Guía completa del RGPD: tratamiento de datos, licitud, responsabilidad y política de seguridad
Introducción
El Reglamento General de Protección de Datos (RGPD / GDPR) establece el
marco legal europeo para el tratamiento de datos personales. Su aplicación recae sobre
cualquier organización que trate datos de personas físicas, imponiendo obligaciones claras
sobre cómo recopilar, almacenar, usar y proteger esa información.
Este artículo recorre los conceptos fundamentales del RGPD estructurados en cuatro bloques:
tratamiento de datos personales, licitud del tratamiento, responsabilidad del tratamiento
y política de seguridad, incluyendo ejemplos prácticos y tablas de referencia para cada bloque.
1. Tratamiento de datos personales
Conceptos básicos del RGPD
El Responsable del tratamiento es el sujeto obligado a cumplir todas las
disposiciones del GDPR, con el deber de tratar los datos personales de manera lícita y aplicar
las medidas adecuadas para protegerlos en cualquier fase del tratamiento.
El Reglamento solo es de aplicación cuando los datos personales son tratados por una
organización. No se aplica cuando se tratan datos de personas jurídicas (empresas) ni cuando
se tratan datos entre personas individuales, salvo que alguna de ellas realice el tratamiento
en el ejercicio de una actividad económica.
Definiciones clave del RGPD:
- Responsable del tratamiento: organización que determina los fines y los medios del tratamiento.
- Encargado del tratamiento: organización que realiza un tratamiento de datos por cuenta (encargo) del Responsable del tratamiento.
- Tratamiento: cualquier operación realizada sobre datos personales: obtención, acceso, intervención, transmisión, conservación y supresión.
- Datos personales: cualquier información relativa a una persona física por la cual pueda determinarse su identidad.
- Interesado: persona física sometida al tratamiento de sus datos personales.
- Fichero: conjunto estructurado de datos personales susceptibles de tratamiento para un fin determinado.
Identificación de ficheros: ejemplo de un club deportivo
Una vez que el Responsable del tratamiento tiene claros los conceptos básicos, debe identificar
los ficheros de datos personales que está tratando o que prevea tratar, su finalidad, y si los
trata por cuenta propia (Responsable) o por cuenta de terceros (Encargado).
| Fichero | Descripción | Categoría de datos | Responsabilidad |
|---|---|---|---|
| SOCIOS | Gestión social. Datos de los asociados (padres, jugadores, alumnos, voluntarios u otras personas). | Básico | Responsable |
| FEDERADOS | Gestión de licencias federativas. Jugadores que participan en competiciones federadas. Las revisiones médicas solo indican aptitud para competir, no datos de salud. | Básico | Responsable |
| SALUD | Gestión de informes médicos para prevenir trastornos de salud o tramitar accidentes deportivos. | Especial | Responsable |
| IMÁGENES | Gestión de audiovisuales para su publicación en medios de comunicación. | Básico | Responsable |
| ACTIVIDADES | Gestión de asistentes a las actividades que organiza el club: formación, campus, fiestas sociales, etc. | Básico | Responsable |
| VOLUNTARIOS | Organización de actividades sociales con personas colaboradoras, socias o no. | Básico | Responsable |
| ESCUELAS | Gestión por encargo de escuelas para la formación deportiva extraescolar de sus alumnos. | Básico | Encargado |
Una misma persona (interesado) podría estar incluida en hasta 7 ficheros distintos, ya que
la finalidad y los medios del tratamiento varían para cada uno de ellos.
Categorías de datos
- Datos básicos: datos personales que no correspondan a categorías especiales ni a condenas y delitos penales. Ejemplos: nombre, dirección, email, teléfono, edad, sexo, firma, imagen, aficiones, patrimonio, datos bancarios, información académica, profesional, social, comercial o financiera.
- Categorías especiales de datos: origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca, datos relativos a la salud, vida u orientación sexuales.
