Preguntas Frecuentes FORLOPD
¿Qué se entiende como Protección de Datos personales?
La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
Considerándose como dato personal toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
¿Qué normativa debo tener en cuenta?
Como regla general en España, debemos acudir a:
- Reglamento (UE) 2016/679 del parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
No obstante, debe tenerse en cuenta el principio de especialidad, y las normas sectoriales que sean de aplicación a cada caso en particular, así como no olvidar aquellos dictámenes o informes emitidos por el Comité o Autoridades de Control, entre otros.
¿Quién es el Responsable del tratamiento de los datos personales?
El Responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
Ej. La entidad titularidad de los datos personales, que los trata con fines propios.
¿Y el Encargado del tratamiento?
El Encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. El Encargado no puede utilizar los datos personales que le facilite el Responsable con fines propios.
Ej. La entidad contratada por el Responsable del Tratamiento para prestar un servicio para el que es inherente utilizar los datos personales. Algunas entidades que actúan generalmente como encargado son las que prestan servicios de: asesorías, mantenimiento informático, seguridad/videovigilancia, destructoras de documentación…
¿Qué se considera categorías especiales de datos?
Se consideran categorías especiales de datos personales aquellos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
¿Qué derechos puede ejercer el interesado?
La normativa de protección de datos permite el ejercicio de una serie de derechos a los ciudadanos, en concreto derecho deacceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.
Su ejercicio es gratuito (salvo solicitudes infundadas o excesivas), el responsable está obligado a informarte sobre los medios para ejercitar estos derechos (estos medios deben ser accesibles) y debe dar contestación en el plazo máximo de un mes, son algunas de sus características.
¿Cuándo se considera que se realizan transferencias internacionales de datos?
Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).
La instalación de videocámaras ¿Supone un tratamiento de datos de carácter personal?
La imagen es un dato de carácter personal ya que identifica o hace identificable a una persona.
En este sentido, la instalación de cámaras, con diversas finalidades como podría ser la seguridad, el control laboral, el acceso a zonas restringidas captando la matrícula del coche y la imagen del conductor, o incluso la monitorización de una UVI, supondría un tratamiento de datos de carácter personal y en consecuencia, se le aplicaría la normativa de protección de datos.
¿Qué se entiende como brecha de seguridad?
Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.
¿Se aplica la normativa de protección de datos a las comunidades de propietarios?
Sí, en la medida que realicen un tratamiento de datos de carácter personal de personas físicas.
Así, en las comunidades de propietarios existe un tratamiento derivado de la gestión de la propia comunidad, en el que se incluyen los datos personales de los propietarios como pueden ser nombre, apellidos, dirección o correo electrónico. Pueden existir además otro tipo de tratamientos como el de «videovigilanica» o «camaras de seguridad».
¿Se pueden recabar y tratar datos personales de menores?
Sí, siempre que se observe lo dispuesto en el Reglamento General de Protección de Datos.
Cuando la recogida y tratamiento de datos de menores responda al consentimiento, hay que tener en cuenta que deberá ser expreso y que cuando se trate de menores de 14 años lo han de prestar sus padres o tutores. Los mayores de esa edad pueden prestar ellos mismos el consentimiento para que se recojan sus datos, salvo en aquellos casos en los que la Ley exigiera que estén asistidos por su padres o tutores.
¿Qué es la EIPD o Evaluación de Impacto en la Protección de Datos Personales?
La Evaluación de Impacto en la Protección de Datos Personales es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos.
Se exige y es obligatoria cuando sea probable que el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas.
En lo que respecta a la ejecución de la EIPD, puede realizarse por personal interno o externo de la organización, sin que esto exima del cumplimiento de sus obligaciones al responsable del tratamiento, que debe asegurar que esta se haga de forma adecuada y se implanten los controles y medidas de control resultantes de la evaluación.
