Entiende la guía RGPD con nuestro glosario de definiciones
Contenidos
Durante este tiempo, estoy segura de que has estado leyendo ingente cantidad de literatura sobre RGPD (El Reglamento Europeo de Protección de datos), tanta que es posible que, en lugar de aclarar dudas, es posible que ahora mismo, tengas muchas más que al principio.
Hay muchos nuevos conceptos que aparecen dentro de esta regulación y que no siempre están debidamente explicados.
Esta guía glosario pretende que puedas clarificar muchos de estos conceptos y obtener información adicional sobre la guía RGPD que ha publicado la agencia española de protección de datos sobre muchos de estos.
En Legal Box Plus, llevamos mucho tiempo dedicando esfuerzos en concienciar a los profesionales digitales sobre la importancia de asumir una cultura de protección de datos y con ese propósito creamos también una herramienta para facilitar la adecuación legal a la guía RGPD.
Si eres un profesional digital, debes asumir el impacto que tiene tu trabajo sobre la información personal de otros. Estamos hablando de un tratamiento intensivo de datos personales, herramientas para segmentar datos, para monitorizar comportamientos, para establecer perfiles, toda una transformación en la manera en que obtenemos y gestionamos información de otros .
Glosario para entender la Guía RGPD
En este post, hemos recopilado las principales definiciones de organismos oficiales que utilizan en la guía RGPD, para que tengas una fuente fiable de información a la que acudir siempre que te encuentres con alguna de estas definiciones, por orden alfabético.
, pero te falta resolver un aspecto crucial…
Ámbito territorial
El objeto del RGPD es la protección de los derechos y libertades fundamentales de las personas físicas, y la libre circulación de datos personales en territorio de la UE, no pudiendo ser restringida ni prohibida.
La protección se otorga a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, y en relación con el tratamiento de sus datos personales.
El Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión Europea, independientemente de que el tratamiento tenga lugar en la Unión Europea o no.
El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.
Análisis de riesgo
El RGPD condiciona la adopción de las medidas de responsabilidad activa al riesgo que los tratamientos puedan suponer para los derechos y libertades de los interesados.
El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, De acuerdo con este enfoque de riesgo, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.
La aplicación de las medidas previstas por el RGPD debe adaptarse, por tanto, a las características de las organizaciones. Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.
Todos los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo. El tipo de análisis variará en función de:
- los tipos de tratamiento,
- la naturaleza de los datos,
- el número de interesados afectados,
- la cantidad y variedad de tratamientos que una misma organización lleve a cabo
La Agencia Española de Protección de Datos (AEPD) ha creado la Guía de Análisis de Riesgo.
Anonimación
La anonimización de datos debe considerarse como una forma de eliminar las posibilidades de identificación de las personas y ofrece mayores garantías de privacidad a las personas.
La finalidad del proceso de anonimización es eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados manteniendo la veracidad de los resultados del tratamiento de los mismos, es decir, además de evitar la identificación de las personas, los datos anonimizados deben garantizar que cualquier operación o tratamiento que pueda ser realizado con posterioridad a la anonimización no conlleva una distorsión de los datos reales.
La anonimización permite garantizar el avance de la sociedad de la información sin menoscabar el respeto a la protección de datos. Para alcanzar este objetivo es preciso garantizar la irreversibilidad de la anonimización, y para ello habrán de valorarse tanto las fuentes de información disponibles en los diferentes medios y, en particular, a través de internet, como la tecnología aplicable en los procesos de anonimización y en los de reidentificación.
Consentimiento
El RGPD exige tener una base legal para legitimar el tratamiento de usuarios o suscriptores que no son clientes, la única base posible es el consentimiento.
El consentimiento se encuentra recogido como uno de los principios de la protección de datos, en su artículo 4.11, que enuncia lo siguiente: “Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”, por tanto, no basta con solo informar, hay que acreditar todo lo demás. Queda claro que tanto el silencio, la inacción o las casillas previamente seleccionadas como forma de recabar el consentimiento, no es válido.
El consentimiento del interesado, atendiendo a lo que enuncia el RGPD, consiste en una comunicación libre por parte del interesado por la cual acepta que se traten sus datos, para una finalidad concreta, bajo unas determinadas condiciones, de las cuales tiene que estar previamente informado.
La acción afirmativa, o el opt-in positive, significa que el consentimiento no puede inferirse del silencio, cajas pre-marcadas, o inactividad. También debe separarse de los términos y condiciones, y tener una manera sencilla de retirarlo. Las autoridades y empleadores deben prestar atención especial para asegurar que el consentimiento es dado libremente.
Los consentimientos existentes no deben ser actualizados automáticamente en la preparación para el RGPD, sino que deben cumplir con el RGPD y ser específicos, granulares, claros opt-in, documentados apropiadamente, y de fácil retirada. Si no, se deben cambiar los mecanismos de consentimiento y establecer un consentimiento que cumpla con RGPD, o buscar una alternativa al consentimiento.
