FAQ

Preguntas Frecuentes

A continuación, ofrecemos respuestas a las preguntas más frecuentes referidas a la RGPD.
Busque las contestaciones a sus preguntas a través de este servicio, que se irá actualizando periódicamente.
En caso de no encontrar la información requerida, no dude en contactar con nosotros.

1. REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD):

El Reglamento General de Protección de Datos (RGPD), conocido también como “Reglamento Europeo de Protección de Datos”, entró en vigor en mayo de 2016.

No obstante, se aplica desde el 25 de mayo de 2018, por lo que los responsables y encargados de tratamiento, deben adecuar el tratamiento de datos personales que realizan a lo previsto en el citado Reglamento.Asimismo, el Reglamento es directamente aplicable, por lo que a diferencia de la Directiva 95/46 no necesita ser transpuesto al ordenamiento jurídico español.

Además del RGPD, en la actualidad se está tramitando una nueva Ley Orgánica de Protección de Datos que complete lo dispuesto en la norma comunitaria.

El RGPD, además de aplicarse como hasta ahora a responsables o encargados de tratamientos de datos establecidos en la Unión Europea, contempla su aplicación a aquellos responsables y encargados, que si bien no se encuentran establecidos en la Unión, realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

Para que esa ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.

Los datos de contacto son información referida a personas físicas identificadas (datos de carácter personal) por lo que su tratamiento se encuentra sometido al RGPD. En consecuencia no cabe considerar aplicable la exclusión que recogía el Reglamento de desarrollo de la LOPD.

No obstante, su tratamiento podría realizarse al amparo del artículo 6.1 f) del RGPD (regla del interés legítimo) si se cumplen los siguientes requisitos:

  • Se traten los mínimos datos imprescindibles de contacto.
  • Se traten con la finalidad de mantener relaciones “business to business” (B2B)

Al igual que en el supuesto anterior, esta excepción del Reglamento de desarrollo de la LOPD tampoco se aplica en el caso del RGPD.Sin embargo, el interés legítimo del artículo 6.1 f) del RGPD ampara el tratamiento de estos datos, siempre y cuando se refieran a los empresarios individuales en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

A partir del 25 de mayo de 2018, desaparece la obligación de inscribir ficheros, tanto de responsables públicos o privados, en el Registro de Ficheros de la AEPD, u registro de la autoridad autonómica competente. Es decir, con el RGPD desaparece la obligación de inscribir ficheros en esta AEPD.

El RGPD establece un catálogo de las medidas que los responsables, y en ocasiones los encargados, deben aplicar para garantizar que los tratamientos son conformes al citado RGPD, así como que están en condiciones de demostrarlo.

Estas medidas de responsabilidad proactiva son las siguientes:

  • Análisis de riesgo.
  • Registro de actividades del tratamiento.
  • Protección de datos desde el diseño y por defecto.
  • Adopción de medidas de seguridad.
  • Notificaciones de “violaciones de seguridad de los datos”
  • Evaluaciones de impacto sobre la protección de datos.
  • Nombramiento del Delegado de Protección de Datos.
  • Además, el RGPD contempla dos medidas más con la finalidad de contribuir a la correcta aplicación de la norma:
  • La adhesión por parte de responsables y encargados de tratamiento a códigos de conducta.
  • La creación de mecanismos de certificación y de sellos y marcas de protección de datos.

El RGPD requiere que el consentimiento sea “inequívoco”, lo que supone que se preste mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que permitía la normativa española de protección de datos. Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de internet. El consentimiento en el marco del RGPD se caracteriza por lo siguiente:

  • Puede ser para uno o varios fines.
  • Debe ser prestado de forma libre.
  • Revocable.
  • El responsable debe poder probar en todo momento que ha obtenido el consentimiento.
  • Utilizar un lenguaje claro y sencillo.
  • Por otra parte, también debe ser tenido en cuenta lo siguiente:
  • Si se usa para obtenerlo una declaración escrita, debe quedar claramente diferenciada la parte referente a protección de datos del resto de declaraciones.
  • Si se recaba el consentimiento para varias finalidades:
    • Sería posible agruparlas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros).
    • Pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo tratamiento por quien recaba los datos y cesión a terceros).

Asimismo, existen supuestos en que además de inequívoco, el consentimiento ha de ser explícito:

  • Tratamiento de datos sensibles
  • Adopción de decisiones automatizadas
  • Transferencias internacionales

Como ya se ha indicado en la anterior pregunta-respusta, con el RGPD desaparecen los consentimientos tácitos, lo que supone que este tipo de consentimientos no son acordes con la nueva norma. De esta forma, desde la aplicación del RGPD (25 de mayo de 2018), estos consentimientos deberán adaptarse a los requisitos establecidos por el mismo, de manera que debe encontrarse otra forma de legitimación para estos tratamientos:

  • Mediante una nueva solicitud de consentimiento acorde con el RGPD. 
  • Mediante la aplicación de algún otro supuesto de legitimación, como podría ser la regla del interés legítimo que tendría que ponderarse.
    • Para determinar si es posible aplicar esta regla del interés legítimo, habrá de atenderse a las circunstancias de cada tratamiento concreto y, en particular, el origen de los datos, el alcance de la información tratada o la finalidad perseguida, no siendo posible fijar una respuesta única.

En todo caso, si se opta por una base legal distinta del consentimiento será preciso informar a los interesados, entendiendo que, además, les corresponden todos los derechos y garantías propios de la base jurídica elegida, como podría ser el derecho de oposición.

En la actualidad se está tramitando una nueva ley orgánica de protección de datos que contiene una disposición derogatoria única por la cual se deroga la LOPD así como cualquier otra disposición de igual o inferior rango que contradigan, se opongan, o resulten incompatibles con lo dispuesto en el RGPD.

No obstante lo anterior, desde que es aplicable el RGPD, la mayor parte del contenido de la LOPD y su Reglamento de desarrollo es desplazado por la norma comunitaria. Si seguirán vigentes algunos de los preceptos tanto de la LOPD como de su Reglamento de desarrollo, como por ejemplo aquellos que regulan los tratamientos de solvencia patrimonial o la denominada “Lista Robinson”.

2. ADECUACIÓN AL RGPD (Parte 1):

El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.

A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

El RGPD establece un catálogo de las medidas que los responsables, y en ocasiones los encargados, deben aplicar para garantizar que los tratamientos que realizan son conformes con el Reglamento y estar en condiciones de demostrarlo.

Estas medidas de responsabilidad activa son:

  • Análisis de riesgo
  • Registro de actividades de tratamiento
  • Protección de Datos desde la Protección de Datos
  • Medidas de seguridad
  • Notificación de “violaciones de seguridad de los datos”
  • Evaluación de impacto sobre la Protección de Datos
  • Delegado de Protección de Datos

La AEPD ha publicado dos documentos, uno dirigido al sector privado y otro a las Administraciones públicas, reflejando las actuaciones u “hoja de ruta” que se debe llevar a cabo para que los tratamientos sean conformes al RGPD. Estas actuaciones, algunas de ellas ya han sido citadas en la anterior pregunta-respuesta, serían las siguientes:

  • Designar al delegado de protección de datos si es obligatorio o si se asume voluntariamente.
  • Elaborar el registro de actividades de tratamiento.
  • Analizar las bases jurídicas de los tratamientos.
  • Efectuar un análisis de riesgos. 

En el sector privado:

  • Revisar las medidas de seguridad en función del análisis de riesgos realizado.
  • Establecer mecanismos y procedimientos de gestión de quiebras de seguridad.
  • Llevar a cabo, cuando sea necesario, una evaluación de impacto de la protección de datos.
  • Adecuar los formularios de recogida de datos personales al contenido del derecho a la información del RGPD.
  • Adaptar los procedimientos para atender a los derechos de los afectados en relación al tratamiento de sus datos personales.
  • Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD.
  • Adoptar los contratos con encargados de tratamiento al contenido que dispone el RGPD.
  • Confeccionar e implantar políticas de protección de datos.

Los responsables y encargados del tratamiento de datos personales deberán mantener un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro deberá contener la información que recoge al respecto el artículo 30 del RGPD y que es la siguiente: Respecto a los responsables:

  1. el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
  2. los fines del tratamiento;
  3. una descripción de las categorías de interesados y de las categorías de datos personales;
  4. las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
  5. en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
  6. cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
  7. cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

 

Respecto a los encargados:

  1. el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
  2. las categorías de tratamientos efectuados por cuenta de cada responsable;
  3. en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
  4. cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.

Por otra parte, están exentas de configurar este registro de actividades las organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.

No obstante, hay que indicar que estas excepciones se aplican en casos muy limitados, puesto que en la práctica todos los tratamientos pueden suponer un riesgo para los derechos y libertades de los interesados, aunque sea ocasional, lo que viene a implicar que en la práctica, que la mayoría de los responsables o encargados del tratamiento que empleen a menos de 250 trabajadoras estarán obligadas a llevar un registro de actividades de tratamiento.

Por último, para organizar este registro de actividades de tratamiento se puede:

  • Partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.
  • Configurarlo en torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas (por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de recursos humanos y nóminas”) o con arreglo a otros criterios distintos.

 

Las categorías especiales de datos son aquellas que incluyen datos que revelen el origen étnico o racial, las opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual o las orientaciones sexuales de una persona física.

La regla general contemplada en el Reglamento es la prohibición del tratamiento de categorías especiales de datos (art. 9). No obstante, se recoge un amplio abanico de excepciones a esta regla general como son las siguientes:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado”.

3. ADECUACIÓN AL RGPD (Parte 2):

En virtud de este principio la información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

Se deberán evitar las fórmulas especialmente farragosas y que incorporan remisiones a los textos legales.

Las clausulas informativas deberán explicar el contenido al que inmediatamente se refieren de forma clara y accesible para los interesados, con independencia de sus conocimientos en la materia.

Se establece una lista exhaustiva de la información que debe proporcionarse a los interesados (más amplia que la que reflejada en la LOPD) y que añade, entre otros:

  • Base jurídica del tratamiento
  • Intención de realizar transferencias internacionales
  • Datos del Delegado de Protección de Datos (si lo hubiere)
  • Elaboración de perfiles.

Puesto que como hemos indicado anteriormente, el contenido del derecho de información se ha ampliado considerablemente, se recomienda adoptar un modelo de información por capas o niveles de manera que: Se presente una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos.

Y por otra parte, remitir el resto de las informaciones, en un medio más adecuado para su presentación, compresión y, si se desea, archivo. La información a facilitar por capas o niveles sería la siguiente:

1.- Información básica (1ª capa, resumida):

  • Identidad del responsable del tratamiento;
  • Descripción sencilla de los fines del tratamiento, incluyendo la elaboración de perfiles si existiese;
  • Base jurídica del tratamiento;
  • Previsión o no de cesiones.
  • Previsión de transferencias o no, a terceros países.
  • Referencia al ejercicio de derechos.

 2.- Información adicional (2ª capa, detallada):

  • Datos de contacto del responsable. Identidad y datos del representante (si existiese).
  • Datos de contacto del delegado de protección de datos (si existiese).
  •  Descripción ampliada de los fines del tratamiento.
  • Plazos o criterios de conservación de los datos.
  • Decisiones automatizadas, perfiles y lógica aplicada.
  • Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo.
  • Obligación o no de facilitar datos y consecuencias de no hacerlo.
  • Destinatarios o categorías de destinatarios.
  • Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.
  • Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, y la limitación u oposición a su tratamiento.
  • Derecho a retirar el consentimiento prestado.
  • Derecho a reclamar ante la Autoridad de Control.

Esta información no se facilitará en los supuestos de que el afectado ya disponga de la misma.

La misma a la que nos hemos referido en la anterior pregunta-respuesta añadiendo lo siguiente:

  • En la información básica (1ª capa, resumida), la fuente (procedencia) de los datos.
  • En la información adicional (2ª capa, detallada), la información detallada del origen de los datos, incluso si proceden de fuentes de acceso público, así como la categoría de datos que se traten.

