¿Qué son los datos personales?
información relacionada con una persona identificada o identificable.
Ejemplos del tipo de información que puede permitir la identificación directa o indirecta de una persona y, por lo tanto, ser considerada datos personales, son:
- nombre, apellidos, números de teléfono de los clientes, interesados, empleados, proveedores;
- números de identificación, como el número de cliente de una persona, el número de empleado de un individuo,
- una referencia de reserva;
- direcciones de correo electrónico, datos de ubicación;
- el historial de navegación de un individuo;
- el historial de compras y los recibos de una persona;
- fotos, videos y grabaciones de audio que contengan imágenes o sonidos de individuos.
Con estos datos personales, una persona puede ser identificada directa o indirectamente:
- si tu emprea está procesando el nombre o apellido de una persona, por ejemplo, estos datos personales permiten la identificación directa de esta persona;
- si tu empresa está procesando el número de cliente de una persona o la referencia de reserva, por ejemplo, estos datos personales pueden permitir la identificación indirecta de esa persona.
- Cualquier tipo de información tratada en relación con la persona identificada directa o indirectamente (es decir, preferencias, hábitos) también se considerará como datos personales.
Leer más
Categorías especiales de datos personales
Algunos tipos de datos personales, generalmente llamados datos sensibles, pertenecen a categorías especiales que merecen más protección. De acuerdo con el artículo 9 del RGPD, los datos sensibles incluyen datos que revelan información sobre:
- la salud de una persona;
- la vida sexual u orientación sexual de un individuo;
- el origen racial o étnico de una persona;
- las opiniones políticas, las creencias religiosas o filosóficas de un individuo;
- los datos biométricos y genéticos de una persona;
- afiliación sindical.
El tratamiento de los datos sensibles de una persona está generalmente prohibido, excepto en circunstancias específicas que justifiquen su procesamiento (como el consentimiento explícito).
Para obtener más información sobre las circunstancias en las que se pueden procesar los datos sensibles, consulte Procesar datos personales legalmente
Datos personales relativos a condenas y delitos penales
El tratamiento de datos personales relacionados con condenas y delitos penales está sujeto a estrictas medidas legales. Estos datos personales solo pueden ser tratados por una autoridad oficial, como la policía, bajo el control de una autoridad oficial, o cuando lo autorice la legislación nacional.
Lista de verificación de buenas prácticas del RGPD
- Pregúntate si la finalidad para la que se recopilan los datos personales está justificada.
- Recopilar únicamente los datos personales que sean necesarios para los fines específicos previstos.
- Informar a las personas sobre cómo y con qué fines se pueden tratar sus datos personales.
- Comprueba si tienes una base legal adecuada para el tratamiento de datos personales. En caso de que tengas la intención de confiar en el consentimiento de las personas, solicita su consentimiento antes de procesar sus datos personales.
- Asegúrate de que los datos personales se manejan de manera segura.
- Mantén los datos personales de los individuos precisos y actualizados.
- Elimina los datos personales cuando ya no sean necesarios. Ten en cuenta que la legislación nacional puede obligarte a conservar determinados datos (por ejemplo, por motivos fiscales).
¿Qué significa el tratamiento de datos personales?
personas físicas incluye cualquier tipo de actividad (operación de tratamiento) realizada o no por medios automatizados sobre los datos personales de las personas o con ellos.
Ejemplos de operaciones de procesamiento incluyen la recopilación, grabación, organización, uso, modificación, almacenamiento y divulgación de los datos personales.
Incluso si el RGPD se refiere principalmente al tratamiento automatizado de datos personales, las operaciones de tratamiento realizadas manualmente también estarán sujetas al RGPD desde el momento en que los archivos en papel se organizan de manera sistemática, por ejemplo, ordenados alfabéticamente en un archivador.
Leer más
¿Se aplica el RGPD a su organización?
El RGPD puede aplicarse a todas las organizaciones privadas y públicas si:
- la organización en cuestión está establecida en la UE o en el Espacio Económico Europeo (EEE — países de la UE + Islandia, Liechtenstein y Noruega); o
- la organización no está establecida en el EEE, pero sus productos o servicios se ofrecen a personas que se encuentran en el EEE, o la organización está supervisando el comportamiento de las personas que se encuentran en el EEE.
El RGPD también se aplica de la misma manera a cualquier subcontratista que pueda estar tratando datos personales en nombre de una organización privada o pública.
En la práctica, el RGPD se aplica si se cumple una de las siguientes condiciones
- Empresa con sede en un país del EEE;
- Organización, con sede en un país no perteneciente al EEE, que vende bienes u ofrece servicios, incluso de forma gratuita, dirigidas a personas en un país del EEE;
- Empresa de TI con sede en un país no perteneciente al EEE que ha sido subcontratada por una organización privada con sede en el EEE para gestionar sus bases de datos informáticas, como la base de datos de un cliente;
- Proveedor de servicios con sede en el EEE que trata datos personales en nombre de otra empresa.
Los principios clave del RGPD
Al tratar los datos personales, tu organización debe cumplir con los siguientes 6 principios clave del RGPD. Además, debe ser capaz de demostrar su cumplimiento con estos principios.
Legalidad, Equidad y Transparencia
Todo tratamiento de datos personales debe ser lícito, justo y transparente.
Tu organización solo puede procesar los datos personales de una persona si la operación de tratamiento prevista es legal; por lo tanto, basado en el consentimiento del individuo, necesario para la ejecución de un contrato, o en una de las otras bases legales para el tratamiento de datos mencionados en el artículo 6 del RGPD.
Si el tratamiento se basa en el consentimiento, tu organización debe asegurarse de que este consentimiento se presta libremente, está informado, es específico e inequívoco. En otras palabras, no debe haber duda de que las personas son conscientes de lo que aceptan, con qué fines se está realizando el tratamiento, y que este consentimiento se dio activamente antes de que comenzara el tratamiento. Además, las personas deben poder retirar libremente su consentimiento. Si el tratamiento de los datos es necesario (por ejemplo, en el contexto de un contrato), significa que el consentimiento no es la base legal adecuada.
Limitación de la finalidad
Tu organización solo puede recopilar datos personales para fines específicos, explícitos y legítimos. El tratamiento de los datos de una persona debe limitarse estrictamente a los fines inicialmente establecidos y, por lo tanto, no tratarlos para fines posteriores o de otro tipo que sean incompatibles con los fines iniciales.
Minimización de datos
Tu organización solo puede tratar datos personales que sean necesarios y proporcionados a la luz del propósito previsto.
Precisión
Los datos personales de las personas que su organización trata deben ser precisos y mantenerse actualizados. Los datos personales inexactos deben ser rectificados o borrados.
Limitación de almacenamiento
El almacenamiento de los datos personales de las personas físicas debe estar limitado en el tiempo, de acuerdo con la finalidad para la que se recopilaron y trataron estos datos. Como tal, los datos personales de las personas deben eliminarse o anonimizarse una vez que estos datos ya no sean necesarios. En la práctica, esto significa que su organización debe tener una política interna con respecto a los períodos de conservación de datos para diferentes fines, así como un procedimiento para eliminar datos.
Seguridad
El tratamiento de los datos de las personas debe realizarse de manera segura. En este sentido, deben establecerse salvaguardias sólidas en materia de protección de datos, como las medidas de ciberseguridad adecuadas, para garantizar que los datos de las personas estén adecuadamente protegidos. Estas medidas deben evitar la divulgación, pérdida, destrucción o daño accidental, no autorizado o ilegal de los datos personales de las personas.
Leer más
sobre el tratamiento de datos personales con arreglo al artículo 6, apartado 1, letra b), del RGPD en el contexto de la prestación de servicios en línea a los interesados
CEPD