GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

DATOS PERSONALES - RGPD

El ciclo de vida de los datos personales

Para comprender el significado del Reglamento General de Protección de Datos (RGPD) de la UE, es útil comprender el ciclo de vida de los datos personales. Todas las empresas que procesan datos personales pertenecientes a individuos dentro del área de la UE / EEE están sujetas a RGPD, independientemente de dónde esté establecida la empresa. RGPD es un reglamento de la UE que entró en vigor en 2018. 

¿Qué son los datos personales?

Cuando es posible vincular algún tipo de datos a una persona física viva, la información en cuestión se considera «datos personales». La conexión con la persona física puede ser directa o indirecta. Un ejemplo de datos personales directos es un nombre, y los datos personales indirectos son el número de registro de un automóvil de propiedad privada. Las imágenes, los vídeos y las grabaciones de audio también pueden ser datos personales. 

¿Qué son los datos personales sensibles a la privacidad bajo RGPD?

Hay cuatro grupos de datos personales sensibles a la privacidad en el RGPD, uno de los cuales constituye datos personales sensibles. Los datos personales sensibles a la privacidad constituyen datos personales más importantes que, por ejemplo, un nombre. Esto significa que los datos personales sensibles a la privacidad deben procesarse con mayor seguridad. Además, puede requerir que la empresa realice una evaluación de impacto antes de que comience el procesamiento, para ver si el procesamiento está permitido o no.

What breaches of the GDPR can lead to an administrative fine?

Prohibición del tratamiento de datos personales sensibles con arreglo a la norma general

El tratamiento de datos personales sensibles no está permitido por la norma general del artículo 9 del RGPD. Sin embargo, hay algunas excepciones a la regla general. Ejemplos de datos personales sensibles son los datos que revelan información sobre las creencias religiosas, las opiniones políticas o la pertenencia a asociaciones de una persona. 

¿Los datos sobre la salud de una persona son datos personales sensibles?

Sí, los datos sobre la salud de una persona son datos personales sensibles. Sin embargo, este es uno de los datos personales sensibles más comunes que las empresas procesan. Por ejemplo, los empleadores procesan información sobre la baja por enfermedad de los empleados. Tiene por objeto calcular un salario exacto y cumplir sus obligaciones de información a las autoridades pertinentes. Sin embargo, la empresa no debe enviar una nómina por correo electrónico no cifrado si la especificación contiene información sobre la baja por enfermedad, ya que no es lo suficientemente segura. 

Tres pasos en el ciclo de vida de los datos personales

Hay tres pasos clave en el ciclo de vida de los datos personales, que se describen a continuación. 

Etapa 1: La empresa tiene acceso a los datos personales

Lo primero que sucede en el ciclo de vida de los datos personales es que la empresa recopila los datos personales. La recogida debe llevarse a cabo de acuerdo con las normas del RGPD para que sea legal y permisible. Esto significa, entre otras cosas, que la empresa debe: 

  • Disponer de una base jurídica para el tratamiento de los datos personales:Todo tratamiento de datos personales debe basarse en una base jurídica para ser lícito. Hay un total de seis (6) bases legales para elegir en el RGPD. Entre otras cosas, consentimiento, contrato con el interesado, interés legítimo. 
  • Informar al interesado sobre el tratamiento de los datos personales:Además, las empresas informarán a los interesados sobre el tratamiento de sus datos personales. Si los datos personales se recopilan directamente del interesado, la información sobre el procesamiento se proporcionará en el momento de la recopilación. Como información sobre la base jurídica utilizada por la empresa, la duración del tratamiento, los derechos de los interesados, etc. La información debe establecerse en un aviso de privacidad por escrito presentado antes de la recopilación. 

Etapa 2: La empresa trata los datos personales

Hay mucho en lo que las empresas deben pensar al procesar datos personales, es decir, dentro de este paso dos del ciclo de vida de los datos personales. Entre otras cosas, la empresa necesita: 

Protección de datos personales

La empresa debe proteger los datos personales que se están procesando. Cuanto más importantes sean los datos personales, mayores serán los requisitos de seguridad. Para proteger los datos personales, la empresa debe tomar las medidas de seguridad organizativas y técnicas adecuadas. Por ejemplo, implementando protección antivirus, tomando copias de seguridad, controlando los permisos de acceso y creando una buena cultura de seguridad dentro de la organización.