Esta información se facilitará dentro de un plazo razonable, y más tardar en un mes, salvo que:

  • Si los datos personales han de utilizarse para una comunicación con el afectado, a más tardar en el momento de la primera comunicación a dicho afectado.
  • Si está previsto comunicarlos a otro interesado, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

No obstante lo anterior, no será necesario comunicar el contenido del derecho de información cuando: 

  • El afectado ya disponga de la información. 
  • La comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de que el responsable adopte medidas adecuadas para proteger los derechos, libertades e intereses legítimos del afectado.
  • La comunicación de los datos esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y se establezcan medidas adecuadas para proteger los intereses legítimos del afectado.
  • Los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida la obligación de secreto de naturaleza estatutaria.

En determinadas materias los encargados tienen obligaciones propias que establece el RGPD, que no se circunscriben al ámbito del contrato que los une al responsable, y que pueden ser supervisadas separadamente por las autoridades de protección de datos.

Por ejemplo:

  • Deben mantener un registro de actividades de tratamiento.
  • Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.
  • Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.

Los encargados pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación previstos por el RGPD.

Los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados.

Para demostrar que los encargados o subencargados ofrecen las garantías exigidas por el RGPD, éstos podrán adherirse a códigos de conducta o certificarse dentro de los esquemas previstos por el RGPD. Si bien antes el Reglamento de Desarrollo de la LOPD (RLOPD) establecía la necesidad de diligencia debida en la selección de encargados, según el RGPD el responsable deberá adoptar medidas apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme el RGPD (principio de responsabilidad activa).

Las relaciones entre el responsable y el encargado deben formalizarse en un contrato o en un acto jurídico que vincule al encargado respecto al responsable.

Se regula de forma minuciosa el contenido mínimo de los contratos de encargo, debiendo preverse aspectos como:

  • Objeto, duración, naturaleza y la finalidad del tratamientos
  • Tipo de datos personales y categorías de interesados
  • Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable
  • Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones
  • Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados.

Los contratos con encargados de tratamiento concluidos con anterioridad a la aplicación del RGPD en mayo de 2018 deben modificarse y adaptarse para respetar este contenido, sin que sean válidas las remisiones genéricas al artículo del RGPD que los regula.

Indicar al respecto que la Disposición transitoria quinta, Contratos de encargado del tratamiento, del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, que se está tramitando en el Congreso (la norma todavía no ha sido aprobada), dice que:

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y, en caso de haberse pactado de forma indefinida, hasta transcurridos cuatro años desde la citada fecha.

En caso de que los contratos previesen su prórroga al término de su vencimiento, ya fuera por mutuo acuerdo entre las partes o en ausencia de denuncia por cualquiera de ellas, deberá producirse su adaptación con anterioridad al momento en que estuviera prevista dicha prórroga.

En primer lugar, el RGPD contempla la posibilidad de que se pueda realizar una transferencia internacional de datos a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. En tal caso, dicha transferencia no requerirá de ninguna autorización previa (artículo 45 del RGPD).

En segundo lugar, y a falta de la citada decisión, el responsable o encargado del tratamiento pueden transferir los datos a un tercer país u organización internacional si se han establecido las garantías adecuadas y los afectados cuenten con derechos exigibles y acciones legales efectivas.

Estas garantías adecuadas podrán ser aportadas, sin necesidad de autorización de la autoridad de control por:

a) un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;

b) normas corporativas vinculantes de conformidad con el artículo 47;

c) cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2;

d) cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 93, apartado 2;

e) un código de conducta aprobado con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o

f) un mecanismo de certificación aprobado con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.

No obstante lo anterior, tanto las normas corporativas vinculantes como las cláusulas tipo adoptadas por una autoridad de control, deben someterse al mecanismo de coherencia del artículo 63 del RGPD.

En tercer lugar, y en ausencia de decisión adecuada o de garantías adecuadas, si la transferencia cumple alguna de las siguientes condiciones:

a) el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas;

b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;

c) la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;

d) la transferencia sea necesaria por razones importantes de interés público;

e) la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;

f) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento;

g) la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

 

Por otra parte, cuando una transferencia no pueda basarse en disposiciones de los artículos 45 o 46, incluidas las disposiciones sobre normas corporativas vinculantes, y no sea aplicable ninguna de las excepciones para situaciones específicas a que se refiere el párrafo primero del presente apartado, solo se podrá llevar a cabo si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evaluó todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales. El responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos.

