Contents
• El tipo y la cantidad de datos personales que pueden tratar dependen de las razones del tratamiento (razón jurÃdica usada) y lo que quieran hacer con ello. Deben respetar varias normas clave, que incluyen las siguientes:
• los datos personales deben tratarse de forma lÃcita y transparente, garantizando la lealtad hacia las personas cuyos datos personales se están tratando («licitud, lealtad y transparencia»),
• deben tenerse fines especÃficos para el tratamiento de los datos e indicarse dichos fines a las personas al recopilar sus datos personales; no pueden recopilarse simplemente datos personales para fines indeterminados («limitación de la finalidad»),
• solo deben recopilarse y tratarse los datos personales que sean necesarios para cumplir esa finalidad («minimización de datos»),
• debe garantizarse que los datos personales sean exactos y estén actualizados, en relación con los fines para los que son tratados, y corregirlos en caso contrario («exactitud»),
• no se pueden seguir utilizando los datos personales para otros fines que no sean compatibles con la finalidad original de la recopilación,
• debe garantizarse que los datos personales no se conserven más tiempo del necesario para los fines para los que fueron recopilados («limitación del plazo de conservación»),
• deben establecerse garantÃas técnicas y organizativas apropiadas que garanticen la seguridad de los datos personales, incluida la protección contra el tratamiento no autorizado o ilÃcito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de la tecnologÃa apropiada («integridad y confidencialidad»).
• ¿Podemos tratar datos para cualquier fin? No, deben saber para qué fin quieren tratar los datos personales e informar a las personas de las que se traten datos. No pueden indicar únicamente que se recopilarán y tratarán datos personales. Esto se conoce como el principio de la «limitación de la finalidad».
• ¿Podemos utilizar los datos para otro fin? SÃ, pero solo en algunos casos. Si han recopilado datos basándose en un interés legÃtimo, un contrato o intereses vitales, pueden utilizarlos para otros fines, pero solo después de comprobar que el nuevo fin sea compatible con el fin original.
• Debe valorarse lo siguiente:
• la relación entre el fin inicial y el nuevo o futuro fin,
• el contexto en que se recopilaron los datos (¿cuál es la relación entre la empresa y la persona?),
• el tipo y la naturaleza de los datos (¿son sensibles?),
• las posibles consecuencias del tratamiento ulterior (¿cómo afectará a la persona?),
• la existencia de garantÃas adecuadas (como cifrado o seudonimización).
• Si quieren utilizar los datos para fines estadÃsticos o cientÃficos, no es necesario realizar ninguna prueba de compatibilidad.
• Si han recogido los datos sobre la base del consentimiento o en cumplimiento de una exigencia de la legislación, no puede haber ningún tratamiento ulterior fuera de los ámbitos cubiertos por el consentimiento inicial o la disposición legal. Un tratamiento ulterior exigirÃa la obtención de un nuevo consentimiento o una nueva base jurÃdica.
• ¿Cuántos datos podemos recopilar? Los datos personales deben ser tratados únicamente cuando no sea razonablemente posible realizar el tratamiento de otra forma. Cuando sea posible, será preferible utilizar datos anónimos. Cuando se necesiten datos personales, estos deben ser adecuados, pertinentes y limitados a lo necesario para el fin («minimización de los datos»). Es responsabilidad suya, como responsables del tratamiento, evaluar la cantidad de datos necesarios y garantizar que no se recopilen datos que no sean pertinentes.
• ¿Durante cuánto tiempo podemos conservar los datos? Y, ¿tenemos que actualizarlos? Los datos deben conservarse durante el menor tiempo posible. Este plazo debe tener en cuenta los motivos por los que se necesita el tratamiento de los datos, asà como las obligaciones legales de conservar los datos durante un tiempo determinado (como la legislación nacional laboral, fiscal o de lucha contra el fraude que exigen la conservación de los datos personales sobre empleados durante un perÃodo determinado, la duración de la garantÃa de los productos, etc.).
• Su empresa/organización debe establecer plazos de supresión o revisión de los datos que conserve.
• De forma excepcional, se pueden conservar los datos personales durante plazos más largos con fines de archivo en interés público o investigación cientÃfica o histórica, siempre que se establezcan medidas técnicas y organizativas apropiadas (como la anonimización, el cifrado, etc.).
