1. MODULO 1- INTRODUCCIÓN, DEFINICIONES Y CONCEPTOS BÁSICOS
Curso básico sobre el Reglamento
General de Protección de Datos
2. 1. Introducción, definiciones y conceptos
básicos.
1.1. ¿Qué es la Protección de Datos?
1.2. Normativa Reguladora
1.3. ¿Por qué RGPD/GDPR?
1.4. Tratamiento de datos personales
1.5. Consentimiento del interesado
1.6. Responsable y Encargado del tratamiento
1.7. Autoridades de protección de datos
1.8. Delegado de protección de datos (DPD)
3. 1.1. ¿Qué es la Protección de Datos?
Es el derecho que tienen los ciudadanos a que sus datos
personales no sean utilizados por terceros sin la autorización
debida y así mismo, el derecho a mantener su privacidad.
El objeto de la normativa de protección de datos personales es
garantizar y proteger, en lo que concierne al tratamiento de los
datos personales, las libertades públicas y los derechos
fundamentales de las personas físicas, especialmente de su
honor e intimidad personal y familiar.
4. 1.2. Normativa Reguladora
• Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Vigente en la actualidad, de plena aplicación desde el 25 de mayo de 2018.(RGPD)
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía
de los derechos digitales. Entró en vigor el 7 de diciembre de 2018.(LOPD y GDD)
5. 1.3. ¿Por qué RGPD/GDPR?
• Unificación de criterios países miembros
• Acabar con mosaico normativo
• Incremento de flujos transfronterizos
• Adaptar la normativa a la evolución tecnológica
• Obligar a las grandes empresas tecnológicas a
ejercer un respeto extremo a la protección de
datos
• Limitar la libertad de vulneración claramente
existente en internet, redes sociales, webs,
formularios de contacto, publicidad en base a la
elaboración de un perfil etc...
6. Según el RGDP, el tratamiento de datos personales lo constituye toda
operación o conjunto de operaciones realizada sobre datos personales,
ya sea de forma automatizada o no.
Dichas operaciones incluyen la obtención, registro, organización,
estructuración, conservación, adaptación o modificación, extracción,
consulta, utilización, comunicación por transmisión, difusión o
cualquier otra forma de habilitación de acceso, cotejo o interconexión,
limitación, supresión o destrucción de datos personales.
Es decir, cualquier recogida, almacenamiento, modificación, difusión o
acceso a datos implica un tratamiento de los mismos.
1.4. Tratamiento de datos personales
7. Consulta de un
fichero de clientes
que contiene datos
personales.
Publicación de la
foto de una
persona en una
página web.
Triturado de
documentos que
contienen datos
personales.
Grabación de vídeo
mediante CCTV.
Ejemplos de tratamiento:
8. El concepto de consentimiento es, uno de los más importantes en lo relativo al tratamiento de
datos personales. En el Reglamento europeo, además, encontramos novedades en su definición
con respecto a la LOPD.
Según el RGPD, el consentimiento del interesado será toda manifestación libre, específica,
informada e inequívoca mediante la cual el interesado acepta, ya sea mediante una declaración o
una clara acción afirmativa, que se traten sus datos personales.
1.5. Consentimiento del interesado
El consentimiento es libre porque
se da libremente.
El consentimiento es específico
porque se deberá solicitar para
cada una de las finalidades del
tratamiento.
El consentimiento es informado
porque se comunicará al
interesado la finalidad, el
responsable del tratamiento, la
forma en que se tratarán los datos
y los derechos que lo asisten.
El consentimiento es inequívoco
porque el interesado sabrá sin
lugar a dudas qué está
consintiendo.
9. 1.6. Responsable y Encargado del Tratamiento
El Responsable del tratamiento de datos es, valga la redundancia, el principal responsable
de garantizar el cumplimiento del RGPD en cuanto a la recopilación, gestión, acceso y
revocación de los datos personales.
En primer lugar, debe obtener el consentimiento explícito de los individuos a tratar sus
datos personales. Así como conservar los documentos que acrediten este consentimiento.
Del mismo modo, debe garantizar que cursará la solicitud si un individuo revoca el
consentimiento al acceso de sus datos personales.
El responsable tendrá también que comunicar todas las violaciones del acceso a los datos
personales, en un plazo no superior a 72 horas.
Asimismo, los responsables deberán exigir a los encargados con los que trabajen el
cumplimiento del RGPD y la obtención de los certificados necesarios que así lo acrediten.
Se espera que el responsable trabaje solo con aquellos encargados que tengan las medidas
técnicas y organizativas apropiadas para cumplir con las pautas del RGPD.
10. 1.6. Responsable y Encargado del Tratamiento
El Encargado del Tratamiento de Datos debe garantizar que no utilizará los datos
personales para un fin distinto al descrito por el responsable. Ante una petición del
responsable, el encargado tendrá que proceder a la devolución o eliminación de estos
datos personales de acuerdo con los procesos de destrucción de que establece el RGPD.
Si se produce una violación del acceso a los datos personales, el encargado deberá
comunicarlo al responsable de manera inmediata.
11. Las autoridades de protección de datos (APD o
autoridades de control) son entidades públicas e
independientes que supervisan la aplicación de la
normativa sobre protección de datos.
Además, ofrecen asesoramiento sobre cualquier
cuestión relativa a la protección de datos personales y
tramitan las reclamaciones por violaciones del RGPD
o de las legislaciones nacionales relacionadas con la
protección de datos personales.
1.7. Autoridades de protección de datos
12. El delegado de protección de datos de una organización será el responsable de supervisar el
cumplimiento del RGPD en dicha organización.
Será obligatorio que el responsable del tratamiento designe un DPD:
• Si se trata de un organismo público (excepto los tribunales en el ejercicio de su función judicial).
• Si, dentro de la actividad principal de la organización, se tratan habitualmente datos
pertenecientes a categorías especiales, a gran escala.
• Si, dentro de la actividad principal de la organización, se observan habitual y sistemáticamente a
personas, a gran escala.
El DPD podrá pertenecer a la empresa/organismo, o bien ser contratado externamente. Además,
si se considera oportuno, se podrá designar un DPD aunque no se esté obligado a ello.
1.8. Delegado de protección de datos (DPD)
Notas del editor
Lecturas recomendadas
Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Vigente en la actualidad, de plena aplicación desde el 25 de mayo de 2018.(RGPD)
https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Entró en vigor el 7 de diciembre de 2018.(LOPD y GDD)
https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673
La principal novedad en el consentimiento, respecto a lo establecido en la LOPD, es que deja de admitirse que el interesado dé su consentimiento de forma tácita o por omisión (presentando al interesado una casilla para consentir el tratamiento ya marcada, por ejemplo).
En el RGPD el consentimiento debe ser dado mediante una clara acción afirmativa por parte del interesado.
En el caso de España, la autoridad de control principal es la Agencia Española de Protección de Datos (AEPD)
https://www.aepd.es/
.
Cuando una organización nombre un DPD, deberá hacer públicos sus datos de contacto y comunicarlos a la APD correspondiente.