GDPR

1. Introducción
El 6 de diciembre de 2018, España aprobó la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), que incorpora las disposiciones del Reglamento General de Protección de Datos (GDPR). La Agencia Española de Protección de Datos (AEPD), como autoridad supervisora, ha emitido directrices y recomendaciones para facilitar la correcta aplicación de ambas normativas. Con la entrada en vigor de estas leyes, se estableció el marco general de protección de datos personales en España.

2. Ámbito de aplicación
Estas disposiciones se aplican al tratamiento de datos personales realizado en el contexto de las actividades de responsables o encargados establecidos en España, independientemente de si el tratamiento tiene lugar dentro o fuera del país.

También se aplican al tratamiento automatizado y no automatizado de datos personales que formen parte de un sistema de archivo. No se aplican a tratamientos realizados por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

Asimismo, se aplican a responsables o encargados no establecidos en España cuando ofrezcan bienes o servicios a personas residentes en España o supervisen su comportamiento dentro del territorio español.

3. Principios del tratamiento de datos
Licitud, lealtad y transparencia
El tratamiento debe basarse en una base legal, realizarse de forma justa y transparente, informando adecuadamente a los interesados.

Limitación de la finalidad
Los datos deben recogerse con fines específicos, explícitos y legítimos, y no tratarse posteriormente de manera incompatible con dichos fines.

Minimización de datos
Solo deben tratarse los datos personales necesarios y pertinentes para los fines previstos, evitando la recopilación excesiva.

Exactitud
Los datos personales deben ser exactos y mantenerse actualizados.

Limitación del plazo de conservación
Los datos deben conservarse únicamente durante el tiempo necesario para los fines del tratamiento y posteriormente eliminarse o anonimizarse.

Integridad y confidencialidad
Se deben aplicar medidas técnicas y organizativas adecuadas para proteger los datos contra accesos no autorizados, pérdidas o alteraciones.

4. Derechos de los interesados
Derecho a la información
Los usuarios tienen derecho a conocer cómo se tratan sus datos personales, incluyendo finalidad, métodos y duración de conservación.

Derecho de acceso
Permite confirmar si sus datos están siendo tratados y acceder a ellos.

Derecho de rectificación
Permite corregir datos inexactos o incompletos.

Derecho de supresión (derecho al olvido)
Permite solicitar la eliminación de datos en determinadas circunstancias.

Derecho a la limitación del tratamiento
Permite restringir el tratamiento en ciertos casos.

Derecho a la portabilidad
Permite recibir los datos en un formato estructurado y transferirlos a otro responsable.

Derecho de oposición
Permite oponerse al tratamiento basado en intereses legítimos o públicos, salvo que existan motivos legítimos imperiosos.

En el caso de menores de 14 años, el tratamiento de datos requiere el consentimiento del menor junto con la autorización de sus padres o tutores. La información debe presentarse de forma clara y adaptada a su edad.

5. Obligaciones del encargado del tratamiento
El encargado solo podrá tratar los datos conforme a las instrucciones del responsable y según lo establecido en el contrato.

Debe aplicar medidas técnicas y organizativas para garantizar la seguridad de los datos personales.

Debe colaborar con el responsable para cumplir con las obligaciones legales, especialmente en relación con los derechos de los interesados.

En caso de violación de seguridad, debe notificarlo inmediatamente al responsable, quien, si procede, informará a la AEPD y a los afectados.

Debe mantener un registro de las actividades de tratamiento.

Cuando el tratamiento implique alto riesgo, el responsable deberá realizar una evaluación de impacto (DPIA) conforme al artículo 35 del GDPR y, si persiste el riesgo, consultar previamente a la AEPD.

El responsable deberá designar un Delegado de Protección de Datos (DPO) cuando así lo exija la normativa, notificándolo a la autoridad competente.

6. Transferencias internacionales de datos
Cuando los datos personales se transfieran fuera de la Unión Europea, el responsable deberá garantizar un nivel adecuado de protección, mediante decisiones de adecuación de la Comisión Europea o cláusulas contractuales tipo.

El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea invalidó el acuerdo Privacy Shield. Posteriormente, el 4 de junio de 2021, la Comisión Europea adoptó nuevas cláusulas contractuales tipo, acompañadas de orientaciones de la AEPD para garantizar transferencias internacionales conformes al GDPR.

7. Supervisión y cumplimiento
La AEPD es la autoridad encargada de supervisar el cumplimiento de la normativa de protección de datos en España. En caso de infracción, puede imponer advertencias, sanciones o multas económicas que pueden alcanzar importes elevados, dependiendo de la gravedad.

Las personas también pueden establecer instrucciones sobre el uso de sus datos personales tras su fallecimiento. En ausencia de dichas instrucciones, el tratamiento se realizará conforme a la legislación vigente.

Estas disposiciones tienen como objetivo garantizar la protección efectiva de los datos personales, el respeto de los derechos de los interesados y el cumplimiento legal en todas las actividades relacionadas con el tratamiento de datos.

8. Contacto
Para cualquier consulta relacionada con la protección de datos o el ejercicio de sus derechos, puede ponerse en contacto con nuestro equipo por correo electrónico o teléfono. Estamos disponibles para ayudarle.