Capaz de cumplir los derechos de los interesados

Los interesados tienen una serie de derechos en virtud del RGPD, que las empresas deben poder cumplir previa solicitud. Además, el cumplimiento debe hacerse dentro de un cierto período de tiempo, normalmente dentro de un mes de la recepción de la solicitud. Por lo tanto, la empresa primero necesita saber qué derechos tienen los interesados. A continuación, informe a los interesados sobre ellos y sea capaz de cumplirlos en la práctica. Por lo tanto, es bueno para las empresas crear rutinas internas en torno a esto.

Elaboración de documentos y acuerdos adecuados

El RGPD exige que las empresas puedan demostrar que cumplen con el RGPD en la práctica. Esto significa, entre otras cosas, que la empresa necesita tener acuerdos y documentos apropiados relacionados con RGPD. Por ejemplo, procedimientos internos escritos sobre cómo deben actuar los empleados en caso de violación de datos personales. Además, la empresa debe celebrar acuerdos de procesamiento de datos por escrito al contratar procesadores de datos. Las empresas también pueden necesitar documentar evaluaciones de impacto para ciertos tipos de actividades de procesamiento, etc. Los documentos y acuerdos que las empresas deben tener dependen de varios factores. Por ejemplo, las actividades de procesamiento que realiza la empresa, el alcance de la actividad de procesamiento, etc.

Designar roles y capacitar al personal

El personal maneja datos personales dentro de la empresa y, por lo tanto, necesita saber cómo hacerlo de acuerdo con RGPD. Sin embargo, siempre es la propia organización la responsable de los datos personales como responsable del tratamiento, no el personal. Además, puede ser apropiado nombrar roles dentro de la empresa. Por ejemplo, si se trata de una gran empresa con muchos departamentos, puede ser útil nombrar algunos embajadores de protección de datos. Algunas empresas también necesitan designar un delegado de protección de datos.

Etapa 3: Fin del tratamiento de los datos personales

Las empresas no pueden procesar datos personales indefinidamente. La regla principal es que las empresas deben eliminar o anonimizar (es decir, borrar) los datos personales, cuando ya no son necesarios para procesarlos para el propósito para el que fueron recopilados. 

Excepciones a la norma general que permiten períodos de almacenamiento más largos

Sin embargo, hay excepciones a la regla general, que permite períodos de retención más largos de datos personales. En algunos casos, puede haber requisitos para que las empresas continúen procesando datos personales durante un cierto período de tiempo de acuerdo con la legislación. A pesar de que no necesitan los datos personales para nada más. Por ejemplo, las empresas deben almacenar la información de facturación y los recibos durante un cierto período de tiempo de conformidad con la Ley de contabilidad nacional. Está permitido y la base jurídica para la actividad de tratamiento es, en tales casos, la obligación legal. 

Ejemplos de más situaciones en las que se eliminarán datos personales

Solicitud de supresión de datos personales presentada por el interesado: Un derecho que tienen los interesados es que se borren sus datos personales previa solicitud (también denominado «derecho al olvido»). La supresión tendrá lugar sin demora indebida, pero a más tardar en el plazo de un mes. Sin embargo, hay excepciones a este derecho ya que no es un derecho absoluto y puede ser restringido en algunos casos:

  • Por ejemplo, puede ser permisible para la empresa continuar el procesamiento de los datos personales. Incluso si reciben una solicitud de supresión del interesado, si la actividad de tratamiento se lleva a cabo con el fin de cumplir con una obligación legal que incumbe a la empresa.
  • También se aplican excepciones si la empresa necesita procesar los datos personales para defender o establecer reclamaciones legales.

Las empresas deben crear procedimientos internos para los empleados con respecto a la eliminación de datos personales

Para que la empresa pueda garantizar la correcta supresión de los datos personales cuando ya no sean necesarios, o en el caso de una solicitud de supresión, es bueno crear procedimientos internos escritos. 

La empresa debe informar a sus empleados cómo llevar a cabo el borrado correctamente. Por ejemplo, esto se puede hacer compilando la información en procedimientos internos escritos. Además, es bueno si la rutina contiene cierta información. Por ejemplo, fechas específicas cada año con respecto a la hora en que todos los empleados deben borrar datos personales de diferentes sitios de almacenamiento.

APRENDE MÁS SOBRE RGPD

Los datos personales pueden ser de naturaleza subjetiva u objetiva

Cuando una persona piensa en qué son los datos personales, generalmente piensa en datos personales objetivos. Por ejemplo, un nombre, número de seguro social o número de teléfono. En otras palabras, los datos personales de carácter objetivo suelen ser algo que puede ser identificado por una persona. Sin embargo, también es importante saber que hay datos personales que son de naturaleza subjetiva.

¿Quieres saber más?

Leer más
Scroll al inicio