Título:Qué datos podemos tratar y en qué condicionesPalabras clave:PROTECCIÓN DE DATOS, DERECHOS, OBLIGACIONES, REGISTRO, MARCAAutor:AEIdiomas:Español
Objetivos/finalidades:
Dar a conocer, los fundamentos y conceptos generales de la normativa sobre Protección de datos personales, la Propiedad intelectual y el Registro de Marca, mediante un estudio de los aspectos más relevantes de los mismos, facilitando así una visión general de los Derechos y Obligaciones y ofreciendo una visión práctica de las obligaciones existentes.• Tener una herramienta esencial para la toma de decisiones, formar alianzas y, en resumen, buscar el éxito de los proyectos a partir de información real y relevante.
Descripción:
El nuevo Reglamento Europeo de Protección de Datos entró en vigor el 25 de mayo de 2018 en todos los países de la Unión Europea. Esta nueva normativa, afecta a todas las empresas en cuanto dispongan de datos personales de clientes, trabajadores y terceros, potenciando un compromiso activo en la salvaguardia de los derechos fundamentales, en particular los que tienen que ver con la privacidad en todos los ámbitos, pero especialmente en internet.
Adquiera conocimientos y habilidades para conocer el sistema de protección de datos de carácter personal, en los aspectos más relevantes. El tratamiento y procedimientos que deben darse a dichos datos; los derechos y obligaciones que tiene el titular y el responsable de los mismos y el régimen sancionador en caso de incumplimiento.
Del mismo modo, se tratan materias tan relevantes para las empresas como la Propiedad Intelectual y el Registro de Marca
Contenidos
• El tipo y la cantidad de datos personales que pueden tratar dependen de las razones del tratamiento (razón jurídica usada) y lo que quieran hacer con ello. Deben respetar varias normas clave, que incluyen las siguientes:
• los datos personales deben tratarse de forma lícita y transparente, garantizando la lealtad hacia las personas cuyos datos personales se están tratando («licitud, lealtad y transparencia»),
• deben tenerse fines específicos para el tratamiento de los datos e indicarse dichos fines a las personas al recopilar sus datos personales; no pueden recopilarse simplemente datos personales para fines indeterminados («limitación de la finalidad»),
• solo deben recopilarse y tratarse los datos personales que sean necesarios para cumplir esa finalidad («minimización de datos»),
• debe garantizarse que los datos personales sean exactos y estén actualizados, en relación con los fines para los que son tratados, y corregirlos en caso contrario («exactitud»),
• no se pueden seguir utilizando los datos personales para otros fines que no sean compatibles con la finalidad original de la recopilación,
• debe garantizarse que los datos personales no se conserven más tiempo del necesario para los fines para los que fueron recopilados («limitación del plazo de conservación»),
• deben establecerse garantías técnicas y organizativas apropiadas que garanticen la seguridad de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de la tecnología apropiada («integridad y confidencialidad»).
• ¿Podemos tratar datos para cualquier fin? No, deben saber para qué fin quieren tratar los datos personales e informar a las personas de las que se traten datos. No pueden indicar únicamente que se recopilarán y tratarán datos personales. Esto se conoce como el principio de la «limitación de la finalidad».
• ¿Podemos utilizar los datos para otro fin? Sí, pero solo en algunos casos. Si han recopilado datos basándose en un interés legítimo, un contrato o intereses vitales, pueden utilizarlos para otros fines, pero solo después de comprobar que el nuevo fin sea compatible con el fin original.
• Debe valorarse lo siguiente:
• la relación entre el fin inicial y el nuevo o futuro fin,
• el contexto en que se recopilaron los datos (¿cuál es la relación entre la empresa y la persona?),
• el tipo y la naturaleza de los datos (¿son sensibles?),
• las posibles consecuencias del tratamiento ulterior (¿cómo afectará a la persona?),
• la existencia de garantías adecuadas (como cifrado o seudonimización).
• Si quieren utilizar los datos para fines estadísticos o científicos, no es necesario realizar ninguna prueba de compatibilidad.
• Si han recogido los datos sobre la base del consentimiento o en cumplimiento de una exigencia de la legislación, no puede haber ningún tratamiento ulterior fuera de los ámbitos cubiertos por el consentimiento inicial o la disposición legal. Un tratamiento ulterior exigiría la obtención de un nuevo consentimiento o una nueva base jurídica.
