¿Qué es el GDPR?



General Data Protection Regulation o GDPR

GDPR es el acrónimo de General Data Protection Regulation, que identifica el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. El GDPR deroga la Directiva 95/46/CE.
El GDPR entró en vigor el 25 de mayo de 2016 y es de aplicación obligatoria en cada Estado miembro de la UE desde el 25 de mayo de 2018.


Ámbito de aplicación territorial

El GDPR se aplica a las operaciones realizadas sobre datos personales de ciudadanos residentes en la UE (interesados) efectuadas por un Responsable (RT) o un Encargado (ET) del tratamiento:

  • Establecido en la UE, independientemente de que el tratamiento tenga lugar en la UE o no.
  • No establecido en la UE, siempre y cuando las actividades del tratamiento estén relacionadas con:
    • La oferta de bienes o servicios a personas residentes en la UE, se pague o no por ello.
    • El control de la conducta de personas, si tiene lugar en la UE.
  • No establecido en la UE, pero sea de aplicación la legislación de un Estado de la UE.


Ámbito de aplicación material

  • El GDPR se aplica al tratamiento de datos personales destinado a ser incluido en un fichero:
    • Automatizado (digital o electrónico).
    • No automatizado (manual o papel).
    • Parcialmente automatizado (digital o manual).
  • El GDPR no se aplica al tratamiento de datos personales:
    • En el ejercicio de una actividad no comprendida en el ámbito de aplicación de una ley.
    • Efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas
    • Por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

Conceptos fundamentales

  • Datos personales: información relativa a una persona física, identificada o identificable, por la cual pueda determinarse, directa o indirectamente, su identidad.
  • Interesado: persona física sometida al tratamiento de sus datos personales.
  • Tratamiento: operaciones realizadas sobre datos personales:
    • Recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión, cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
  • Fichero: conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.


Categorías de datos

  • Básicos: datos personales no comprendidos en las categorías Especiales o Penales.
    • Por ejemplo: nombre, dirección, e-mail, teléfono, edad, sexo, firma, imagen, aficiones, patrimonio, datos bancarios, información académica, profesional, social, comercial, financiera, etc.
  • Especiales (datos sensibles): datos:
    • Relativos al origen étnico o racial.
    • Relativos a opiniones políticas.
    • Relativos a convicciones religiosas o filosóficas.
    • Relativos a la afiliación sindical.
    • Genéticos
    • Biométricos que permitan la identificación unívoca de una persona.
    • Relativos a la salud.
    • Relativos a la vida y orientación sexuales.
  • Penales: datos relativos a condenas y delitos penales o medidas de seguridad conexas.


Categorías de tratamientos específicos:

  • Alto riesgo: tratamiento sujeto a una evaluación de impacto por ser susceptible de comportar un alto riesgo para la protección de los derechos y libertades de los interesados.
  • Transferencias internacionales de datos: trasmisión de datos personales a entidades de terceros países u organizaciones internacionales no establecidas en la UE.
  • Elaboración de perfiles: tratamiento automatizado de datos personales, consistente en utilizar estos datos para evaluar determinados aspectos personales de una persona física, o en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias o intereses personales, fiabilidad, comportamiento, ubicación o movimientos de dicha persona.
  • Grupos de empresas: grupo que comprende una empresa que ejerce el control y las empresas controladas.
  • Titularidad o interés público:
    • Tratamientos realizados por Autoridades u Organismos públicos en el ejercicio de sus funciones.
    • Tratamientos con fines de interés público fundamentados en la legislación vigente.
    • Tratamientos con fines de investigación histórica, estadística o científica.


