¿Qué es el GDPR?



General Data Protection Regulation o GDPR

GDPR es el acrónimo de General Data Protection Regulation, que identifica el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. El GDPR deroga la Directiva 95/46/CE.
El GDPR está vigente desde el 25 de mayo de 2016 y será de aplicación obligatoria en cada Estado miembro de la UE a partir del 25 de mayo de 2018.


Aplicación territorial


El GDPR se aplica a las operaciones realizadas sobre datos personales de ciudadanos residentes en la UE (interesados) efectuadas por un Responsable (RT) o un Encargado (ET) del tratamiento:

  • Establecido en la UE, independientemente de que el tratamiento tenga lugar en la UE o no.
  • No establecido en la UE, siempre y cuando las actividades del tratamiento estén relacionadas con:
    • La oferta de bienes o servicios a personas residentes en la UE, se pague o no por ello.
    • El control de la conducta de personas, si tiene lugar en la UE.
  • No establecido en la UE, pero sea de aplicación la legislación de un Estado de la UE.


Aplicación material

  • El GDPR se aplica al tratamiento de datos personales destinado a ser incluido en un fichero:
    • Automatizado (digital o electrónico).
    • No automatizado (manual o papel).
    • Parcialmente automatizado (digital o manual).
  • El GDPR no se aplica al tratamiento de datos entre personas individuales en el ejercicio de actividades exclusivamente personales o domésticas.
    • Excepto si alguna de estas personas realiza el tratamiento para el ejercicio una actividad económica.


Estructura de los datos personales

  • Datos personales: Información relativa a una persona física, identificada o identificable, por la cual pueda determinarse, directa o indirectamente, su identidad.
  • Interesado: Persona física sometida al tratamiento de sus datos personales.
  • Tratamiento: Operaciones realizadas sobre datos personales:
    • Recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión, cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
  • Fichero: Conjunto estructurado de datos personales susceptibles de tratamiento para un fin determinado.


Categorías de datos

  • Básicos: Datos personales que no correspondan a categorías Especiales o Penales.
    • Por ejemplo: nombre, dirección, e-mail, teléfono, edad, sexo, firma, imagen, aficiones, patrimonio, datos bancarios, información académica, profesional, social, comercial, financiera, etc.
  • Especiales: (datos sensibles): Datos relativos a:
    • Origen étnico o racial.
    • Opiniones políticas.
    • Convicciones religiosas o filosóficas.
    • Afiliación sindical.
    • Datos genéticos o biométricos que permitan la identificación unívoca de una persona.
    • Salud.
    • Vida y orientación sexuales.
  • Penales: Datos relativos a condenas y delitos penales o medidas de seguridad conexas.


Categorías de tratamiento

  • Alto riesgo: Tratamiento sujeto a una evaluación de impacto por ser susceptible de comportar un alto riesgo para la protección de los derechos y libertades de los interesados.
  • Transferencias internacionales de datos: Traspaso de datos a empresas de terceros países u organizaciones internacionales no establecidas en la UE.
  • Elaboración de perfiles: Confección de decisiones individuales basadas en un tratamiento automatizado de datos, destinadas a evaluar aspectos personales o analizar o predecir el rendimiento profesional, situación económica, salud, preferencias o intereses personales, fiabilidad, comportamiento, ubicación o movimientos de una persona.
  • Grupos de empresas: Grupo que comprende una empresa que ejerce el control y las empresas controladas.
  • Titularidad o interés público:
    • Tratamientos realizados por Autoridades u Organismos públicos en el ejercicio de sus funciones.
    • Tratamientos con fines de interés público fundamentados en la legislación vigente.
    • Tratamientos con fines de investigación histórica, estadística o científica.