- Condenas y delitos penales: datos relativos a condenas y delitos penales o medidas de seguridad afines.
Ejercicio práctico 1: análisis de tipos de datos
A continuación se resuelve el ejercicio de identificación de ficheros para dos escenarios
empresariales: una empresa mediana con base de datos de empleados y una cadena de farmacias.
Empresa mediana con base de datos de empleados
La empresa registra los siguientes datos en su base de datos local:
REGIÓN (Nombre_Región)
PROVINCIA (CódigoProvincia, Nombre_provincia)
LOCALIDAD (Código_localidad, Nombre)
EMPLEADO (Id_E, DNI_E, Nombre, Teléfono, Salario)
| Fichero | Descripción | Categoría | Responsabilidad |
|---|---|---|---|
| Empleado | Gestión de datos de los trabajadores: datos personales, salario y localidad. | Especial | Empleado o jefe en caso de no tener firma |
Cadena de farmacias
La base de datos de la cadena de farmacias incluye, entre otras, las siguientes entidades:
Ciudad (nombre, CI_farmacéutico)
Farmacia (número, nombre, dirección, nombre_ciudad)
Personal (CI, nombre)
Farmacéutico (CI, fecha_título, nombre_ciudad)
Propio (CI, salario)
Medicamento (código, nombre, precio, cantidad, código_laboratorio)| Fichero | Descripción | Categoría | Responsabilidad |
|---|---|---|---|
| Personal | Información personal, código identificador. | Especial | Empleado en cargo o jefe en caso de no tener firma |
Principios del tratamiento
Una vez identificados los ficheros, las categorías de datos y la responsabilidad del
tratamiento, se deberá garantizar que el tratamiento realizado es conforme con el Reglamento,
cumpliendo todos los principios de protección de datos:
| Principio | Descripción | Aplicación |
|---|---|---|
| Licitud | Lealtad y transparencia con el interesado. | Determinar el protocolo de información al interesado (Política de información). Crear documentación informativa y procedimiento para obtener el consentimiento explícito. |
| Limitación de los fines | Recogidos con fines determinados, explícitos y legítimos, no tratados de manera incompatible con dichos fines. | Determinar los fines del tratamiento para cada fichero. Deben ser claros y relacionados entre sí. Informar la finalidad al interesado. |
| Minimización de los datos | Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. | Determinar los datos necesarios. Solo obtener los imprescindibles para los fines. Eliminar información innecesaria. |
| Exactitud | Actualizados sin demora respecto a los fines para los que se tratan. | Determinar procedimientos para actualizar los datos. Avisos o recordatorios a los interesados. |
| Limitación del plazo de conservación | Mantenidos de forma que permita la identificación de los interesados solo durante el tiempo necesario para los fines. | Determinar criterios de conservación y eliminación. Informar del plazo al interesado en el documento de consentimiento. |
| Integridad y confidencialidad | Implementar medidas técnicas y organizativas adecuadas para proteger los datos contra tratamientos no autorizados, pérdida, destrucción o daño accidentales. | Política de seguridad. Contratos de confidencialidad. Contratos con empresas externas (Encargados). Medidas de seguridad adecuadas. Protección desde el diseño y por defecto. Garantías para transferencias internacionales. Análisis de riesgos y evaluación de impacto si corresponde. |
| Responsabilidad proactiva | Siendo responsable y capaz de demostrar el cumplimiento de todos los principios del tratamiento. | Documentar y guardar consentimientos, protocolos, políticas, contratos, garantías, registros de actividades, evaluaciones de impacto, auditorías e informes que demuestren el cumplimiento. |
Aplicación de los principios del tratamiento
Tras identificar los ficheros y verificar los principios del tratamiento, se debe comprobar
si las operaciones de tratamiento contemplan alguna de las siguientes categorías
especiales de tratamiento:
- Tratamiento con alto riesgo: sujeto a una evaluación de impacto por ser susceptible de comportar un alto riesgo para los derechos y libertades de los interesados.