Responsabilidades del tratamiento

  • Responsable del tratamiento (RT): persona física o jurídica, autoridad pública, servicio u organismo que, solo o conjuntamente con otros, determine los fines y los medios del tratamiento.
    • Por ejemplo: Autónomos; Profesionales; Sociedades; Asociaciones; Agrupaciones; Comunidades; etc.
  • Encargado del tratamiento (ET): persona física o jurídica, autoridad pública, servicio u organismo que, trate datos personales por cuenta del RT.
    • Por ejemplo: Asesorías laborales, fiscales o contables; Mantenimiento de equipos y aplicaciones informáticas; Copias de seguridad externas; Seguridad y videovigilancia; Destrucción de documentos; etc.
  • Corresponsable del tratamiento (CT): cuando varios RT determinen conjuntamente los fines y los medios del tratamiento.
    • Por ejemplo: grupos de empresas; franquicias, concesionarios; etc.
  • Destinatario de datos: persona física o jurídica, servicio u organismo que recibe datos personales mediante una comunicación o transmisión.
    • Las autoridades públicas que pueden recibir datos personales en el marco de una investigación concreta no deben considerarse como destinatarios.
    • Por ejemplo: Aseguradoras; Bancos; Mutuas; Vigilancia de la salud; Subcontratas de empleados; etc.
  • Personal autorizado: persona autorizada para realizar un tratamiento de datos bajo la autoridad directa del RT o ET, que se haya comprometido a respetar la confidencialidad o tenga la obligación legal de confidencialidad.


Agentes de protección de datos

  • Delegado de protección de datos (DPO): persona encargada de supervisar el cumplimiento de del GDPR y de informar y asesorar al RT, ET y al personal autorizado de las obligaciones relativas a la protección de datos personales.
  • Autoridad de control (AC): autoridad pública independiente para supervisar la aplicación del GDPR.
    • Por ejemplo: Agencia Española de Protección de Datos (AEPD); Autoritat Catalana de Protecció de Dades (APDCAT); Agencia Vasca de Protección de Datos (AVPD); Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA) etc.


Principios del tratamiento de datos

Los principios del tratamiento son la base fundamental de la protección de datos. Los datos personales serán tratados con:

  • Licitud: lealtad y transparencia con el interesado.
  • Limitación de los fines: recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines.
  • Minimización de los datos: adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
  • Exactitud: actualizados sin demora con respecto a los fines para los que se tratan.
  • Limitación del plazo de conservación: mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines por los que se tratan.
    • Excepto si el tratamiento se realiza exclusivamente para fines de archivo en interés público o para investigación histórica, estadística o científica.
  • Integridad y confidencialidad: implementando medidas técnicas y organizativas adecuadas para proteger los datos contra tratamientos no autorizados o ilícitos y su pérdida, destrucción o daños accidentales.
  • Responsabilidad proactiva: siendo responsable del cumplimiento de todos los principios y capaz de demostrarlo.


Protocolos de responsabilidad proactiva

  • Legitimación del tratamiento: en el que se determinen las bases jurídicas que legitiman los tratamientos.
  • Política de información: en la que se establezcan las fórmulas para facilitar al interesado toda la información relativa al tratamiento de sus datos personales y los derechos que le asisten.
  • Política de seguridad: en la que se establezcan las medidas de seguridad tanto técnicas como organizativas para garantizar la protección de datos en todas las fases del tratamiento teniendo en cuenta los riesgos que los tratamientos suponen para los derechos y libertades de los interesados.
  • Gestión de riesgos: en el que se identifican, analizan y evalúan en todas las actividades de tratamiento todos los posibles riesgos que los mismos suponen para los derechos y libertades de los interesados; tratando dichos riesgos mediante la adopción de medidas de seguridad que los reduzcan a niveles aceptables, y que serán parte de la política de seguridad que se elabore.
  • Evaluación de impacto: gestión de riesgos que se lleva a cabo de manera previa al inicio del tratamiento, cuando sea probable que el mismo, especialmente si utilizan nuevas tecnologías y teniendo en cuenta su naturaleza, alcance, contexto o fines, pueda comportar un alto riesgo para los derechos y libertades de las personas físicas.
  • Registro de las actividades del tratamiento: para registrar todas las actividades de tratamiento efectuadas bajo la responsabilidad de la entidad como RT o como ET
  • Gestión de violaciones de la seguridad: para resolver las brechas de seguridad producidas en el transcurso del tratamiento de datos, con el fin minimizar los riesgos y mitigar los daños o perjuicios ocasionados a interesados o terceros.
  • Atención de las solicitudes de ejercicio de los derechos del interesado: para facilitar a los interesados el ejercicio de los derechos que les confiere el GDPR.
  • Garantía de cumplimiento: el cumplimiento del GDPR a través de la realización de auditorías, implantación de sistemas de gestión de seguridad de la información (ISO 27001 o 27701, ENS, etc.), adhesión a códigos de conducta o mecanismos de certificación en materia de protección de datos, sellos y marcas de protección de datos.