• Además, deben garantizar que los datos que poseen sean exactos y mantenerlos actualizados.
• ¿Qué información debemos dar a las personas de las que recopilamos datos? En el momento de recopilar los datos, deben decir claramente a las personas de las que estén recopilando datos, por lo menos lo siguiente:
• quiénes son (su información de contacto y la de su delegado de protección de datos, si lo tienen),
• para qué utilizarán sus datos personales (fines),
• las categorÃas de datos personales de que se trate,
• la justificación jurÃdica del tratamiento de los datos,
• durante cuánto tiempo conservarán los datos,
• quién más puede recibirlos,
• si los datos personales se transferirán a un destinatario de fuera de la UE,
• que tienen derecho a una copia de los datos (derecho de acceso a los datos personales) y otros derechos básicos del ámbito de la protección de datos (véase la lista completa de derechos),
• su derecho a presentar una reclamación ante una autoridad de protección de datos,
• su derecho a retirar el consentimiento en todo momento,
• en su caso, la existencia de decisiones automatizadas y la lógica aplicada, además de las consecuencias que conlleva.
• Esta información puede facilitarse por escrito o, si procede, verbalmente a solicitud de la persona cuando se demuestre la identidad del interesado por otros medios o por medios electrónicos. Ello debe hacerse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo y de forma gratuita.
• Cuando los datos se hayan obtenido de otra empresa u organización, deberán proporcionar la información anterior a la persona a más tardar en el plazo de un mes a partir de la obtención de los datos personales; o, en caso de que ustedes se comuniquen con la persona, en el momento que los datos se utilicen para la comunicación; o, si se prevé revelarlos a otra empresa, en el momento que se revelen por primera vez.
• Asimismo, deben informar a la persona de las categorÃas de datos y la fuente de la que se obtuvieron; y, si se obtuvieron de fuentes de acceso público, suministrar también esta información. En circunstancias especÃficas enumeradas en el artÃculo 13, apartado 4, y el artÃculo 14, apartado 5, del Reglamento general de protección de datos pueden estar exentos de la obligación de informar a la persona. Verifiquen si están en alguno de estos escenarios.
• ¿Qué datos podemos tratar y en qué condiciones? El tipo y la cantidad de datos personales que pueden tratar dependen de las razones del tratamiento (razón jurÃdica usada) y lo que quieran hacer con ello. Deben respetar varias normas clave, que incluyen las siguientes:
• los datos personales deben tratarse de forma lÃcita y transparente, garantizando la lealtad hacia las personas cuyos datos personales se están tratando («licitud, lealtad y transparencia»),
• deben tenerse fines especÃficos para el tratamiento de los datos e indicarse dichos fines a las personas al recopilar sus datos personales; no pueden recopilarse simplemente datos personales para fines indeterminados («limitación de la finalidad»),
• solo deben recopilarse y tratarse los datos personales que sean necesarios para cumplir esa finalidad («minimización de datos»),
• debe garantizarse que los datos personales sean exactos y estén actualizados, en relación con los fines para los que son tratados, y corregirlos en caso contrario («exactitud»),
• no se pueden seguir utilizando los datos personales para otros fines que no sean compatibles con la finalidad original de la recopilación,
• debe garantizarse que los datos personales no se conserven más tiempo del necesario para los fines para los que fueron recopilados («limitación del plazo de conservación»),
• deben establecerse garantÃas técnicas y organizativas apropiadas que garanticen la seguridad de los datos personales, incluida la protección contra el tratamiento no autorizado o ilÃcito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de la tecnologÃa apropiada («integridad y confidencialidad»).
• ¿Qué reglas se aplican si mi organización transfiere datos fuera de la UE? En el mundo globalizado actual, existen grandes cantidades de transferencias transfronterizas de datos personales, que a veces se conservan en servidores en varios paÃses distintos. La protección que ofrece el Reglamento general de protección de datos (RGPD) viaja con los datos, lo cual significa que las normas que protegen los datos personales seguirán aplicándose independientemente de dónde vayan a parar los datos. Esto también se aplica cuando los datos se transfieren a un Estado no perteneciente a la Unión Europea (UE).