• ¿Cuántos datos podemos recopilar? Los datos personales deben ser tratados únicamente cuando no sea razonablemente posible realizar el tratamiento de otra forma. Cuando sea posible, será preferible utilizar datos anónimos. Cuando se necesiten datos personales, estos deben ser adecuados, pertinentes y limitados a lo necesario para el fin («minimización de los datos»). Es responsabilidad suya, como responsables del tratamiento, evaluar la cantidad de datos necesarios y garantizar que no se recopilen datos que no sean pertinentes.
• ¿Durante cuánto tiempo podemos conservar los datos? Y, ¿tenemos que actualizarlos? Los datos deben conservarse durante el menor tiempo posible. Este plazo debe tener en cuenta los motivos por los que se necesita el tratamiento de los datos, así como las obligaciones legales de conservar los datos durante un tiempo determinado (como la legislación nacional laboral, fiscal o de lucha contra el fraude que exigen la conservación de los datos personales sobre empleados durante un período determinado, la duración de la garantía de los productos, etc.).
• Su empresa/organización debe establecer plazos de supresión o revisión de los datos que conserve.
• De forma excepcional, se pueden conservar los datos personales durante plazos más largos con fines de archivo en interés público o investigación científica o histórica, siempre que se establezcan medidas técnicas y organizativas apropiadas (como la anonimización, el cifrado, etc.).
• Además, deben garantizar que los datos que poseen sean exactos y mantenerlos actualizados.
• ¿Qué información debemos dar a las personas de las que recopilamos datos? En el momento de recopilar los datos, deben decir claramente a las personas de las que estén recopilando datos, por lo menos lo siguiente:
• quiénes son (su información de contacto y la de su delegado de protección de datos, si lo tienen),
• para qué utilizarán sus datos personales (fines),
• las categorías de datos personales de que se trate,
• la justificación jurídica del tratamiento de los datos,
• durante cuánto tiempo conservarán los datos,
• quién más puede recibirlos,
• si los datos personales se transferirán a un destinatario de fuera de la UE,
• que tienen derecho a una copia de los datos (derecho de acceso a los datos personales) y otros derechos básicos del ámbito de la protección de datos (véase la lista completa de derechos),
• su derecho a presentar una reclamación ante una autoridad de protección de datos,
• su derecho a retirar el consentimiento en todo momento,
• en su caso, la existencia de decisiones automatizadas y la lógica aplicada, además de las consecuencias que conlleva.
• Esta información puede facilitarse por escrito o, si procede, verbalmente a solicitud de la persona cuando se demuestre la identidad del interesado por otros medios o por medios electrónicos. Ello debe hacerse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo y de forma gratuita.
• Cuando los datos se hayan obtenido de otra empresa u organización, deberán proporcionar la información anterior a la persona a más tardar en el plazo de un mes a partir de la obtención de los datos personales; o, en caso de que ustedes se comuniquen con la persona, en el momento que los datos se utilicen para la comunicación; o, si se prevé revelarlos a otra empresa, en el momento que se revelen por primera vez.
• Asimismo, deben informar a la persona de las categorías de datos y la fuente de la que se obtuvieron; y, si se obtuvieron de fuentes de acceso público, suministrar también esta información. En circunstancias específicas enumeradas en el artículo 13, apartado 4, y el artículo 14, apartado 5, del Reglamento general de protección de datos pueden estar exentos de la obligación de informar a la persona. Verifiquen si están en alguno de estos escenarios.
• ¿Qué datos podemos tratar y en qué condiciones? El tipo y la cantidad de datos personales que pueden tratar dependen de las razones del tratamiento (razón jurídica usada) y lo que quieran hacer con ello. Deben respetar varias normas clave, que incluyen las siguientes:
• los datos personales deben tratarse de forma lícita y transparente, garantizando la lealtad hacia las personas cuyos datos personales se están tratando («licitud, lealtad y transparencia»),
• deben tenerse fines específicos para el tratamiento de los datos e indicarse dichos fines a las personas al recopilar sus datos personales; no pueden recopilarse simplemente datos personales para fines indeterminados («limitación de la finalidad»),
• solo deben recopilarse y tratarse los datos personales que sean necesarios para cumplir esa finalidad («minimización de datos»),
• debe garantizarse que los datos personales sean exactos y estén actualizados, en relación con los fines para los que son tratados, y corregirlos en caso contrario («exactitud»),
• no se pueden seguir utilizando los datos personales para otros fines que no sean compatibles con la finalidad original de la recopilación,
• debe garantizarse que los datos personales no se conserven más tiempo del necesario para los fines para los que fueron recopilados («limitación del plazo de conservación»),
• deben establecerse garantías técnicas y organizativas apropiadas que garanticen la seguridad de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de la tecnología apropiada («integridad y confidencialidad»).