El RGPD establece una serie de condiciones para legitimar el consentimiento recogido:
Demostración: El responsable del tratamiento deberá ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales ¿cómo se verifica si solo se informa?
Por tanto, los usuarios que se registran en tu formularios, deben ser informados claramente a dónde van los datos que proporcionan en ese formulario y que después el responsable tendrá acceso, hasta que no ejercite si lo hace algunos de sus derechos de acceso, rectificación, cancelación u oposición.
Dependiendo de la herramienta que utilices, (MailChimp, mailrelay, Active Campain) es importante poder realizar la exportación del informe de la campaña en formato .csv que permite obtener la fecha y la hora en que se hizo clic, así como la IP, esta sería una prueba de consentimiento. Aquí tienes más información de cómo llevar a cabo el consentimiento de tus suscriptores.
Datos personales
Cualquier información relacionada con un individuo identificado/identificable, ya sea que se relacione con su vida privada, profesional o pública. Puede ser cualquier información de identificación directa como el nombre de la persona, su número de teléfono, etc. desde un nombre, foto, dirección de correo-email, información médica, dirección IP, o combinación de los datos que directa o indirectamente identifican a la persona.
El RGPD establece una distinción clara entre información personal de identificación directa y datos seudonimizados. Fomenta el uso de información seudonimizada e indica expresamente que la aplicación de la seudonimización a datos personales puede reducir los riesgos para las personas a las que se refieren y ayudar a los controladores y procesadores a cumplir con sus obligaciones de protección de datos.
Datos personales sensibles
Una compra online es un acto de confianza. El comprador está facilitando datos personales y datos de pago para acceder a un intangible, a un producto digital. Si no eres una celebrity cuyos productos son sobradamente conocidos, debes ocuparte de la confianza. Omitir los aspectos que garantizan al comprador una compra segura, no parece una forma inteligente de trabajar en la confianza.
Destinatario
Empresas a las que se haya previsto ceder o comunicar, legítimamente, los datos personales que se recogen.
Se debe informar a los interesados acerca de la identidad de los destinatarios, si están claramente predeterminados, o de las categorías de destinatarios, si estos no están determinados previamente. En particular, es conveniente informar también de la existencia de Encargados de Tratamiento, cuya legitimidad del tratamiento es la ejecución del contrato del encargo, especialmente en los casos en que impliquen transferencias a terceros países.
DPD: Delegado de protección de datos
El RGPD establece la figura del Delegado de Protección de Datos (DPD), que será obligatorio en:
- El tratamiento es llevado a cabo por una autoridad;
- Las “actividades principales” del responsable/encargado del tratamiento requieren “un seguimiento regular y sistemático de los interesados a gran escala”, o consiste en procesar categorías especiales de datos o datos sobre condenas penales “a gran escala”.
El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos.
La designación del DPD y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes.
El tratamiento transfronterizo
Tratamiento de datos personales realizado en el contexto de las actividades de establecimientos situados en más de un Estado miembro.
Elaboración de perfiles
El RGPD introduce, en su artículo 22 nuevas obligaciones respecto a la elaboración de perfiles y la toma de decisiones automatizadas, una práctica que se lleva a cabo en la publicidad digital.
Elaboración de perfiles es cualquier forma de tratamiento automatizado de datos personales con la intención de evaluar ciertos aspectos personales correspondientes a persona física, o analizar o predecir en particular el rendimiento de la persona en su trabajo, su situación económica, ubicación, salud, preferencias personales, confiabilidad, o su comportamiento.
El RGPD, en el artículo 22 de la RGPD prohíbe la toma de decisiones individualizadas totalmente automáticas, incluida la elaboración de perfiles que tenga efectos jurídicos en el interesado o le afecte significativamente de modo similar. Es decir, una decisión que se basa únicamente en el tratamiento automatizado sin participación humana en el proceso de decisión.
Encargado del tratamiento (Encargado)
El encargado del tratamiento es la persona física o jurídica, autoridad, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste.
Los tipos de encargado del tratamiento y las formas en que se regulará su relación pueden ser tan variados como los tipos de servicios que puedan suponer acceso a datos personales (por ejemplo, una empresa que ofrece un servicio de alojamiento de información en sus servidores) y otros que tratan datos personales sólo como consecuencia de la actividad que presta por cuenta del responsable del tratamiento (por ejemplo, el gestor o asesor fiscal).
La regulación de la relación entre el responsable y el encargado del tratamiento debe establecerse a través de un contrato o de un acto jurídico similar que los vincule. El contrato o acto jurídico debe constar por escrito, inclusive en formato electrónico.