Únicamente cuando las garantías adecuadas para realizar la transferencia internacional se basen en:

  • Cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional.
  • Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

 

No obstante lo anterior, en el primer supuesto deberá someterse también al mecanismo de coherencia del artículo 63 del RGPD. Únicamente cuando las garantías adecuadas para realizar la transferencia internacional se basen en:

  • Cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional.
  • Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

 

No obstante lo anterior, en el primer supuesto deberá someterse también al mecanismo de coherencia del artículo 63 del RGPD.

Aunque el RGPD ya sea aplicable desde el 25 de mayo de 2018, mientras no se apruebe la nueva Ley Orgánica de Protección de Datos, seguirá vigente lo dispuesto en la sección primera del capítulo V del título IX del RLOPD:

  • El procedimiento se inicia a solicitud del exportador que pretenda llevar a cabo la transferencia.
  • En su caso, se podrá requerir al solicitante para que complete o modifique la documentación presentada en el plazo de 10 días, establecido en el artículo 68 de la Ley 39/2015 del Procedimiento Administrativo Común de las Administraciones Públicas. Si transcurrido dicho plazo no se hubiera recibido su notificación, se le tendrá por desistido de su petición, procediéndose al archivo de su solicitud.
  • Trámite de información pública con carácter potestativo (10 días).
  • Cumplidos los requisitos legalmente exigibles, la Directora de la Agencia resolverá autorizar la transferencia internacional de datos, y se procederá a su inscripción.
  • El plazo máximo para dictar y notificar resolución será de tres meses, a contar desde la fecha de entrada en la Agencia Española de Protección de Datos de la solicitud.
  • Si en dicho plazo no se hubiese dictado y notificado resolución expresa, se entenderá autorizada la transferencia internacional de datos.

Sí, las autorizaciones que se hayan otorgado por la AEPD antes de que fuese de aplicación el RGPD (25 de mayo de 2018) siguen siendo válidas, mientras que dicha autoridad de control no proceda a la modificación, sustitución o derogación de las mismas.

No obstante, si se quisiera realizar por entidades previamente autorizadas una nueva transferencia internacional, se aplicarán las reglas que al respecto contempla el RGPD y que hemos descrito en los puntos anteriores.

Las normas corporativas vinculantes (o BCR por sus siglas en inglés) son “las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta“.

Los grupos empresariales son aquellos”constituidos por una empresa que ejerce el control y sus empresas controladas“.

La autoridad de control competente aprobará normas corporativas vinculantes (más conocidas por sus siglas en inglés BCR -Binding Corporate Rules-) de conformidad con el mecanismo de coherencia establecido en el artículo 63 del RGPD.

Corresponde aprobar las normas corporativas vinculantes a la autoridad de control competente de conformidad con el mecanismo de coherencia del artículo 63 del RGPD, siempre que estas:

a) sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados;

b) confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales, y

c) cumplan los requisitos establecidos en el artículo 47.2 del RGPD (contenido mínimo al que nos hemos referido anteriormente).

Los códigos de conducta, a diferencia de las certificaciones, ya estaban previstos de una forma genérica en la Directiva 95/46/CE y, en el caso de España, se adaptó al derecho nacional tanto en la LORTAD como en la LOPD. Este marco normativo ha propiciado la elaboración de 13 códigos tipo en el ámbito del sector privado y 2 en el ámbito del sector público como mecanismos de autorregulación en materia de protección de datos, complementando el marco regulatorio existente.

El RGPD otorga dar una mayor relevancia a los códigos de conducta, con la finalidad de que sirvan como herramientas para que los responsables y encargados puedan demostrar su cumplimiento, teniendo en cuenta las características y necesidades específicas de los distintos sectores y de las pymes y micropymes. Para ello, señala a los Estados miembros, las Autoridades de protección de datos, el Comité europeo de protección de datos, así como a la Comisión, como impulsores para la elaboración de códigos de conducta o para la adaptación de los ya existentes por parte de los responsables y encargados, así como a las asociaciones y otros organismos representativos de categorías de responsables y encargados.

Las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento podrán elaborar los códigos de conducta.

