En términos generales, cada organización debe mantener un registro de sus actividades de tratamiento. Este es un inventario de todas las operaciones de tratamiento y puede ayudarte a asumir correctamente tus responsabilidades bajo el RGPD y los posibles riesgos.

Cada una de estas operaciones de tratamiento se describirá en el registro con la siguiente información:

• el propósito del tratamiento (por ejemplo, lealtad al cliente);
• las categorías de datos tratados (por ejemplo, para la nómina de sueldos: nombre, nombre, fecha de nacimiento, salario, etc.);
• quién tiene acceso a los datos (los destinatarios, por ejemplo: el departamento encargado de la contratación, el servicio informático, la gestión, los proveedores de servicios, los socios...);
• cuando proceda, información relacionada con transferencias de datos personales fuera del Espacio Económico Europeo (EEE),
• en la medida de lo posible, el período de almacenamiento (período durante el cual los datos son útiles desde el punto de vista operativo y desde una perspectiva de archivo).
• en la medida de lo posible, una descripción general de las medidas de seguridad.

El registro de las actividades de tratamiento es responsabilidad del gerente de su organización.

Este registro debe estar a disposición de la autoridad de protección de datos del país del EEE en el que opere, si se solicita.

No es necesario que las organizaciones que emplean a menos de 250 personas mencionen actividades puramente ocasionales en su registro (por ejemplo, datos tratados para eventos puntuales como la apertura de una tienda).

Más información:

• Cumplir la normativa

El RGPD se aplica al uso de cookies cuando se utilizan para tratar datos personales, pero también hay reglas más específicas para las cookies, incluida la Directiva sobre privacidad y comunicaciones electrónicas.

El almacenamiento de una cookie, o la obtención de acceso a una cookie ya almacenada, en el equipo terminal de un usuario solo está permitido a condición de que el abonado o usuario en cuestión haya sido adecuadamente informado (en particular sobre los fines del tratamiento) y haya dado su consentimiento.

La única excepción son las cookies técnicamente necesarias. Las organizaciones no necesitan solicitar su consentimiento cuando utilizan cookies técnicamente necesarias en sus sitios web.

Más información:

• Procesar datos personales legalmente

No, usted no necesita tener una certificación para convertirse en un DPD.

Sin embargo, los DPD deben poder demostrar que tienen las cualificaciones necesarias requeridas por el RGPD, como el conocimiento experto de la legislación y las prácticas en materia de protección de datos.

Más información:

• Delegado de Protección de Datos

Cada organización, independientemente de su tamaño o sector, establecida en el Espacio Económico Europeo (EEE) o que ofrezca productos o servicios a personas en el EEE, trata datos personales, ya sea por medios automatizados o no, para cumplir con el RGPD. Incluso si el RGPD se refiere principalmente al tratamiento automatizado de datos personales, las operaciones de tratamiento realizadas manualmente también estarán sujetas al RGPD desde el momento en que los archivos en papel se organizan de manera sistemática, por ejemplo, ordenados alfabéticamente en un archivador.

Ejemplos de operaciones de tratamiento incluyen la recopilación, grabación, organización, uso, modificación, almacenamiento, divulgación, alteración y borrado de los datos personales de las personas.

No obstante, la aplicación del RGPD se modula en función de la naturaleza, el contexto, los fines y los riesgos de las operaciones de tratamiento realizadas. Para las pymes cuya actividad principal no es el tratamiento de datos personales, las obligaciones pueden ser menos estrictas que para una gran empresa.

Más información:

• Aspectos básicos de la protección de datos

Sí, el RGPD se aplica si los datos personales están contenidos o están destinados a ser contenidos en un sistema de archivo. Esto significa que el RGPD también se aplica a los registros en papel y no solo al tratamiento automatizado de datos personales.

Más información:

• Aspectos básicos de la protección de datos

El CEPD publica regularmente comunicados de prensa, noticias, blogs y otros contenidos en el sitio web del CEPD y sus canales de redes sociales (Twitter: N.º @EU_EDPB; LinkedIn: Consejo Europeo de Protección de Datos) para mantener a la comunidad de protección de datos y al público en general al día de su labor.

El sitio web del CEPD también tiene dos canales RSS, a los que puede suscribirse para recibir actualizaciones automáticas sobre las noticias del CEPD y las últimas publicaciones del CEPD.

Las medidas de seguridad necesarias pueden diferir en función de la naturaleza de los datos personales que trata y los riesgos asociados para las personas. En cualquier caso, hay algunas medidas mínimas que debes poner en marcha:

• acceso seguro a los locales;
• utilizar programas antivirus actualizados periódicamente;
• elegir cuidadosamente las contraseñas;
• hacer que los usuarios se autentiquen antes de utilizar los equipos informáticos;
• tener una política de copia de seguridad y recuperación de datos en su lugar en caso de un incidente.

Además, algunas medidas básicas como bloquear la pantalla mientras estás fuera y cerrar la oficina al final del día nunca están fuera de lugar…

Más información:

• Datos personales seguros

Para que el consentimiento se considere válido, debe ser:

• libre;
• específico;
• informado; e
• inequívoco.

Esto significa que las personas deben tener una verdadera libertad de elección en cuanto a si están de acuerdo o no con el tratamiento de sus datos personales; necesitan información suficiente para comprender qué datos se tratan, con qué finalidad y cómo se hace; también necesitan suficiente granularidad en las solicitudes de consentimiento.

Además, debe haber una acción afirmativa clara por parte de la persona (sin casillas premarcadas y hecha por al margen de las condiciones generales aplicables).

Además, las personas deben poder retirar libremente su consentimiento (sin consecuencias negativas) si cambian de opinión más adelante.

Más información:

• Procesar datos personales legalmente

El RGPD prevé derechos específicos para las personas que deben respetarse. Para ello:

• informa a las personas cuyos datos tratas sobre sus operaciones de tratamiento y los fines de tratamiento cuando recoge sus datos, por ejemplo, a través de una declaración de privacidad en su sitio web;
• responde a las solicitudes de las personas para ejercer sus derechos, como las solicitudes de acceso, rectificación, oposición, supresión o portabilidad.

Las organizaciones que son transparentes sobre su uso de datos personales y que respetan los derechos de las personas tienen menos probabilidades de ser objeto de quejas.

Más información:

• Respetar los derechos de las personas

Las personas físicas tienen derecho a solicitar la supresión de los datos personales que les conciernen y, en tal caso, el responsable del tratamiento tiene la obligación de suprimir los datos personales. Debes responder sin demora indebida y a más tardar en el plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse otros dos meses si la solicitud es demasiado compleja y se necesita más tiempo para dar cumplimiento a la solicitud, siempre que se informe a la persona en el plazo de un mes a partir de la recepción de la solicitud.

Es importante señalar que el derecho de supresión no es absoluto. No se aplica cuando los datos en cuestión son necesarios para:

• ejercer el derecho a la libertad de expresión e información (por ejemplo, con fines periodísticos);
• el cumplimiento de una obligación legal que requiera el tratamiento de datos personales (por ejemplo, el tratamiento de registros sobre las horas de trabajo de los empleados);
• razones de interés público en el ámbito de la salud pública
• fines de archivo de interés público o de investigación científica o histórica o fines estadísticos; y
• el establecimiento, ejercicio o defensa de reclamaciones.

Cuando los datos personales que se van a borrar hayan sido transferidos previamente a otras organizaciones, debes informar a estos destinatarios de que la persona ha solicitado la supresión, a menos que esto resulte imposible o requiera esfuerzos desproporcionados.

Más información:

• Respetar los derechos de las personas