Responsabilidades del tratamiento

  • Responsable del tratamiento (RT): Persona física o jurídica, Autoridad pública, servicio u organismo que, solo o conjuntamente con otros Corresponsables, determine los fines y los medios del tratamiento.
    • Por ejemplo: Autónomos; Profesionales; Sociedades; Asocia-ciones; Agrupaciones; Comunidades; etc.
  • Encargado del tratamiento (ET): Persona física o jurídica, Autoridad pública, servicio u organismo que, solo o conjuntamente con otros ET, trate datos personales por cuenta del RT.
    • Por ejemplo: Asesorías laborales, fiscales o contables; Prevención de riesgos laborales; Mantenimiento de equipos y aplicaciones informáticas; Copias de seguridad externas; Seguridad y videovigilancia; Destrucción de documentos; Servicios jurídicos; Cualquier empresa de servicios que, para realizarlos, requiera el acceso a datos personales del RT; etc.
  • Corresponsable del tratamiento (CoRT): Cuando varios RT determinen los fines y los medios del tratamiento.
    • Por ejemplo: Grupos de empresas; Organizaciones; Sociedades empresariales; Fundaciones dependientes de otras organiza-ciones; Empresas públicas dependientes de un Organismo público; Cualquier ET que determine los fines o los medios de tratamiento por su cuenta; etc.
  • Destinatario de datos: Persona física o jurídica, servicio u organismo que recibe datos personales mediante una comunicación o transmisión del RT o ET.
    • No se aplica a las Autoridades públicas cuando la comunicación se fundamente en la legislación vigente.
    • Por ejemplo: Aseguradoras; Bancos; Mutuas; Vigilancia de la salud; Subcontratas de empleados; etc.
  • Personal autorizado: Persona autorizada para realizar un tratamiento de datos bajo la autoridad directa del RT o ET, que se haya comprometido a respetar la confidencialidad o tenga la obligación legal de confidencialidad.
    • Por ejemplo: Empleados; Directivos; Socios; Estudiantes en prácticas; Autónomos sin empleados a su cargo; etc.


Agentes de protección de datos

  • Delegado de protección de datos (DPO): Persona encargada de informar y asesorar al RT, ET y al Personal autorizado de las obligaciones relativas a la protección de datos personales.
  • Autoridad de control (AC): Autoridad pública independiente para supervisar la aplicación del GDPR.
    • Por ejemplo: Agencia Española de Protección de Datos (AEPD); Autoritat Catalana de Protecció de Dades (APDCAT); Agencia Vasca de Protección de Datos (AVPD); etc.


Principios del tratamiento de datos


Los principios del tratamiento son la base fundamental de la protección de datos. Los datos personales serán tratados con:

  • Licitud: Lealtad y transparencia con el interesado.
  • Limitación de los fines: Recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines.
  • Minimización de los datos: Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
  • Exactitud: Actualizados sin demora con respecto a los fines para los que se tratan.
  • Limitación del plazo de conservación: Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines por los que se tratan.
    • Excepto si el tratamiento se realiza exclusivamente para fines de archivo en interés público o para investigación histórica, estadística o científica.
  • Integridad y confidencialidad: Implementando medidas técnicas y organizativas adecuadas para proteger los datos contra tratamientos no autorizados o ilícitos y su pérdida, destrucción o daño accidentales.
  • Responsabilidad proactiva: Siendo responsable y capaz de demostrar el cumplimiento de todos los principios del tratamiento.


Protocolos de responsabilidad proactiva

  • Legitimación del tratamiento: Sirve para demostrar el cumplimiento de los principios del tratamiento de datos.
  • Política de información: Sirve para comunicar al interesado los detalles del tratamiento y los derechos que le asisten.
  • Política de seguridad: Sirve para garantizar la protección de datos en todas las fases del tratamiento teniendo en cuenta la probabilidad de riesgos que puedan afectar los derechos y libertades de los interesados.
  • Análisis de riesgos: Sirve para analizar las operaciones de tratamiento con el fin de determinar la probabilidad que exista un alto riesgo para los derechos y libertades de los interesados y, si fuera el caso, realizar una evaluación del impacto relativa a la protección de datos.
  • Evaluación de impacto: Sirve para pronosticar los altos riesgos que atañen al tratamiento con el fin de remediar o mitigar los efectos que puedan perjudicar los derechos y libertades de los interesados.
  • Registro de las actividades del tratamiento: Sirve para controlar las responsabilidades y las actividades de todos los intervinientes en el tratamiento.
  • Gestión de violaciones de la seguridad: Sirve para resolver las brechas de seguridad producidas en el transcurso del tratamiento de datos, con el fin minimizar los riesgos y mitigar los daños o perjuicios ocasionados a interesados o terceros.
  • Atención de los derechos del interesado: Sirve para informar al interesado del tratamiento realizado con sus datos personales y facilitarle el gobierno de los mismos.
  • Certificado de cumplimiento: Sirve para garantizar el cumplimiento del GDPR ante los interesados o cualquier empresa interviniente en el tratamiento.