La agencia creó una guía de directrices para contratos de encargo que puedes consultar aquí.
Evaluación de impacto sobre la privacidad
Se trata de un proceso que permite a las organizaciones identificar los riesgos que un producto o servicio puede implicar para la protección de datos antes de que se materialicen. Tras ese análisis se deberá afrontar de manera eficaz la gestión de los riesgos mediante la toma de medidas necesarias para eliminarlos o mitigarlos.
Esta evaluación permite a las organizaciones evaluar de forma anticipada las vicisitudes a las que se verán sometidos los datos personales en función de los tratamientos previstos.
El nuevo reglamento europeo exige la elaboración de informes de impacto cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines. Entre otros, el procesamiento de datos personales de más de 5.000 personas en un plazo de 12 meses, la ocurrencia de un incidente de seguridad que afecte potencialmente a la protección de los datos personales o cuando las actividades centrales de una entidad impliquen la monitorización sistemática de datos personales.
Puedes consultar la Guía de Evaluación de Impacto en la Protección de Datos.
Interesado
El interesado es una persona física. Ejemplos de un interesado pueden ser un individuo, un cliente, un empleado, una persona contacto, etc.
Legitimazión
El RGPD exige que todo tratamiento de datos debe apoyarse en una base que lo legitime. También recoge las mismas bases jurídicas que contenía la Directiva y que reproduce la LOPD:
- Legitimación por ejecución de un contrato: Cuando el tratamiento sea necesario para la ejecución de algún contrato (mercantil, laboral, administrativo,) en el que el interesado sea parte, o para la aplicación de medidas precontractuales EE
- Legitimación por cumplimiento de una obligación legal: Cuando el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, es decir, una obligación derivada del derecho de la Unión o del ordenamiento jurídico interno,
- Legitimación por misión en Interés público o ejercicio de Poderes Públicos: Cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento
- Legitimación por Interés legítimo del Responsable, o de un tercero: Cuando el tratamiento sea necesario para la satisfacción de “intereses legítimos” perseguidos por el responsable del tratamiento o por un tercero,
- Legitimación por consentimiento del interesado: Cuando la legitimación para la finalidad principal no encuentre acomodo en ninguna de las bases jurídicas anteriores, deberá solicitarse el consentimiento del interesado para el tratamiento de sus datos personales, es el caso de usuarios o personas que no tengan relación comercial directa con el responsable y en dónde no aplique ninguna otra base legal que legitime el tratamiento. En la Guía modelo para cumplir el deber de informar encontrarás más información
Órgano controlador
Diversas organizaciones internacionales –Naciones Unidas, la Unión Europea, OCDE y la Red Iberoamericana de Protección de Datos, por nombrar algunas– recomiendan a los Estados a establecer instituciones y mecanismos de control que garanticen la protección de datos.
Cada Estado puede contar con uno o más de estos órganos, dependiendo de la organización política y administrativa del país. Sus funciones y competencias están establecidas por ley, según el nuevo Reglamento General de Protección de Datos(RGPD) de la Unión Europea, que entrará en vigencia en mayo de 2018.
Parte de las características esenciales de los órganos de control de protección de datos es la autonomía, independencia e imparcialidad, .En efecto, estos órganos no deben recibir instrucciones de otras instituciones del Estado, estando libre de influencias externas.
Asimismo, este tipo de órganos deben contar con cualificación técnica, competencias suficientes, infraestructura, recursos adecuados y presupuesto propio, para conocer denuncias de personas naturales, para realizar investigaciones e intervenciones necesarias, correctivas y/o sancionadoras, para cumplir la legislación nacional en materia de protección de la privacidad y tratamiento de datos personales.
En particular, la Unión Europea enfatiza la necesidad de que los órganos de control de protección de datos tengan la capacidad de cooperar con sus homólogos a nivel regional e internacional, lo que facilitaría el intercambio de información en actividades de investigación.
En España, el órgano controlador es la Agencia Española de Protección de Datos.
Registro de actividades de tratamiento
El nuevo Reglamento General de Protección de datos (en adelante, “RGPD”), que será de aplicación a partir del próximo 25 de mayo de 2018, elimina la obligación de notificar los ficheros ante la Agencia Española de Protección de Datos (en adelante, “AEPD”). En su lugar, se establece la obligación, en determinados supuestos, de llevar a cabo un registro de actividades del tratamiento.
Según el artículo 30 del RGPD, tendrán obligación de contar con un registro de actividades del tratamiento todas aquellas organizaciones responsables del tratamiento que emplee a más de 250 personas, a menos que:
El tratamiento, sin ser ocasional, pueda entrañar un riesgo para los derechos y libertades del interesado, o
El tratamiento incluya categorías especiales de datos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos para identificar a una persona, datos de salud, vida y orientación sexual), o
El tratamiento incluye datos relativos a condenas e infracciones penales.