Estos códigos deberían incluir, lo que podría entenderse como un conjunto de requisitos mínimos con el fin de contribuir a la correcta aplicación del RGPD. Entre ellos, los códigos de conducta deberán recoger lo referente:

a) el tratamiento leal y transparente;

b) los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos;

c) la recogida de datos personales;

d) la seudoanonimización de datos personales;

e) la información proporcionada al público y a los interesados;

f) el ejercicio de los derechos de los interesados;

g) la información proporcionada a los niños y la protección de éstos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el niño;

h) las medidas y procedimientos para garantizar la seguridad del tratamiento así como la protección de datos desde el diseño y por defecto;

i) la notificación de violaciones de la seguridad de los datos personales a las autoridades de control y la comunicación de dichas violaciones a los interesados;

j) la transferencia de datos personales a terceros países y organizaciones internacionales, o

k) los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las controversias entre los responsables del tratamiento y los interesados relativas al tratamiento, sin perjuicio de los derechos de los interesados. Destaca este último aspecto, que permitirá resolver los conflictos que pudieran plantearse y obtener satisfacción de manera ágil.

Las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento que pretendan elaborar un código de conducta o modificar o ampliar un código existente, presentarán el proyecto de código o modificación o ampliación a la autoridad de control que sea competente con arreglo al artículo 55 del RGPD.

Esta autoridad de control dictaminará si el proyecto de código o la modificación o ampliación es conforme con el RGPD procediendo a su aprobación, registro y publicación. Si el proyecto de código de conducta guardase relación con actividades de tratamiento en varios Estados miembros, la autoridad de control que sea competente en virtud del artículo 55 del RGPD, lo presentará por el procedimiento del artículo 63, antes de su aprobación o de la modificación o ampliación, al Comité Europeo de Protección de datos, que dictaminará si el mismo es conforme al RGPD u ofrece las garantías adecuadas. En caso afirmativo, este dictamen se presentará a la Comisión, procediendo esta última a darle publicidad.

4. DELEGADO DE PROTECCIÓN DE DATOS:

Esta figura constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones, si bien la responsabilidad sobre este cumplimiento recae en el responsable o encargado.

El Delegado de Protección de Datos (DPD), debe nombrarse atendiendo a sus cualidades profesionales y en particular debe contar con conocimientos especializados del Derecho y práctica en protección de datos, no se le exige ningún tipo de titulación y tampoco tiene que estar certificado.

Actúa de forma independiente y entre las funciones que se le atribuyen están las de informar y asesorar al responsable o encargado del tratamiento además de supervisar que cumplen con el RGPD. No obstante, el detalle de todas sus funciones está incluido artículo 39 del RGPD. Además conviene precisar que el DPD puede ser personal interno o externo, persona física o persona jurídica.

El RGPD en su artículo 37.1 recoge los supuestos en que es obligatorio la designación de un Delegado, y que son los siguientes:

  • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  • Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Entre las entidades que deberían nombrar un delegado de protección de datos se encontrarían:

  • Aseguradoras y reaseguradoras.
  • Distribuidores y comercializadores de energía eléctrica o gas natural.
  • Entidades responsables de sistemas de información crediticia.
  • Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles.
  • Centros sanitarios.
  • Centros docentes que ofrezcan enseñanzas regladas.
  • Universidades.
  • Colegios profesionales y sus consejos generales.
  • Entidades dedicadas al juego on line.

La propia organización.

El artículo 37 se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento con respecto a la designación de un delegado de protección de datos (DPD). En función de quién cumpla los criterios de designación obligatoria, en algunos casos solo el responsable o solo el encargado deben designar un DPD, y en otros casos tanto el responsable como su encargado deben designar respectivos DPD (que deberán cooperar entre sí).

Es importante destacar que, aunque el responsable cumpla los criterios de designación obligatoria, su encargado no está necesariamente obligado a nombrar un DPD. No obstante, puede ser una práctica recomendable.

Las funciones del Delegado de Protección de Datos se encuentran especificadas en el artículo 39 del RGPD, siendo las siguientes:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento, de las obligaciones del RPGD y demás normativa aplicable en protección de datos.
  • Supervisar el cumplimiento del RGPD y demás normativa aplicable en protección de datos, y de las políticas del responsable o encargado del tratamiento en dicha materia, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en operaciones de tratamiento, y las auditorías correspondientes.
  • Ofrecer el asesoramiento que se solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación conforme al artículo 35 del RGPD.
  • Cooperar con la autoridad de control. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa del artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

Sí. La función del delegado de protección de datos (DPD) puede ejercerse también en el marco de un contrato de servicios suscrito con una persona física o con una entidad ajena a la organización del responsable o del encargado del tratamiento.