• ¿Qué reglas se aplican si mi organización transfiere datos fuera de la UE? En el mundo globalizado actual, existen grandes cantidades de transferencias transfronterizas de datos personales, que a veces se conservan en servidores en varios países distintos. La protección que ofrece el Reglamento general de protección de datos (RGPD) viaja con los datos, lo cual significa que las normas que protegen los datos personales seguirán aplicándose independientemente de dónde vayan a parar los datos. Esto también se aplica cuando los datos se transfieren a un Estado no perteneciente a la Unión Europea (UE).
• El RGPD proporciona varias herramientas para establecer el marco para las transferencias de datos desde la UE a Estados no pertenecientes a la UE:
• A veces, mediante una decisión de la Comisión Europea («decisión de adecuación») se declara que un Estado no perteneciente a la UE ofrece un nivel de protección de datos adecuado, lo cual significa que se pueden transferir datos a otra empresa de ese Estado no perteneciente a la UE sin que el exportador de los datos deba ofrecer más garantías o esté sujeto a condiciones adicionales. En otras palabras, las transferencias a un tercer país «adecuado» se asimilarán a una transmisión de datos dentro de la UE.
• A falta de una decisión de adecuación, la transferencia puede hacerse mediante el establecimiento de garantías adecuadas y a condición de que las personas cuenten con derechos exigibles y acciones legales efectivas. Tales garantías adecuadas incluyen, entre otras:
• en el caso de los grupos empresariales o la unión de empresas dedicadas a una actividad económica conjunta, que las empresas pueden transferir los datos personales basándose en las denominadas «normas corporativas vinculantes»,
• acuerdos contractuales con el destinatario de los datos personales que utilizan, por ejemplo, las cláusulas contractuales tipo aprobadas por la Comisión Europea,
• la adhesión a un código de conducta o un mecanismo de certificación junto con compromisos vinculantes y exigibles asumidos por el destinatario en relación con la aplicación de las garantías adecuadas para la protección de los datos transferidos.
• Por último, si se prevé realizar una transferencia de datos personales a un tercer país que no está sujeto a una decisión de adecuación y en ausencia de garantías adecuadas, se puede realizar la transferencia basándose en varias excepciones para situaciones específicas, por ejemplo, cuando una persona haya consentido explícitamente a la transferencia propuesta tras haber recibido toda la información necesaria sobre los riesgos relacionados con dicha transferencia.
• El tipo y la cantidad de datos personales que pueden tratar dependen de las razones del tratamiento (razón jurídica usada) y lo que quieran hacer con ello. Deben respetar varias normas clave, que incluyen las siguientes:
• los datos personales deben tratarse de forma lícita y transparente, garantizando la lealtad hacia las personas cuyos datos personales se están tratando («licitud, lealtad y transparencia»),
• deben tenerse fines específicos para el tratamiento de los datos e indicarse dichos fines a las personas al recopilar sus datos personales; no pueden recopilarse simplemente datos personales para fines indeterminados («limitación de la finalidad»),
• solo deben recopilarse y tratarse los datos personales que sean necesarios para cumplir esa finalidad («minimización de datos»),
• debe garantizarse que los datos personales sean exactos y estén actualizados, en relación con los fines para los que son tratados, y corregirlos en caso contrario («exactitud»),
• no se pueden seguir utilizando los datos personales para otros fines que no sean compatibles con la finalidad original de la recopilación,
• debe garantizarse que los datos personales no se conserven más tiempo del necesario para los fines para los que fueron recopilados («limitación del plazo de conservación»),
• deben establecerse garantías técnicas y organizativas apropiadas que garanticen la seguridad de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de la tecnología apropiada («integridad y confidencialidad»).
• ¿Podemos tratar datos para cualquier fin? No, deben saber para qué fin quieren tratar los datos personales e informar a las personas de las que se traten datos. No pueden indicar únicamente que se recopilarán y tratarán datos personales. Esto se conoce como el principio de la «limitación de la finalidad».
