de decisiones automatizada y sus consecuencias.




2. Obligaciones de los responsables del tratamiento y de los encargados del tratamiento

En virtud del Reglamento General de Protección de Datos (RGPD), tanto los responsables como los encargados del tratamiento tienen ciertas obligaciones en relación con la protección de los datos personales. Estas son algunas obligaciones importantes que deben cumplir ambas partes:

Obligaciones de los responsables del tratamiento:

  1. Obligación de información transparente: Los responsables del tratamiento deben informar a los interesados sobre el tratamiento de sus datos personales. Esta información debe ser clara, concisa y fácil de entender.

  2. Legalidad del tratamiento: Los responsables del tratamiento sólo pueden tratar los datos personales de forma lícita. Esto incluye la existencia de una base jurídica (por ejemplo, el consentimiento del interesado o la ejecución de un contrato) y el cumplimiento de los principios de tratamiento de datos.
  3. Limitación de la finalidad: Los responsables del tratamiento sólo podrán recoger y tratar datos personales para fines determinados, explícitos y legítimos. El tratamiento adicional para fines incompatibles sólo está permitido en determinadas circunstancias excepcionales.

  4. Minimización de datos: Los responsables del tratamiento deben recopilar únicamente los datos personales que sean necesarios para los fines del tratamiento en cuestión. No deben recopilarse datos excesivos o innecesarios.

  5. Corrección de los datos: Los responsables del tratamiento están obligados a garantizar que los datos personales sean exactos y estén actualizados. Los datos inexactos deben ser rectificados o suprimidos. 
  6. Límites de conservación: Los responsables del tratamiento sólo deben conservar los datos personales durante el tiempo necesario para los fines del tratamiento. La duración de la conservación de los datos debe estar claramente definida.
  7. Seguridad de los datos: los responsables del tratamiento deben adoptar las medidas técnicas y organizativas adecuadas para proteger los datos personales contra el acceso no autorizado, la pérdida o el uso indebido.

Obligaciones de los encargados del tratamiento:

  1. Contrato de tratamiento: los encargados del tratamiento deben firmar un contrato por escrito con el responsable del tratamiento que especifique los requisitos de protección de datos de conformidad con el RGPD.

  2. Tratamiento de datos por cuenta ajena: Los encargados del tratamiento sólo podrán tratar los datos personales de acuerdo con las instrucciones del responsable del tratamiento, y no podrán utilizarlos para sus propios fines ni transmitirlos a terceros a menos que sea legalmente requerido.

  3. Seguridad de los datos: los encargados del tratamiento deben adoptar las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales.

  4. Ayudar al responsable del tratamiento: Los encargados del tratamiento deben ayudar al responsable del tratamiento en el cumplimiento de sus obligaciones en virtud de la ley de protección de datos, por ejemplo, en la aplicación de los derechos de los interesados o en la realización de evaluaciones de impacto de la protección de datos.

3. Explicaciones adicionales

Este capítulo ofrece explicaciones adicionales sobre este tema.
Por favor, elija el tema que desee en el índice de la derecha.

3.1. Definiciones

A efectos del RGPD, los términos son los siguientes:

  1. "Datos personales" significa cualquier información relativa a una persona física identificada o identificable (en adelante, "el interesado"); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular mediante un identificador, como puede ser un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.
  2. "Responsable del tratamiento" se refiere a la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento de datos personales; cuando los fines y medios de dicho tratamiento sean determinados por la legislación de la Unión Europea o de los Estados miembros, el responsable del tratamiento o los criterios específicos para su designación podrán establecerse según la legislación de la Unión Europea o de los Estados miembros.
  3. "Encargado del tratamiento" se refiere a la persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
  4. "Tratamiento" significa cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por medios automatizados o no, como la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la comunicación por transmisión, difusión u otra forma de habilitación de acceso, el cotejo o interconexión, la limitación, el borrado o la destrucción.
  5. "Limitación del tratamiento" significa el marcado de datos personales almacenados con el objetivo de limitar su tratamiento futuro.
  6. "Elaboración de perfiles" significa cualquier forma de tratamiento automatizado de datos personales que consista en utilizar dichos datos para evaluar ciertos aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento laboral, situación económica, salud, preferencias personales, intereses, confiabilidad, comportamiento, ubicación o movimientos de esa persona.
  7. "Seudonimización" significa el tratamiento de datos personales de tal manera que los datos ya no puedan atribuirse a un interesado específico sin el uso de información adicional, siempre que dicha información adicional se mantenga por separado y esté sujeta a medidas técnicas y organizativas que aseguren que los datos personales no se atribuyan a una persona física identificada o identificable.
  8. "Fichero" significa cualquier conjunto estructurado de datos personales accesibles según criterios específicos, ya sea que este conjunto se mantenga de forma centralizada, descentralizada o repartido de forma funcional o geográfica.
  9. "Destinatario" significa una persona física o jurídica, autoridad pública, agencia u otro organismo a quien se revelen datos personales, ya sea o no un tercero. Sin embargo, las autoridades públicas que puedan recibir datos personales en el contexto de una tarea específica de investigación según la legislación de la Unión Europea o de los Estados miembros no se considerarán destinatarios; el tratamiento de dichos datos por parte de las autoridades mencionadas se llevará a cabo de acuerdo con las normas aplicables de protección de datos de acuerdo con los fines del tratamiento.
  10. "Tercero" significa una persona física o jurídica, autoridad pública, agencia u otro organismo, que no sea el interesado, el responsable del tratamiento, el encargado del tratamiento o las personas autorizadas para tratar los datos personales bajo la responsabilidad directa del responsable del tratamiento o del encargado del tratamiento.
  11. "Consentimiento" del interesado significa cualquier indicación específica, informada e inequívoca de sus deseos mediante una declaración o acto afirmativo claro, mediante el cual el interesado manifiesta su acuerdo para el tratamiento de los datos personales que le conciernen.
  12. "Violación de la seguridad de datos personales" significa una violación de la seguridad que ocasione, de manera accidental o ilícita, la destrucción, pérdida, alteración, divulgación no autorizada o acceso a los datos personales transmitidos, almacenados o tratados de alguna otra forma.
  13. "Datos genéticos" significa datos personales relativos a las características genéticas heredadas o adquiridas de una persona física, que proporcionan información única sobre la fisiología o la salud de esa persona y que se han obtenido, en particular, mediante el análisis de una muestra biológica de esa persona.
  14. "Datos biométricos" significa datos personales sobre las características físicas, fisiológicas o de comportamiento de una persona física, obtenidos mediante procedimientos técnicos específicos, que permiten o confirman su identificación única, como imágenes faciales o datos dactiloscópicos.
  15. "Datos de salud" significa datos personales relacionados con la salud física o mental de una persona física, incluida la prestación de servicios de atención médica, que revelan información sobre el estado de salud de esa persona.

3.2. Principios para el tratamiento de datos personales

Los datos personales deben

  1. ser tratados de forma lícita, leal y comprensible para el interesado ("licitud, lealtad, transparencia");
  2. ser recogidos con fines determinados, explícitos y legítimos y que no sean tratados posteriormente de manera incompatible con dichos fines; el tratamiento posterior con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos no se considerará incompatible con los fines originales de conformidad con el apartado 1 del artículo 89 ("limitación de la finalidad");
  3. ser adecuados y pertinentes para la finalidad y limitarse a lo necesario para los fines del tratamiento ("minimización de datos");
  4. ser exactos y, cuando sea necesario, mantenerse actualizados; deberán tomarse todas las medidas razonables para garantizar que los datos personales que sean inexactos con respecto a los fines de su tratamiento se supriman o rectifiquen sin demora ("exactitud");
  5. almacenados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que se tratan los datos; los datos personales podrán almacenarse durante períodos más largos en la medida en que los datos personales se traten únicamente con fines de archivo en interés público o con fines de investigación científica e histórica o con fines estadísticos, tal como se contempla en el apartado 1 del artículo 89, siempre que se apliquen las medidas técnicas y organizativas apropiadas exigidas por el RGPD para salvaguardar los derechos y libertades del interesado ("limitación del plazo de conservación");
  6. ser tratados de forma que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidentales mediante medidas técnicas y organizativas apropiadas ("integridad y confidencialidad");

El responsable del tratamiento es responsable del cumplimiento de estos principios y debe poder demostrarlo ("responsabilidad proactiva").

3.3. Licitud del tratamiento

El tratamiento sólo es lícito si se cumple al menos una de las siguientes condiciones:

  1. el interesado ha dado su consentimiento al tratamiento de los datos personales que le conciernen para uno o varios fines específicos;
  2. el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para adoptar medidas precontractuales a petición del interesado.
  3. el tratamiento es necesario para el cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento;
  4. el tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona física;
  5. el tratamiento es necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  6. el tratamiento es necesario para la satisfacción de los intereses legítimos del responsable del tratamiento o de un tercero, salvo que prevalezcan sobre dichos intereses el interés o los derechos y libertades fundamentales del interesado que requieran la protección de sus datos personales, en particular cuando el interesado sea un niño;