En este último caso, es fundamental que cada miembro de la organización que ejerza las funciones de DPD cumpla todos los requisitos aplicables de la sección 4 del RGPD, siendo fundamental que nadie tenga un conflicto de intereses.

Es igualmente importante que cada uno de estos miembros esté protegido por las disposiciones del RGPD, como las que impiden la rescisión injustificada del contrato de servicios motivada por las actividades del DPD o la destitución improcedente del miembro de la organización que realice las funciones del DPD.

Al mismo tiempo, es posible combinar capacidades y puntos fuertes individuales para que varios individuos que trabajen en equipo puedan servir a sus clientes de forma más eficaz. El Grupo de Trabajo del artículo 29 (futuro Comité Europeo de Protección Datos) ha dictaminado que, en aras de la claridad jurídica y de la buena organización y con el fin de evitar conflictos de intereses de los miembros del equipo, se recomienda asignar claramente las tareas dentro del equipo del DPD y designar una única persona como contacto y persona “a cargo” de cada cliente. Sería también útil, en general, especificar estos puntos en el contrato de servicios.

Sí, de conformidad con el RGPD, el nombramiento de delegados de protección de datos debe comunicarse a la AEPD, o Autoridad de Protección de Datos autonómica en el ámbito de sus competencias. Para facilitar esta labor la AEPD ha puesto en marcha un sistema de comunicación electrónica:

https://sedeagpd.gob.es/sede-electronica-web/vistas/formDelegadoProteccionDatos/procedimientoDelegadoProteccion.jsf

El artículo 38 del RGPD establece que el responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos (DPD) “participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales”.

Es fundamental que el DPD, o su equipo, participen desde la etapa más temprana posible en todas las cuestiones relativas a la protección de los datos (de manera especial, en relación con las evaluaciones de impacto).

Asimismo, es importante que el DPD sea considerado como un interlocutor dentro de la organización y que forme parte de los correspondientes grupos de trabajo que se ocupan de las actividades de tratamiento de datos dentro de la organización.

Para el Grupo de Trabajo del artículo 29 (futuro Comité Europeo de Protección Datos), en consecuencia, la organización debe garantizar, por ejemplo, que:

  • Se invite al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios.
  • Que esté presente cuando se toman decisiones con implicaciones para la protección de datos (recordando que toda la información pertinente debe transmitirse al DPD a su debido tiempo con el fin de que pueda prestar un asesoramiento adecuado).
  • Su opinión debe tenerse siempre debidamente en cuenta (en caso de desacuerdo, como buena práctica, es conveniente documentar los motivos por los que no se sigue el consejo del DPD).
  • Su consulta al DPD con prontitud, una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente.

Cuando sea pertinente, el responsable o el encargado del tratamiento podría elaborar directrices o programas sobre la protección de datos que determinen cuándo debe consultarse al DPD.

Los delegados de protección de datos (DPD) no son personalmente responsables en caso de incumplimiento del RGPD. El RGPD deja claro que es el responsable o el encargado del tratamiento quien está obligado a garantizar y ser capaz de demostrar que el tratamiento se realiza de conformidad con sus disposiciones (artículo 24, apartado 1). El cumplimiento de las normas sobre protección de datos es responsabilidad del responsable o del encargado del tratamiento. La función del DPD de supervisar la observancia no significa que el DPD sea personalmente responsable de cualquier caso de inobservancia.

El RGPD establece claramente que es el responsable y no el DPD quien está obligado a aplicar “medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento” (artículo 24, apartado 1). El cumplimiento de las normas en materia de protección de datos es responsabilidad corporativa del responsable del tratamiento, no del DPD.

En definitiva, el responsable (o encargado del tratamiento en su caso) es responsable del cumplimiento de la normativa de protección de datos y debe ser capaz de demostrar dicho cumplimiento. Si el responsable o el encargado del tratamiento toman decisiones que son incompatibles con el RGPD y el consejo del DPD, este debe tener la posibilidad de expresar con claridad sus discrepancias al más alto nivel de dirección y a los encargados de la toma de decisiones.

