Tema 18. Reglamento (UE) 2016/679 (RGPD)

Skip to main content
< Todos los temas
Imprimir
Publicado
Actualizado
Poroposicion

1. Datos personales de carácter general

Son cualquier información sobre una persona física identificada o identificable (el interesado). Se considera identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante:

  • Identificadores comunes: Nombre, apellidos, número de teléfono o dirección postal.
  • Identificadores digitales: Número de identificación (DNI, NIE, pasaporte), nombre de usuario en redes sociales o dirección IP.
  • Datos de localización: Datos que permiten ubicar geográficamente a una persona (GPS).
  • Factores de identidad: Elementos específicos de la identidad física, fisiológica, psíquica, económica, cultural o social de una persona.

2. Tratamiento de categorías especiales de datos

El Reglamento establece una prohibición general para el tratamiento de datos que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, o afiliación sindical, así como el tratamiento de datos genéticos, biométricos dirigidos a identificar de manera única a una persona, datos relativos a la salud o datos relativos a la vida u orientación sexual.

Sin embargo, esta prohibición se levanta en circunstancias específicas, entre las que destacan:

  • Consentimiento explícito: Cuando el interesado da su conformidad para uno o varios fines específicos.
  • Obligaciones legales: Cuando es necesario para el cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social.
  • Intereses vitales: Cuando el tratamiento es necesario para proteger la vida del interesado o de otra persona, si el interesado no está capacitado para dar su consentimiento.
  • Datos públicos: Cuando el tratamiento se refiere a datos que el interesado ha hecho manifiestamente públicos.
  • Interés público esencial: Por razones de salud pública, fines de medicina preventiva o laboral, y la gestión de sistemas de asistencia sanitaria.

3. Responsable y Encargado del Tratamiento

Estas dos figuras definen la cadena de mando y responsabilidad sobre la información:

  • Responsable del tratamiento: Es la persona física o jurídica, autoridad pública o servicio que determina los fines (el «para qué») y los medios (el «cómo») del tratamiento. Es el máximo responsable de asegurar que el tratamiento cumple con el Reglamento.
  • Encargado del tratamiento: Es la persona o entidad que trata datos personales por cuenta del responsable. Su relación debe estar formalizada mediante un contrato que vincule al encargado con el responsable y que especifique que el encargado solo actuará bajo las instrucciones documentadas de este último.
  • Corresponsables: Si dos o más responsables determinan conjuntamente los objetivos y métodos, deben establecer de manera transparente sus funciones y responsabilidades mediante un acuerdo.

4. Registro de Actividades de Tratamiento

Sustituyendo la antigua obligación de inscribir ficheros ante las autoridades, el RGPD exige una documentación interna detallada.

  • Obligación: Cada responsable y, en su caso, su representante, llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.
  • Contenido: Este registro debe incluir el nombre y datos de contacto, los fines del tratamiento, categorías de interesados y de datos, transferencias internacionales de datos y, cuando sea posible, los plazos previstos para la supresión de los datos y una descripción de las medidas de seguridad técnicas.
  • Excepción: No será obligatorio para organizaciones con menos de 250 empleados, a menos que el tratamiento pueda entrañar un riesgo para los derechos de los interesados, no sea ocasional, o incluya categorías especiales de datos o datos relativos a condenas penales.

5. Delegado de Protección de Datos (DPD)

El DPD es una figura clave para garantizar el cumplimiento normativo dentro de la organización de forma independiente.

  • Designación obligatoria: Es preceptivo cuando el tratamiento lo lleva a cabo una autoridad pública, cuando las actividades principales requieren una observación habitual y sistemática de interesados a gran escala, o cuando se tratan masivamente datos de categorías especiales.
  • Posición: El DPD debe ser designado atendiendo a sus cualidades profesionales y conocimientos especializados. Debe informar directamente al más alto nivel de dirección y no puede recibir instrucciones sobre el desempeño de sus funciones.
  • Funciones:
    • Informar y asesorar El DPD debe informar y asesorar al responsable o al encargado del tratamiento, así como a los empleados que se ocupan del tratamiento, sobre las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.  
    • Supervisar el cumplimiento Es su responsabilidad supervisar que se cumpla lo dispuesto en el Reglamento y en las políticas internas del responsable o del encargado del tratamiento. Esto incluye:  
      • La asignación de responsabilidades.  
      • La concienciación y formación del personal que participa en las operaciones de tratamiento.  
      • La realización de las auditorías correspondientes.
    • Asesoramiento en la Evaluación de Impacto (EIPD) Cuando la organización deba realizar una evaluación de impacto relativa a la protección de datos, el DPD debe ofrecer el asesoramiento que se le solicite y supervisar su aplicación y ejecución.
    • Cooperación con la Autoridad de Control El DPD actúa como el nexo de unión entre la organización y la autoridad de supervisión (como la AEPD en España). Debe cooperar con dicha autoridad siempre que sea necesario.
    • Punto de contacto Actúa como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa mencionada en el artículo 36, y realiza consultas sobre cualquier otro asunto, si procede.  

Consideraciones clave sobre su desempeño:

  • Enfoque de riesgo: El DPD debe desempeñar sus funciones teniendo debidamente en cuenta el riesgo asociado a las operaciones de tratamiento, considerando la naturaleza, el alcance, el contexto y fines del mismo.  
  • Independencia: El responsable o el encargado deben garantizar que el DPD no reciba ninguna instrucción en lo que respecta al desempeño de estas funciones.  
  • Confidencialidad: El DPD está obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones.