1. Centro de ayuda
  2. Preguntas frecuentes

Datos personales 

En este artículo, encontrarás respuestas a preguntas relacionadas con los datos de carácter personal.

Preguntas generales sobre los datos personales:

  • ¿Qué son los datos personales?
  • ¿Qué es el tratamiento de datos personales? 
  • ¿Cuál es la legalidad del tratamiento de datos personales?
  • ¿Qué es la obligación de informar del RGPD?

Herramientas para tratar los datos:

  • ¿Qué es un registro de tratamiento?

Actores en el tratamiento de datos: 

  • ¿Quién es el responsable del tratamiento?
  • ¿Quién es el encargado del tratamiento? 
  • ¿Qué es un tercero?
  • ¿Qué es un destinatario?

Cookies:

  • ¿Cómo saber qué cookies tienen una duración de más de 13 meses?

📕 ¿Qué son los datos personales?

Cualquier información que permita reconocer o identificar a una persona física, por sí sola o en combinación con otras (número de teléfono, número de cliente, número de tarjeta…): pueden ser sobre empleados, clientes, proveedores, etc. .


📕 ¿Qué es el tratamiento de datos personales? 

El tratamiento de datos personales es cualquier operación realizada con datos personales, incluso cuando están seudonimizados (recogida, uso, compilación, etc.), sin importar el número de personas implicadas (puede ir desde una a infinitas). 


📕 ¿Cuál es la legalidad del tratamiento de datos personales?

Una entidad puede tratar datos personales solo en algunos casos en los que exista necesidad (base jurídica del tratamiento): 

  • La necesidad de ejecutar un contrato que afecte al usuario o para ejecutar medidas precontractuales presentadas por él (por ejemplo, una dirección de entrega)
  • La  necesidad para respetar una obligación legal (por ejemplo, el número de seguridad social para las declaraciones sociales obligatorias)
  • La necesidad para proteger los intereses vitales del interesado o de otra persona física (por ejemplo, el nombre para una hospitalización)
  • La necesidad para el desempeño de una misión de interés público o relacionada con el ejercicio de la autoridad pública en la que participa el responsable del tratamiento de los datos (por ejemplo, la situación fiscal por parte del servicio tributario)
  •  La necesidad del tratamiento de datos con base en el interés legítimo del responsable de este o de un tercero, salvo si prevalecen los intereses o los derechos y libertades fundamentales del interesado (por ejemplo, los datos de conexión con fines estadísticos).

📕 ¿Qué es la obligación de informar del RGPD?

El responsable del tratamiento de datos debe comunicar al usuario lo siguiente: 

  • Su identidad e información de contacto
  • Los datos de contacto del Data Protection Officer (DPO)
  • Las finalidades del tratamiento de los datos personales (por qué los datos son procesados) y la base jurídica del tratamiento
  • El interés legítimo del responsable o de los terceros cuando el tratamiento de datos se basa en él
  • Los destinatarios de los datos
  • El hecho de que exista la intención de transferir los datos personales a otros países (fuera de la Unión Europea), a una organización internacional y la existencia o ausencia de una decisión en adecuación con las normativas emitidas por la Comisión o la referencia a las garantías apropiadas, principalmente las cláusulas contractuales o los acuerdos intraempresariales 
  • La duración de la conservación de los datos personales o – cuando no sea posible – los criterios utilizados para determinar esa duración
  • Su derecho de acceso, de  rectificación, de supresión, de limitación del tratamiento, de oposición y de conservación de sus datos
  • Su derecho a retirar su consentimiento cuando el tratamiento de datos se basa en él
  • Su derecho a apelar ante el organismo de control
  • Si la cuestión del requisito de facilitar datos es de carácter normativo o contractual, o si condiciona la celebración de un contrato
  • La existencia de una toma de decisiones automatizada que incluya la creación de perfiles. En este tipo de casos, se debe al menos mantener informada a la persona sobre la metodología, importancia y consecuencias del tratamiento de sus datos personales.   

 


📕 ¿Qué es un registro de tratamiento?