- Transferencias internacionales de datos: traspaso de datos a Responsables o Encargados establecidos fuera de la UE.
- Elaboración de perfiles: decisiones individuales basadas en tratamiento automatizado para evaluar aspectos personales, rendimiento, salud, comportamiento o ubicación.
- Datos tratados por grupos de empresas: grupo que comprende una empresa que ejerce el control y las empresas controladas.
- Datos de titularidad o interés público: tratamientos por Autoridades u Organismos públicos, o con finalidades de interés público, investigación histórica, estadística o científica.
El proceso completo de adaptación al RGPD se estructura en dos fases:
Primera fase — Identificación del tratamiento:
- Identificación de ficheros.
- Asignación de la categoría de datos y responsabilidad a cada fichero.
- Cumplimiento de los principios del tratamiento.
- Asignación de la categoría de tratamiento a cada fichero (si hubiera).
Segunda fase — Aplicación efectiva del RGPD:
- La licitud del tratamiento.
- La responsabilidad del tratamiento.
- La política de seguridad.
- Las categorías de tratamiento.
- Los derechos del interesado.
- Las garantías de cumplimiento (documentación).
2. Licitud del tratamiento
El RGPD establece que el tratamiento de datos personales debe basarse, de forma general,
en el consentimiento libre, informado, específico e inequívoco del interesado.
El Reglamento requiere una declaración o acción positiva del interesado que indique su
conformidad con el tratamiento, basada en información concisa, transparente, inteligible
y de fácil acceso.
Para que un tratamiento sea considerado lícito se deben cumplir tres premisas:
- Obtención del consentimiento para el tratamiento de datos.
- Información del tratamiento facilitada al interesado.
- Establecer una política de información.
Ejemplo de licitud del tratamiento: ficheros de una empresa
| Fichero | Finalidad | Consentimiento | Información |
|---|---|---|---|
| Clientes y proveedores | Gestión fiscal y contable. | Obligación jurídica del Responsable. | A disposición del interesado. |
| Contactos | Gestión comercial. | Autorización firmada (papel o documento electrónico). | En el momento de la obtención de datos. |
| Consumidores | Gestión de quejas y sugerencias de usuarios de productos o servicios. | Por interés del interesado. | En el momento de la obtención de datos. |
| Videovigilancia | Captación de imágenes por motivos de seguridad. | Icono formalizado (logo videovigilancia). | En combinación con icono formalizado visible antes del tratamiento. |
| Personal | Gestión de empleados, nóminas y RR. HH. | Obligación jurídica del Responsable. | En el momento de la obtención de datos. |
| PRL | Prevención de riesgos laborales. | Obligación jurídica del Responsable. | A disposición del interesado. |
| Seguro laboral | Contratación de seguros para desplazamientos comerciales. | Interés legítimo del Responsable del tratamiento. | En el momento de la transmisión de datos al Destinatario (empresa de seguros). |
| Currículums | Datos de posibles trabajadores de la empresa. | Por interés del interesado. | En el momento de la obtención de datos. |
Consentimientos tácitos de la LOPD vs. RGPD
El consentimiento tácito queda prohibido desde la derogación de la LOPD. A partir de ese
momento, el Responsable del tratamiento debe solicitar a los interesados el
consentimiento explícito que requiere el Reglamento. Para la obtención
de datos por obligación legal no se requiere el consentimiento del interesado. Sin embargo,
para comunicaciones comerciales a personas individuales sí será necesario el consentimiento
explícito y verificable.
Obtención del consentimiento: requisitos de validez
Para que un consentimiento sea considerado válido se deben cumplir los siguientes requisitos:
- Información específica: el consentimiento debe ser específico y basado en información adecuada. No es aceptable el consentimiento genérico sin especificar el propósito exacto.
- Momento: el consentimiento debe darse antes de que comience el tratamiento.
- Elección activa: debe ser inequívoco, una indicación activa de la voluntad del interesado, sin dejar ninguna duda sobre su intención.
- Libremente otorgado: solo será válido si el interesado ejerce una elección real, sin riesgo de engaño, intimidación, coacción o consecuencias negativas.
Condiciones adicionales para la gestión del consentimiento:
- Implementar políticas para obtener el consentimiento y dar instrucciones precisas al personal autorizado.
- Guardar los comprobantes del consentimiento, escaneándolos si es posible.
- No condicionar el consentimiento a una prestación de servicios que no requiera el tratamiento de datos.
- Posibilitar la retirada del consentimiento en cualquier momento, de forma tan sencilla como fue obtenido.
Cuándo no es necesario el consentimiento explícito
- Cuando exista una obligación jurídica a la que esté sujeto el Responsable (por ejemplo, la emisión de una factura).
- Cuando exista un contrato o precontrato con el interesado que requiera tratar sus datos.
- Cuando los datos puedan obtenerse legítimamente de archivos de acceso público o el interesado los haya hecho manifiestamente públicos.
- Cuando exista la necesidad de la protección de intereses vitales del interesado u otra persona física (por ejemplo, en un accidente de tráfico o por motivos de salud).
- Por un interés legítimo del Responsable o de terceros, siempre que no prevalezcan los intereses o derechos del interesado.
- Cuando exista un cometido de interés público fundamentado en la legislación vigente.
En resumen, el tratamiento será legítimo cuando los datos se obtienen de:
| Origen | Formas de legitimación |
|---|---|
| Interesado | Autorización firmada (papel o electrónica), autorización confirmada (por medios electrónicos), contrato o precontrato, por interés del interesado, consentimiento informado mediante iconos formalizados. |
| Terceros | Datos recibidos como Destinatario de otro Responsable, datos obtenidos legítimamente de fuentes públicas, datos hechos manifiestamente públicos por el interesado. |
| Situaciones específicas | Protección de intereses vitales, interés legítimo del Responsable, interés público. |
Información del tratamiento facilitada al interesado
El Reglamento obliga a facilitar la información del tratamiento de forma concisa,
transparente, inteligible y de fácil acceso, con lenguaje claro y sencillo. La
información puede facilitarse por escrito, por medios electrónicos, oralmente (si lo solicita
el interesado) o mediante iconos formalizados (como el logo de videovigilancia).
Los documentos de consentimiento ya no necesitarán las largas cláusulas informativas que
exigía la LOPD para los consentimientos tácitos. La información del tratamiento siempre
debe estar a disposición del interesado, aunque no necesariamente incorporada en cada documento.
Contenido mínimo de la información al interesado
En los documentos donde se solicite el consentimiento explícito, el Responsable debe facilitar:
- La base jurídica del tratamiento.
- La identidad y datos de contacto del Responsable del tratamiento y del DPO (si existe).
- Los fines del tratamiento.
- El plazo de conservación de los datos o los criterios que lo determinen.
- Los derechos del interesado.
- El interés legítimo del Responsable, si el tratamiento se basa en este interés.
- Los Destinatarios de los datos, si se prevé comunicarlos a otro Responsable.
Para tratamientos específicos se añadirá adicionalmente:
- Las transferencias internacionales de datos y la existencia o ausencia de una decisión de suficiencia o garantías apropiadas.
- Cuando exista un mecanismo automatizado de elaboración de perfiles, información sobre la lógica aplicada y las consecuencias previstas.
- Si los datos son obtenidos de fuentes externas: la fuente de procedencia y las categorías de datos tratados.
Ejemplo de cláusula informativa para el fichero CONTACTOS
«… es el Responsable del tratamiento de los datos personales del Interesado y le informa
que estos datos serán tratados de conformidad con lo dispuesto en el Reglamento (UE) 2016/679
de 27 de abril de 2016 (GDPR), por lo que se le facilita la siguiente información del tratamiento:
- Fin del tratamiento: mantener una relación comercial mediante la comunicación de nuestros productos y servicios.
- Criterios de conservación: se conservarán mientras exista un interés mutuo para mantener el fin del tratamiento. Cuando ya no sea necesario, se suprimirán con medidas adecuadas de seudonimización o destrucción.
- Comunicación de los datos: no se comunicarán los datos a ningún destinatario.
- Derechos del interesado: derecho a retirar el consentimiento en cualquier momento; derecho de acceso, rectificación y supresión; derecho a la limitación u oposición al tratamiento; derecho a reclamar ante la Autoridad de control (agpd.es).»
Política de información
El Responsable del tratamiento deberá diseñar políticas concisas, transparentes, sencillas
y accesibles para comunicar al interesado los detalles del tratamiento. La política de
información deberá establecer los siguientes procedimientos:
- Protocolo para dar curso a las solicitudes de los derechos de los interesados dentro de los plazos del Reglamento.
- Protocolo para la comunicación de la información: en el momento de la obtención de datos (si provienen del interesado), en un plazo máximo de 1 mes si provienen de fuentes externas, y en el momento de la transmisión a un Destinatario.
- Protocolo para los casos en que no es necesario informar al interesado: obligación legal del Responsable, el interesado ya dispone de la información, o la comunicación sería imposible o desproporcionada.
3. Responsabilidad del tratamiento
Aplicar la protección de datos paso a paso
El procedimiento completo de adaptación al Reglamento se articula en tres etapas:
- 1. Tratamiento de datos: identificar ficheros, asignar categorías de datos y responsabilidad, analizar categorías de tratamiento especiales y comprobar el cumplimiento de los principios.
- 2. Licitud del tratamiento: métodos de obtención del consentimiento, procedimientos de información al interesado y política de información.
- 3. Responsabilidad del tratamiento: protocolo de actuación, contratos con personal y Encargados, acuerdos con Corresponsables y Destinatarios, y registro de actividades.
Protocolo de actuación para adaptarse al Reglamento
La máxima responsabilidad recae en el Responsable del tratamiento, que es
quien determina los fines y los medios del tratamiento. Debe establecer quién va a tratar los
datos (personal propio o empresas externas), si los datos podrán cederse a terceros y si se
realizarán transferencias internacionales. Solo podrá desvincularse de su responsabilidad si
formaliza contratos conforme al RGPD con todos los intervinientes en el tratamiento.
Contratos con el personal autorizado
El personal autorizado para el tratamiento debe comprometerse a seguir las instrucciones del
Responsable y a respetar la confidencialidad de los datos. Para ello, el Responsable formalizará
acuerdos de confidencialidad por escrito y debidamente firmados, en formato
electrónico o papel.
Contratos con los Encargados del tratamiento
El Responsable solo podrá contratar empresas Encargadas del tratamiento si ofrecen suficientes
garantías para cumplir el Reglamento. Deberá suscribir un contrato por escrito
que recoja todas las instrucciones del tratamiento exigidas por el RGPD.
Cuando el Responsable también es Encargado del tratamiento
Si además de Responsable también se actúa como Encargado, es imprescindible suscribir un
contrato con el Responsable del tratamiento antes de proceder. Si se tratan datos por cuenta
de un Responsable sin el contrato correspondiente, el tratamiento será considerado ilícito.
El Encargado no podrá subcontratar el servicio a otro Encargado sin autorización previa y
por escrito del Responsable.
Acuerdos con Corresponsables del tratamiento
Cuando los fines y los medios del tratamiento se determinen entre varios Responsables, todos
serán Corresponsables del tratamiento. La relación se formalizará mediante
un acuerdo por escrito donde se definan las funciones y responsabilidades de cada uno.
Contratos de cesión de datos a Destinatarios
El Responsable solo podrá comunicar datos a Destinatarios si ello es necesario para alcanzar
la finalidad del tratamiento y se informa al interesado de la cesión. Antes de transferir
datos, se suscribirá un contrato por escrito que refleje la licitud de la obtención, la
finalidad de la cesión y que el Destinatario será el nuevo Responsable del tratamiento.
Empresas sin permiso de acceso a datos
Cuando se contraten empresas de servicios sin acceso autorizado a datos (limpieza, extintores,
etc.), el Responsable deberá analizar los riesgos y, si existen, formalizar un contrato donde
conste que no tienen permiso de acceso a los datos y que establecerán acuerdos de
confidencialidad con su personal.
Registro de las actividades del tratamiento
La obligación de llevar un Registro de actividades afecta a Responsables y Encargados que cumplan alguna de estas condiciones:
- Empleen a un mínimo de 250 personas.
- Realicen habitualmente tratamientos que puedan suponer un riesgo para los interesados.
- Traten categorías especiales de datos.
- Traten datos relativos a condenas y delitos penales.
El Registro deberá documentarse en formato electrónico e incluir datos de contacto de todos los implicados, fines del tratamiento, categorías de interesados y datos, categorías de Destinatarios, transferencias internacionales y —cuando sea posible— plazos de supresión y descripción de medidas de seguridad.
Resumen de la responsabilidad del tratamiento
| Rol | Obligaciones principales |
|---|---|
| Responsable del tratamiento | Clasificar ficheros, determinar fines y medios, garantizar protección de datos, acuerdos de confidencialidad con personal, contratos con Encargados, acuerdos con Corresponsables, contratos de cesión con Destinatarios, Registro de actividades. |
| Personal autorizado | Seguir las instrucciones del Responsable, acuerdo de compromiso de confidencialidad. |
| Encargado del tratamiento | Contratos de acceso con el Responsable, seguir sus instrucciones, clasificar ficheros, acuerdos de confidencialidad con su personal, gestionar derechos de los interesados, autorización para subcontratar, Registro de actividades. |
| Corresponsable del tratamiento | Definir funciones y responsabilidades de cada Corresponsable, acordar la gestión de los derechos de los interesados. |
| Destinatario de datos | Contratos de cesión con el Responsable, información sobre la licitud de la comunicación, proceder como Responsable de los datos obtenidos. |
| Sin permiso de acceso a datos | Análisis de riesgos, contratos sin permiso de acceso, acuerdos de confidencialidad con el personal. |
4. Política de seguridad
Implantación de mecanismos de seguridad
Una vez identificados los ficheros y la responsabilidad del tratamiento, debe establecerse
una política de seguridad que garantice la aplicación de medidas adecuadas
de protección de datos. A diferencia de la LOPD, el RGPD no especifica niveles de seguridad
predefinidos ni obliga a redactar un Documento de seguridad específico; responsabiliza a la
organización de que las medidas adoptadas sean adecuadas, teniendo en cuenta el estado de la
técnica, los costes de aplicación y la naturaleza, alcance, contexto y fines del tratamiento.
Categorías de datos Básicos: medidas de seguridad
Las medidas básicas se aplican a cualquier categoría de datos y se basan en el principio de
integridad y confidencialidad:
| Tratamiento | Medidas de seguridad |
|---|---|
| Responsabilidad | Contratos de confidencialidad con el personal autorizado. Contratos de tratamiento de datos con empresas externas. Garantías adecuadas para la transmisión de datos a terceros. |
| Riesgos | Análisis de los riesgos del tratamiento. Protección de datos desde el diseño y por defecto. Aplicación de medidas de seguridad adecuadas. |
| > 250 empleados | Registro de actividades. |
Análisis de los riesgos del tratamiento
Se analizarán los riesgos que puedan derivarse de:
- La destrucción accidental o ilícita de datos.
- La pérdida, alteración o comunicación no autorizada.
- El acceso a los datos cuando sean transmitidos, conservados u objeto de algún otro tipo de tratamiento.
Según el riesgo previsto, se aplicarán las siguientes medidas:
| Tratamiento | Medidas de seguridad |
|---|---|
| Siempre | Seudonimización o cifrado de datos. Seguridad de los sistemas de tratamiento. Acuerdos de confidencialidad. Copias de respaldo. Auditoría de las medidas de seguridad. |
| Alto riesgo | Evaluación de impacto. |
Protección de datos desde el diseño y por defecto
| Tratamiento | Medidas de seguridad |
|---|---|
| Principios | Fines específicos, minimización de datos, exactitud, confidencialidad e integridad, seguridad física de los datos, supresión de datos. |
| Interesados | Protección de los derechos del interesado. |
| Acceso a datos | No accesibles a un número indeterminado de personas. |
| Alto riesgo | Aplicación de los resultados de la evaluación de impacto. |
Aplicación de medidas de seguridad adecuadas
| Ámbito | Medidas de seguridad |
|---|---|
| Organización | Clasificados de manera que se puedan ejercer los derechos de los interesados. |
| Conservación | Documental (mobiliario, archivadores, etc.) e informática (soportes, carpetas, archivos, etc.). |
| Acceso | Documental (llaves, acceso restringido) e informático (identificación, autenticación). |
| Procesamiento | Soportes documentales e informáticos no accesibles a personas no autorizadas. |
| Transporte | Personal autorizado y empresas Encargadas del tratamiento. |
| Eliminación | Destructora de documentos y soportes. Empresas homologadas de residuos. |
| Copias de respaldo | Copias de seguridad internas y externas. |
| Protección | Antivirus, antispam, cortafuegos, seudonimización, cifrado, etc. |
| Redes | Permisos de acceso a redes, identificación y autenticación. |
| Internacional | Decisión de suficiencia y garantías adecuadas de protección de datos. |
| Auditorías | Responsabilidad proactiva, registro de las actividades del tratamiento, política de seguridad. |
Categorías especiales de datos: medidas de seguridad
| Tratamiento | Medidas de seguridad |
|---|---|
| Licitud | Consentimiento explícito para fines específicos. Realizado por organizaciones sin ánimo de lucro con finalidad política, filosófica, religiosa o sindical. Tratamiento fundamentado en la legislación vigente. |
| Siempre | Registro de actividades. |
| Gran escala | Categoría de tratamiento de alto riesgo. Evaluación de impacto. Designación de un DPO. |
Categorías de datos penales: medidas de seguridad
| Tratamiento | Medidas de seguridad |
|---|---|
| Licitud | Tratamiento fundamentado en la legislación vigente. |
| Siempre | Registro de actividades. Categoría de tratamiento de alto riesgo. Evaluación de impacto. |
| Gran escala | Designación de un DPO. |
Categorías de tratamiento
Las categorías de tratamiento se aplican a cualquier categoría de datos y pueden ser varias
simultáneamente. Tras asignar al fichero la categoría de datos correspondiente, se analiza
si le afecta alguna de las siguientes categorías de tratamiento:
- ALTO RIESGO: Tratamiento con alto riesgo.
- INTERNACIONAL: Transferencias internacionales de datos.
- PERFILES: Elaboración de perfiles.
- GRUPO: Datos tratados por grupos de empresas.
- PÚBLICO: Datos de titularidad o interés público.
Tratamiento con alto riesgo
| Tratamiento | Medidas de seguridad |
|---|---|
| Alto riesgo | Nuevas tecnologías. Evaluación de impacto. |
| Gran escala | Categorías especiales de datos. Observación sistemática de zonas de acceso público. Designar un DPO. |
| Penales | Datos relativos a condenas y delitos penales. Designar un DPO. |
| Perfiles | Con efectos jurídicos que afecten al interesado. Evaluación de impacto. |
Transferencias internacionales de datos
Solo se podrán realizar transferencias internacionales si el nivel de protección de datos
está garantizado mediante una decisión de adecuación de la Comisión de la UE
o mediante garantías adecuadas de protección. En todo caso, se suscribirá el
correspondiente contrato con el receptor de datos.
| Origen de la licitud | Mecanismo |
|---|---|
| Comisión UE | Decisión de adecuación (Suiza, Canadá, Argentina, Israel, Uruguay, Nueva Zelanda, entre otros). Acuerdos internacionales de privacidad. |
| Autoridad de control | Acuerdos legales entre Organismos públicos, cláusulas tipo, mecanismos de certificación, normas corporativas vinculantes, códigos de conducta. |
| Interesado | Consentimiento explícito con información de los riesgos, contrato con el interesado, para proteger intereses vitales. |
| Responsable del tratamiento | Por interés legítimo e imperioso del Responsable. |
| Público | Por motivos legítimos de interés público. |
Elaboración de perfiles
| Tratamiento | Medidas de seguridad |
|---|---|
| Licitud | Consentimiento explícito del interesado o contrato con el interesado. |
| Información al interesado | Lógica aplicada para el tratamiento. Importancia y consecuencias previstas para el interesado. |
| Alto riesgo | Con evaluación sistemática y exhaustiva: evaluación de impacto y designar un DPO. Con efectos jurídicos contra el interesado: evaluación de impacto. |
Grupo de empresas
| Tratamiento | Medidas de seguridad |
|---|---|
| Garantías de cumplimiento | Adhesión a normas corporativas vinculantes aprobadas por la Autoridad de control. |
| Derechos del interesado | Derechos exigibles y vinculantes al grupo de empresas. |
| Destinatarios de datos | La transmisión de datos entre miembros del grupo no será considerada como cesión a Destinatarios. |
Datos de titularidad o interés público
| Tratamiento | Medidas de seguridad |
|---|---|
| Licitud | Cumplimiento de un cometido de interés público. Fines de investigación histórica, estadística o científica. Interés legítimo de las Autoridades públicas. Tratamiento fundamentado en la legislación vigente. |
| Sin límite de plazo de conservación | Fines de archivo en interés público. Investigación histórica, estadística o científica. |
| Sin necesidad de informar al interesado | Tratamiento fundamentado en la legislación vigente; se adopten medidas de seguridad adecuadas; se publique la información. |
| Autoridades u Organismos públicos | Designar un DPO. |
Conclusión y siguientes pasos
El RGPD supone una transformación profunda en la cultura de privacidad de las organizaciones:
deja de ser suficiente con cumplir unos niveles de seguridad predefinidos para exigir una
responsabilidad proactiva y demostrable. Las organizaciones deben identificar
sus ficheros, aplicar los principios del tratamiento, obtener consentimientos válidos, formalizar
contratos con todos los intervinientes e implantar medidas de seguridad proporcionales al riesgo.
Como siguientes pasos se recomienda:
- Realizar un mapa de ficheros completo de la organización y clasificarlos según las categorías del Reglamento.
- Revisar todos los formularios y cláusulas de consentimiento para adecuarlos al consentimiento explícito.
- Evaluar si la organización está obligada a designar un DPO (Delegado de Protección de Datos).
- Realizar una evaluación de impacto en todos los tratamientos con alto riesgo.
- Comprobar el cumplimiento periódico mediante auditorías internas y mantener actualizado el Registro de actividades del tratamiento.
Para autoevaluar los conocimientos adquiridos, se puede realizar el siguiente test online:
Test de RGPD / LOPDGDD
Entradas recientes
- De la web estática a la dinámica: diferencias entre HTML y PHP, motores de búsqueda y herramientas
- KDE vs GNOME: diferencias, historia, alternativas y tutorial para instalar nuevos entornos en tu distribución
- Cómo funciona una fuente de alimentación: desmontaje, análisis de componentes y comprobación con multímetro
- Redes locales en Linux: tarjetas de red, comandos de diagnóstico, Wireshark y conceptos clave
- Permisos en Linux: acceso administrativo, chmod y chown