• El RGPD proporciona varias herramientas para establecer el marco para las transferencias de datos desde la UE a Estados no pertenecientes a la UE:
• A veces, mediante una decisión de la Comisión Europea («decisión de adecuación») se declara que un Estado no perteneciente a la UE ofrece un nivel de protección de datos adecuado, lo cual significa que se pueden transferir datos a otra empresa de ese Estado no perteneciente a la UE sin que el exportador de los datos deba ofrecer más garantÃas o esté sujeto a condiciones adicionales. En otras palabras, las transferencias a un tercer paÃs «adecuado» se asimilarán a una transmisión de datos dentro de la UE.
• A falta de una decisión de adecuación, la transferencia puede hacerse mediante el establecimiento de garantÃas adecuadas y a condición de que las personas cuenten con derechos exigibles y acciones legales efectivas. Tales garantÃas adecuadas incluyen, entre otras:
• en el caso de los grupos empresariales o la unión de empresas dedicadas a una actividad económica conjunta, que las empresas pueden transferir los datos personales basándose en las denominadas «normas corporativas vinculantes»,
• acuerdos contractuales con el destinatario de los datos personales que utilizan, por ejemplo, las cláusulas contractuales tipo aprobadas por la Comisión Europea,
• la adhesión a un código de conducta o un mecanismo de certificación junto con compromisos vinculantes y exigibles asumidos por el destinatario en relación con la aplicación de las garantÃas adecuadas para la protección de los datos transferidos.
• Por último, si se prevé realizar una transferencia de datos personales a un tercer paÃs que no está sujeto a una decisión de adecuación y en ausencia de garantÃas adecuadas, se puede realizar la transferencia basándose en varias excepciones para situaciones especÃficas, por ejemplo, cuando una persona haya consentido explÃcitamente a la transferencia propuesta tras haber recibido toda la información necesaria sobre los riesgos relacionados con dicha transferencia.
Save As PDF
Title:
Qué datos podemos tratar y en qué condiciones
Keywords
PROTECCIÓN DE DATOS, DERECHOS, OBLIGACIONES, REGISTRO, MARCA
Author:
AE
Languages:
Spanish
Description:
• El tipo y la cantidad de datos personales que pueden tratar dependen de las razones del tratamiento (razón jurÃdica usada) y lo que quieran hacer con ello. Deben respetar varias normas clave, que incluyen las siguientes:
• los datos personales deben tratarse de forma lÃcita y transparente, garantizando la lealtad hacia las personas cuyos datos personales se están tratando («licitud, lealtad y transparencia»),
• deben tenerse fines especÃficos para el tratamiento de los datos e indicarse dichos fines a las personas al recopilar sus datos personales; no pueden recopilarse simplemente datos personales para fines indeterminados («limitación de la finalidad»),
• solo deben recopilarse y tratarse los datos personales que sean necesarios para cumplir esa finalidad («minimización de datos»),
• debe garantizarse que los datos personales sean exactos y estén actualizados, en relación con los fines para los que son tratados, y corregirlos en caso contrario («exactitud»),
• no se pueden seguir utilizando los datos personales para otros fines que no sean compatibles con la finalidad original de la recopilación,
• debe garantizarse que los datos personales no se conserven más tiempo del necesario para los fines para los que fueron recopilados («limitación del plazo de conservación»),
• deben establecerse garantÃas técnicas y organizativas apropiadas que garanticen la seguridad de los datos personales, incluida la protección contra el tratamiento no autorizado o ilÃcito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de la tecnologÃa apropiada («integridad y confidencialidad»).
• ¿Podemos tratar datos para cualquier fin? No, deben saber para qué fin quieren tratar los datos personales e informar a las personas de las que se traten datos. No pueden indicar únicamente que se recopilarán y tratarán datos personales. Esto se conoce como el principio de la «limitación de la finalidad».
• ¿Podemos utilizar los datos para otro fin? SÃ, pero solo en algunos casos. Si han recopilado datos basándose en un interés legÃtimo, un contrato o intereses vitales, pueden utilizarlos para otros fines, pero solo después de comprobar que el nuevo fin sea compatible con el fin original.