• ¿Podemos utilizar los datos para otro fin? Sí, pero solo en algunos casos. Si han recopilado datos basándose en un interés legítimo, un contrato o intereses vitales, pueden utilizarlos para otros fines, pero solo después de comprobar que el nuevo fin sea compatible con el fin original.
• Debe valorarse lo siguiente:
• la relación entre el fin inicial y el nuevo o futuro fin,
• el contexto en que se recopilaron los datos (¿cuál es la relación entre la empresa y la persona?),
• el tipo y la naturaleza de los datos (¿son sensibles?),
• las posibles consecuencias del tratamiento ulterior (¿cómo afectará a la persona?),
• la existencia de garantías adecuadas (como cifrado o seudonimización).
• Si quieren utilizar los datos para fines estadísticos o científicos, no es necesario realizar ninguna prueba de compatibilidad.
• Si han recogido los datos sobre la base del consentimiento o en cumplimiento de una exigencia de la legislación, no puede haber ningún tratamiento ulterior fuera de los ámbitos cubiertos por el consentimiento inicial o la disposición legal. Un tratamiento ulterior exigiría la obtención de un nuevo consentimiento o una nueva base jurídica.
• ¿Cuántos datos podemos recopilar? Los datos personales deben ser tratados únicamente cuando no sea razonablemente posible realizar el tratamiento de otra forma. Cuando sea posible, será preferible utilizar datos anónimos. Cuando se necesiten datos personales, estos deben ser adecuados, pertinentes y limitados a lo necesario para el fin («minimización de los datos»). Es responsabilidad suya, como responsables del tratamiento, evaluar la cantidad de datos necesarios y garantizar que no se recopilen datos que no sean pertinentes.
• ¿Durante cuánto tiempo podemos conservar los datos? Y, ¿tenemos que actualizarlos? Los datos deben conservarse durante el menor tiempo posible. Este plazo debe tener en cuenta los motivos por los que se necesita el tratamiento de los datos, así como las obligaciones legales de conservar los datos durante un tiempo determinado (como la legislación nacional laboral, fiscal o de lucha contra el fraude que exigen la conservación de los datos personales sobre empleados durante un período determinado, la duración de la garantía de los productos, etc.).
• Su empresa/organización debe establecer plazos de supresión o revisión de los datos que conserve.
• De forma excepcional, se pueden conservar los datos personales durante plazos más largos con fines de archivo en interés público o investigación científica o histórica, siempre que se establezcan medidas técnicas y organizativas apropiadas (como la anonimización, el cifrado, etc.).
• Además, deben garantizar que los datos que poseen sean exactos y mantenerlos actualizados.
• ¿Qué información debemos dar a las personas de las que recopilamos datos? En el momento de recopilar los datos, deben decir claramente a las personas de las que estén recopilando datos, por lo menos lo siguiente:
• quiénes son (su información de contacto y la de su delegado de protección de datos, si lo tienen),
• para qué utilizarán sus datos personales (fines),
• las categorías de datos personales de que se trate,
• la justificación jurídica del tratamiento de los datos,
• durante cuánto tiempo conservarán los datos,
• quién más puede recibirlos,
• si los datos personales se transferirán a un destinatario de fuera de la UE,
• que tienen derecho a una copia de los datos (derecho de acceso a los datos personales) y otros derechos básicos del ámbito de la protección de datos (véase la lista completa de derechos),
• su derecho a presentar una reclamación ante una autoridad de protección de datos,
• su derecho a retirar el consentimiento en todo momento,
• en su caso, la existencia de decisiones automatizadas y la lógica aplicada, además de las consecuencias que conlleva.
• Esta información puede facilitarse por escrito o, si procede, verbalmente a solicitud de la persona cuando se demuestre la identidad del interesado por otros medios o por medios electrónicos. Ello debe hacerse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo y de forma gratuita.
• Cuando los datos se hayan obtenido de otra empresa u organización, deberán proporcionar la información anterior a la persona a más tardar en el plazo de un mes a partir de la obtención de los datos personales; o, en caso de que ustedes se comuniquen con la persona, en el momento que los datos se utilicen para la comunicación; o, si se prevé revelarlos a otra empresa, en el momento que se revelen por primera vez.