El artículo 30 del RGPD impone a cada responsable del tratamiento de datos tener un registro de los tratamientos efectuados bajo su responsabilidad .El registro debe contener los siguientes datos (algunos coinciden con los datos que se comunican a los clientes):  

  • El nombre y los datos de contacto del responsable del tratamiento de datos y, si no se tienen, del responsable adjunto, del representante del responsable y del delegado de protección de datos (también incluido en la obligación de información de los artículos 13 y 14 del RGPD); 
  • Las finalidades del tratamiento de datos (también incluido en la obligación de información de los artículos 13 y 14 del RGDP);  
  • Una descripción de las categorías de las personas interesadas  y de las categorías de los datos personales;  
  • Las categorías de destinatarios a quienes se ha comunicado o se comunicarán los datos personales, incluidos destinatarios de países terceros u organizaciones internacionales (también incluidas en la obligación de información de los artículos 13 y 14 del RGPD); 
  • Cuando sea necesario, las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de ese tercer país o de esa organización internacional. En el caso de las transferencias a que se refiere el artículo 49, apartado 1, párrafo segundo, documentos que acrediten la existencia de garantías adecuadas (también contenidas en la obligación de información de los artículos 13 y 14 del RGPD); 
  • Los plazos establecidos para suprimir las diferentes categorías de datos (también contenidos en la obligación de información de los artículos 13 y 14 del RGPD); 
  • En la medida de lo posible, una descripción general de las medidas de seguridad técnicas y organizacionales a las que se refiere el artículo 32 (por ejemplo, seudonimización y cifrado de datos personales; los medios para garantizar su confidencialidad, integridad, disponibilidad y la resistencia constante de los sistemas y servicios de procesamiento; los medios que permiten restablecer la disponibilidad de los datos personales y acceder a ellos dentro de un plazo adecuado en caso de incidente físico o técnico; el procedimiento para probar, analizar y evaluar periódicamente la eficacia de las medidas técnicas y organizacionales para garantizar la seguridad del tratamiento). 

Cada encargado del tratamiento de datos debe mantener un registro de las categorías de actividades efectuadas, que incluyen:   

  • Los nombres y datos de contacto del encargado del tratamiento de datos y de cada responsable en nombre del cual el encargado actúa, así como los datos de contacto del delegado de protección de datos (DPO); 
  • Las categorías de tratamiento efectuadas en nombre de cada responsable; 
  • Según corresponda, la transferencia de datos personales hacia un tercer país o una organización internacional y, en el caso de las transferencias a las que se refiere el artículo 49, apartado 1, párrafo segundo, documentos que acrediten la existencia de garantías adecuadas;  
  • En la medida de lo posible, una descripción general de las medidas de seguridad técnicas y organizacionales.  

Existen excepciones a la obligación de llevar estos registros, particularmente en el caso de una empresa con menos de 250 empleados, salvo si el tratamiento de datos presenta algún riesgo y no es ocasional o si incluye categorías especiales de datos personales (datos sensibles). 


📕 ¿Quién es el responsable del tratamiento?

Es la persona que decide las finalidades y los medios en que los datos son tratados (por qué y cómo son utilizados los datos). Es posible tener una responsabilidad compartida si la toma de decisiones también es compartida.   


📕 ¿Quién es el encargado del tratamiento?  

El encargado del tratamiento de datos es una persona que actúa únicamente bajo las instrucciones de otra y sin tomar la iniciativa sobre el uso de datos personales. 


📕 ¿Qué es un tercero?

Un tercero es cualquier persona física o jurídica, autoridad pública, servicio u organismo diferente al interesado, al responsable del tratamiento de datos o al encargado del mismo. 


📕 ¿Qué es un destinatario?

Un destinatario es aquella persona que recibe la comunicación u obtiene acceso a los datos personales, se trate o no de un tercero. Existe una excepción cuando ciertas autoridades públicas, en el marco de una investigación, reciben datos (aduanas, administración fiscal, etc.). Al no ser consideradas como destinatarias, no necesitan aparecer en el registro o ser mencionadas en la información presentada.  


⚙️ ¿Cómo saber qué cookies tienen una duración de más de 13 meses?

Para saber qué cookies tienen una duración de más de 13 meses, haz clic en el apartado “Cookie Lifetime” del informe de conformidad y obtendrás:

  • Una lista con el nombre de las cookies
  • Su duración
  • El nombre del dominio al que está vinculada
  • El nombre del proveedor que ha instalado la cookie