El artículo 39, apartado 2, del RGPD requiere que el delegado de protección de datos (DPD) desempeñe sus funciones “prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento”.

Dicho artículo recuerda un principio general (y de sentido común para el Grupo de Trabajo del artículo 29, futuro Comité Europeo de Protección Datos), que puede ser pertinente para muchos aspectos del trabajo diario de un DPD, a saber: que éstos establezcan prioridades en lo que respecta a sus actividades y centren sus esfuerzos en las cuestiones que presenten mayores riesgos para la protección de datos. Esto no significa que deban desatender la supervisión de la observancia de las normas en las operaciones de tratamiento de datos que tengan comparativamente menos riesgos, sino que deben centrarse principalmente en los ámbitos de mayor riesgo.

Este enfoque selectivo y pragmático debe ayudar a los DPD a asesorar al responsable del tratamiento sobre qué metodología usar cuando se realice un análisis de riesgos o una evaluación de impacto relativa a la protección de datos, qué ámbitos deben ser objeto de una auditoria de protección de datos interna o externa, qué actividades de formación internas proporcionar al personal o a los directivos encargados de las actividades de protección de datos y a qué operaciones de tratamiento dedicar más tiempo y recursos.

En resumen, la obligación de llevar a cabo el análisis de riesgos es del responsable y la función del DPD es asesorar al responsable en el cumplimiento de las obligaciones derivadas del RGPD pero el responsable podría disponer que una de las tareas de su DPD fuera la llevanza de los análisis de riesgos en protección de datos.

De conformidad con el artículo 35, apartado 1, del RGPD es labor del responsable del tratamiento y no del delegado de protección de datos (DPD) realizar, cuando sea preciso, una evaluación de impacto de las operaciones de tratamiento de datos.

No obstante, el delegado de protección de datos (DPD) puede desempeñar un papel muy importante y útil a la hora de ayudar al responsable del tratamiento. Siguiendo el principio de la protección de datos desde el diseño, al artículo 35, apartado 2, establece específicamente que el responsable del tratamiento “recabará el asesoramiento” del DPD cuando realice una evaluación de impacto relativa a la protección de datos. A su vez, el artículo 39, apartado 1, letra c), impone al DPD la obligación de “ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35”.

El Grupo de Trabajo del artículo 29 recomienda que el responsable del tratamiento busque el asesoramiento del DPD en las siguientes cuestiones, entre otras:

  • si debe llevarse a cabo o no una evaluación de impacto relativa a la protección de datos;
  • qué metodología debe seguirse al llevar a cabo una evaluación de impacto;
  • si debe realizarse la evaluación de impacto en la propia organización o subcontratarse;
  • qué salvaguardias (incluidas medidas técnicas y organizativas) deben aplicarse para mitigar cualquier riesgo para los derechos e intereses de los interesados.

En virtud del artículo 30, apartados 1 y 2, del RGPD es el responsable o el encargado del tratamiento, y no el delegado de protección de datos (DPD), quien está obligado a llevar “un registro de las actividades de tratamiento efectuadas bajo su responsabilidad” o a mantener “un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable”.

En la práctica, puede llegar a ser frecuente que los DPD elaboren inventarios y mantengan un registro de las operaciones de tratamiento basándose en la información que les proporcionan los distintos departamentos responsables del tratamiento de datos en su organización.

Esta práctica se ha establecido en virtud de muchas legislaciones nacionales vigentes y de las normas sobre protección de datos aplicables a las instituciones y organismos de la UE. El artículo 39, apartado 1, establece una lista de tareas mínimas de que debe encargarse el DPD.

Por lo tanto, nada impide que el responsable o el encargado del tratamiento asignen al DPD la tarea de mantener un registro de las operaciones de tratamiento bajo la responsabilidad del responsable o del encargado del tratamiento. Dicho registro, como medida efectiva de rendición de cuentas, debe considerarse una de las herramientas que permitan al DPD realizar sus funciones de supervisión de la observancia de las normas y de información y asesoramiento al responsable o al encargado del tratamiento.