• Asimismo, deben informar a la persona de las categorías de datos y la fuente de la que se obtuvieron; y, si se obtuvieron de fuentes de acceso público, suministrar también esta información. En circunstancias específicas enumeradas en el artículo 13, apartado 4, y el artículo 14, apartado 5, del Reglamento general de protección de datos pueden estar exentos de la obligación de informar a la persona. Verifiquen si están en alguno de estos escenarios.
• ¿Qué datos podemos tratar y en qué condiciones? El tipo y la cantidad de datos personales que pueden tratar dependen de las razones del tratamiento (razón jurídica usada) y lo que quieran hacer con ello. Deben respetar varias normas clave, que incluyen las siguientes:
• los datos personales deben tratarse de forma lícita y transparente, garantizando la lealtad hacia las personas cuyos datos personales se están tratando («licitud, lealtad y transparencia»),
• deben tenerse fines específicos para el tratamiento de los datos e indicarse dichos fines a las personas al recopilar sus datos personales; no pueden recopilarse simplemente datos personales para fines indeterminados («limitación de la finalidad»),
• solo deben recopilarse y tratarse los datos personales que sean necesarios para cumplir esa finalidad («minimización de datos»),
• debe garantizarse que los datos personales sean exactos y estén actualizados, en relación con los fines para los que son tratados, y corregirlos en caso contrario («exactitud»),
• no se pueden seguir utilizando los datos personales para otros fines que no sean compatibles con la finalidad original de la recopilación,
• debe garantizarse que los datos personales no se conserven más tiempo del necesario para los fines para los que fueron recopilados («limitación del plazo de conservación»),
• deben establecerse garantías técnicas y organizativas apropiadas que garanticen la seguridad de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de la tecnología apropiada («integridad y confidencialidad»).
• ¿Qué reglas se aplican si mi organización transfiere datos fuera de la UE? En el mundo globalizado actual, existen grandes cantidades de transferencias transfronterizas de datos personales, que a veces se conservan en servidores en varios países distintos. La protección que ofrece el Reglamento general de protección de datos (RGPD) viaja con los datos, lo cual significa que las normas que protegen los datos personales seguirán aplicándose independientemente de dónde vayan a parar los datos. Esto también se aplica cuando los datos se transfieren a un Estado no perteneciente a la Unión Europea (UE).
• El RGPD proporciona varias herramientas para establecer el marco para las transferencias de datos desde la UE a Estados no pertenecientes a la UE:
• A veces, mediante una decisión de la Comisión Europea («decisión de adecuación») se declara que un Estado no perteneciente a la UE ofrece un nivel de protección de datos adecuado, lo cual significa que se pueden transferir datos a otra empresa de ese Estado no perteneciente a la UE sin que el exportador de los datos deba ofrecer más garantías o esté sujeto a condiciones adicionales. En otras palabras, las transferencias a un tercer país «adecuado» se asimilarán a una transmisión de datos dentro de la UE.
• A falta de una decisión de adecuación, la transferencia puede hacerse mediante el establecimiento de garantías adecuadas y a condición de que las personas cuenten con derechos exigibles y acciones legales efectivas. Tales garantías adecuadas incluyen, entre otras:
• en el caso de los grupos empresariales o la unión de empresas dedicadas a una actividad económica conjunta, que las empresas pueden transferir los datos personales basándose en las denominadas «normas corporativas vinculantes»,
• acuerdos contractuales con el destinatario de los datos personales que utilizan, por ejemplo, las cláusulas contractuales tipo aprobadas por la Comisión Europea,
• la adhesión a un código de conducta o un mecanismo de certificación junto con compromisos vinculantes y exigibles asumidos por el destinatario en relación con la aplicación de las garantías adecuadas para la protección de los datos transferidos.
• Por último, si se prevé realizar una transferencia de datos personales a un tercer país que no está sujeto a una decisión de adecuación y en ausencia de garantías adecuadas, se puede realizar la transferencia basándose en varias excepciones para situaciones específicas, por ejemplo, cuando una persona haya consentido explícitamente a la transferencia propuesta tras haber recibido toda la información necesaria sobre los riesgos relacionados con dicha transferencia.
Indicadores
Material relacionado: 3.2_artcademy_training_fiche_obligations_level3_ae_spanish.docMás...Descargar en pdfMaterial de formación relacionado...
Título: Qué datos podemos tratar y en qué condiciones
Palabras clave: PROTECCIÓN DE DATOS, DERECHOS, OBLIGACIONES, REGISTRO, MARCA
Autor: AE
Idiomas: Español