• Debe valorarse lo siguiente:
• la relación entre el fin inicial y el nuevo o futuro fin,
• el contexto en que se recopilaron los datos (¿cuál es la relación entre la empresa y la persona?),
• el tipo y la naturaleza de los datos (¿son sensibles?),
• las posibles consecuencias del tratamiento ulterior (¿cómo afectará a la persona?),
• la existencia de garantÃas adecuadas (como cifrado o seudonimización).
• Si quieren utilizar los datos para fines estadÃsticos o cientÃficos, no es necesario realizar ninguna prueba de compatibilidad.
• Si han recogido los datos sobre la base del consentimiento o en cumplimiento de una exigencia de la legislación, no puede haber ningún tratamiento ulterior fuera de los ámbitos cubiertos por el consentimiento inicial o la disposición legal. Un tratamiento ulterior exigirÃa la obtención de un nuevo consentimiento o una nueva base jurÃdica.
• ¿Cuántos datos podemos recopilar? Los datos personales deben ser tratados únicamente cuando no sea razonablemente posible realizar el tratamiento de otra forma. Cuando sea posible, será preferible utilizar datos anónimos. Cuando se necesiten datos personales, estos deben ser adecuados, pertinentes y limitados a lo necesario para el fin («minimización de los datos»). Es responsabilidad suya, como responsables del tratamiento, evaluar la cantidad de datos necesarios y garantizar que no se recopilen datos que no sean pertinentes.
• ¿Durante cuánto tiempo podemos conservar los datos? Y, ¿tenemos que actualizarlos? Los datos deben conservarse durante el menor tiempo posible. Este plazo debe tener en cuenta los motivos por los que se necesita el tratamiento de los datos, asà como las obligaciones legales de conservar los datos durante un tiempo determinado (como la legislación nacional laboral, fiscal o de lucha contra el fraude que exigen la conservación de los datos personales sobre empleados durante un perÃodo determinado, la duración de la garantÃa de los productos, etc.).
• Su empresa/organización debe establecer plazos de supresión o revisión de los datos que conserve.
• De forma excepcional, se pueden conservar los datos personales durante plazos más largos con fines de archivo en interés público o investigación cientÃfica o histórica, siempre que se establezcan medidas técnicas y organizativas apropiadas (como la anonimización, el cifrado, etc.).
• Además, deben garantizar que los datos que poseen sean exactos y mantenerlos actualizados.
• ¿Qué información debemos dar a las personas de las que recopilamos datos? En el momento de recopilar los datos, deben decir claramente a las personas de las que estén recopilando datos, por lo menos lo siguiente:
• quiénes son (su información de contacto y la de su delegado de protección de datos, si lo tienen),
• para qué utilizarán sus datos personales (fines),
• las categorÃas de datos personales de que se trate,
• la justificación jurÃdica del tratamiento de los datos,
• durante cuánto tiempo conservarán los datos,
• quién más puede recibirlos,
• si los datos personales se transferirán a un destinatario de fuera de la UE,
• que tienen derecho a una copia de los datos (derecho de acceso a los datos personales) y otros derechos básicos del ámbito de la protección de datos (véase la lista completa de derechos),
• su derecho a presentar una reclamación ante una autoridad de protección de datos,
• su derecho a retirar el consentimiento en todo momento,
• en su caso, la existencia de decisiones automatizadas y la lógica aplicada, además de las consecuencias que conlleva.
• Esta información puede facilitarse por escrito o, si procede, verbalmente a solicitud de la persona cuando se demuestre la identidad del interesado por otros medios o por medios electrónicos. Ello debe hacerse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo y de forma gratuita.
• Cuando los datos se hayan obtenido de otra empresa u organización, deberán proporcionar la información anterior a la persona a más tardar en el plazo de un mes a partir de la obtención de los datos personales; o, en caso de que ustedes se comuniquen con la persona, en el momento que los datos se utilicen para la comunicación; o, si se prevé revelarlos a otra empresa, en el momento que se revelen por primera vez.