Responsabilidad proactiva
La responsabilidad proactiva es la capacidad de demostrar el cumplimiento con el RGPD. El Reglamento explícitamente establece que es responsabilidad de la organización. Para demostrar cumplimiento, las medidas técnicas y organizacionales apropiadas deben estar implementadas. Las mejores prácticas, tales como evaluaciones de impacto de privacidad y privacidad por diseño ahora son legalmente requeridas bajo ciertas circunstancias.
Responsabilidad de tratamiento (Responsable)
Cualquier organización, persona o entidad que determine los propósitos y medios para el tratamiento de datos personales, controle los datos y sea responsable de ello, solo o conjuntamente.
Ejemplos de organizaciones que pueden ser responsables de tratamientos, pueden ser con o sin fines de lucro, privadas o públicas, grandes o pequeñas, las cuales mantienen información personal acerca de sus empleados, clientes, etc.
Seudonimización
Se refiere al tratamiento de datos de carácter personal, de manera que ya no puedan atribuirse a un interesado sin utilizar información adicional. Es decir, a una técnica que impide la vinculación entre los datos de carácter personal y la persona a la que identifican.
Está definida en el art. 4.5) del Reglamento General de Protección de Datos.
Tercero
Un tercero es cualquier persona física o legal, autoridad, agencia, o cualquier otra entidad diferente al interesado, responsable, encargado y de las personas que, bajo la autoridad directa del responsable o encargado, están autorizadas a tratar los datos.
Transferencia internacional de datos
La transferencia de los datos personales a países fuera del EEE o a organizaciones internacionales está sujeta a restricciones. Tal como se establece en la Directiva de Protección de Datos, los datos no necesitan ser transportados físicamente para que se haga la transferencia. Visualizar los datos alojados en otra ubicación es considerado transferencia para los propósitos del RGPD.
Se aplica a la comunicación de datos fuera del Espacio Económico Europeo.
Los datos sólo podrán ser comunicados fuera del Espacio Económico Europeo a
- Países, territorios o sectores específicos sobre los que la Comisión haya adoptado una decisión reconociendo que ofrecen un nivel de protección adecuado
- Cuando se hayan ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino
- Cuando se aplique alguna de las excepciones que permiten transferir los datos sin garantías de protección adecuada por razones de necesidad vinculadas al propio interés del titular de los datos o a intereses generales.
Aquí puedes encontrar toda la información necesaria para la transferencia internacional de datos.
Tratamiento
Tratamiento es cualquier operación realizada en los datos personales, tales como creación, colección, almacenamiento, visualización, transporte, uso, modificación, transferencia, borrado, etc., de manera automatizada o no.
Violación de la seguridad de los datos personales
Se entiende toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de alguna otra forma, o la comunicación o acceso no autorizados a dichos datos.
Una de las novedades que contiene el RGPD, radica en la obligatoriedad de notificar las brechas o fugas de seguridad tanto a las Autoridades de Control como a los usuarios o afectados. Esto significa que ante una fuga de datos, el responsable del tratamiento está obligado a notificar la brecha de seguridad a la autoridad de control competente. Se deben notificar las incidencias de seguridad que impliquen una violación de datos personales sin demora injustificada y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella.
La Agencia Española de Protección de Datos ha presentado la ‘Guía para la gestión y notificación de brechas de seguridad’, que recoge una serie de recomendaciones preventivas y planes de actuación ante las brechas de seguridad. Ahora sí que podrás entender la guía RGPD sin problemas y consultar aquí siempre que necesites las definiciones en las que tengas dudas.
LEGAL BOX PLUS CUMPLE PASO A PASO LA GUÍA RGPD
Ahora ya sabes todas los conceptos que puedes encontrarte en la Guía RGPD, utiliza nuestro Glosario y hazte todo un experto.
Contrata Legal Box Plus y cumple con todos los requisitos RGPD en tu negocio online o tradicional. Gracias a la herramienta web Legal Box en unos clics tendrás configurados y actualizados todos los textos legales que necesitas para cumplir con la protección de datos. Seguimos la guía RGPD y entendemos todos los conceptos para que no se nos escape ni un artículo de la ley RGPD.
5 Razones para legalizar tu web con la adaptación RGPD
¿Está preparado tu blog para salir airoso al reglamento europeo de protección de datos?
Si quieres descargarte la guía (GRATIS), sólo tienes que rellenar este formulario
Responsable: Luz Soluciones TIC, S.L(Legal Box Plus) Finalidad: Gestionar y enviar información de boletines y promociones a través de correo electrónico. Legitimación: Consentimiento del interesado. Destinatarios: No se cederán a terceros salvo obligación legal. Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus. Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí en nuestra Política de Privacidad