• Asimismo, deben informar a la persona de las categorÃas de datos y la fuente de la que se obtuvieron; y, si se obtuvieron de fuentes de acceso público, suministrar también esta información. En circunstancias especÃficas enumeradas en el artÃculo 13, apartado 4, y el artÃculo 14, apartado 5, del Reglamento general de protección de datos pueden estar exentos de la obligación de informar a la persona. Verifiquen si están en alguno de estos escenarios.
• ¿Qué datos podemos tratar y en qué condiciones? El tipo y la cantidad de datos personales que pueden tratar dependen de las razones del tratamiento (razón jurÃdica usada) y lo que quieran hacer con ello. Deben respetar varias normas clave, que incluyen las siguientes:
• los datos personales deben tratarse de forma lÃcita y transparente, garantizando la lealtad hacia las personas cuyos datos personales se están tratando («licitud, lealtad y transparencia»),
• deben tenerse fines especÃficos para el tratamiento de los datos e indicarse dichos fines a las personas al recopilar sus datos personales; no pueden recopilarse simplemente datos personales para fines indeterminados («limitación de la finalidad»),
• solo deben recopilarse y tratarse los datos personales que sean necesarios para cumplir esa finalidad («minimización de datos»),
• debe garantizarse que los datos personales sean exactos y estén actualizados, en relación con los fines para los que son tratados, y corregirlos en caso contrario («exactitud»),
• no se pueden seguir utilizando los datos personales para otros fines que no sean compatibles con la finalidad original de la recopilación,
• debe garantizarse que los datos personales no se conserven más tiempo del necesario para los fines para los que fueron recopilados («limitación del plazo de conservación»),
• deben establecerse garantÃas técnicas y organizativas apropiadas que garanticen la seguridad de los datos personales, incluida la protección contra el tratamiento no autorizado o ilÃcito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de la tecnologÃa apropiada («integridad y confidencialidad»).
• ¿Qué reglas se aplican si mi organización transfiere datos fuera de la UE? En el mundo globalizado actual, existen grandes cantidades de transferencias transfronterizas de datos personales, que a veces se conservan en servidores en varios paÃses distintos. La protección que ofrece el Reglamento general de protección de datos (RGPD) viaja con los datos, lo cual significa que las normas que protegen los datos personales seguirán aplicándose independientemente de dónde vayan a parar los datos. Esto también se aplica cuando los datos se transfieren a un Estado no perteneciente a la Unión Europea (UE).
• El RGPD proporciona varias herramientas para establecer el marco para las transferencias de datos desde la UE a Estados no pertenecientes a la UE:
• A veces, mediante una decisión de la Comisión Europea («decisión de adecuación») se declara que un Estado no perteneciente a la UE ofrece un nivel de protección de datos adecuado, lo cual significa que se pueden transferir datos a otra empresa de ese Estado no perteneciente a la UE sin que el exportador de los datos deba ofrecer más garantÃas o esté sujeto a condiciones adicionales. En otras palabras, las transferencias a un tercer paÃs «adecuado» se asimilarán a una transmisión de datos dentro de la UE.
• A falta de una decisión de adecuación, la transferencia puede hacerse mediante el establecimiento de garantÃas adecuadas y a condición de que las personas cuenten con derechos exigibles y acciones legales efectivas. Tales garantÃas adecuadas incluyen, entre otras:
• en el caso de los grupos empresariales o la unión de empresas dedicadas a una actividad económica conjunta, que las empresas pueden transferir los datos personales basándose en las denominadas «normas corporativas vinculantes»,
• acuerdos contractuales con el destinatario de los datos personales que utilizan, por ejemplo, las cláusulas contractuales tipo aprobadas por la Comisión Europea,
• la adhesión a un código de conducta o un mecanismo de certificación junto con compromisos vinculantes y exigibles asumidos por el destinatario en relación con la aplicación de las garantÃas adecuadas para la protección de los datos transferidos.
• Por último, si se prevé realizar una transferencia de datos personales a un tercer paÃs que no está sujeto a una decisión de adecuación y en ausencia de garantÃas adecuadas, se puede realizar la transferencia basándose en varias excepciones para situaciones especÃficas, por ejemplo, cuando una persona haya consentido explÃcitamente a la transferencia propuesta tras haber recibido toda la información necesaria sobre los riesgos relacionados con dicha transferencia.