Test: El Reglamento General de Protección de Datos (RGPD) — Auxiliar Administrativo

Explicación: El art. 4.1 RGPD define «datos personales» como toda información sobre una persona física identificada o identificable («el interesado»). Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social.

Explicación: El art. 4.7 RGPD define al «responsable del tratamiento» (o responsable) como la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. El «encargado del tratamiento» (art. 4.8) es quien trata datos personales por cuenta del responsable.

Explicación: El art. 5.1 RGPD enumera los principios relativos al tratamiento: a) licitud, lealtad y transparencia; b) limitación de la finalidad; c) minimización de datos; d) exactitud; e) limitación del plazo de conservación; y f) integridad y confidencialidad. El art. 5.2 añade el principio de responsabilidad proactiva (accountability): el responsable será responsable del cumplimiento y capaz de demostrarlo.

Explicación: El art. 6.1 RGPD enumera las bases jurídicas de licitud del tratamiento: a) consentimiento del interesado; b) ejecución de un contrato o medidas precontractuales; c) cumplimiento de una obligación legal del responsable; d) protección de intereses vitales del interesado o de otra persona; e) misión realizada en interés público o en ejercicio de poderes públicos; y f) intereses legítimos del responsable o de un tercero (salvo que prevalezcan los derechos del interesado, no aplicable a autoridades públicas en ejercicio de sus funciones).

Explicación: El art. 7 RGPD establece las condiciones para el consentimiento: el responsable debe poder demostrar que el interesado consintió; si el consentimiento se da en una declaración escrita que también se refiere a otros asuntos, la solicitud se presentará de forma que se distinga claramente; el interesado tendrá derecho a retirar su consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo, y será tan fácil retirar el consentimiento como darlo.

Explicación: El art. 8.1 RGPD establece que, en relación con la oferta directa de servicios de la sociedad de la información a niños, el tratamiento de datos del niño se considerará lícito cuando tenga como mínimo 16 años. Si es menor de esa edad, solo será lícito con el consentimiento del titular de la patria potestad o tutela. Los Estados miembros pueden establecer una edad inferior, que no podrá ser menor de 13 años. En España, la LOPDGDD (art. 7) fija la edad en 14 años.

Explicación: El art. 9.1 RGPD prohíbe el tratamiento de categorías especiales de datos: los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual o las orientaciones sexuales. El art. 9.2 establece las excepciones (consentimiento explícito, interés público esencial, fines médicos, etc.).

Explicación: El art. 15 RGPD reconoce al interesado el derecho a obtener del responsable confirmación de si se están tratando datos personales que le conciernen y, en tal caso, derecho de acceso a los datos y a información sobre los fines del tratamiento, las categorías de datos, los destinatarios, el plazo previsto de conservación, la existencia del derecho a solicitar rectificación o supresión, el derecho a presentar reclamación ante una autoridad de control, y el origen de los datos, entre otros.

Explicación: El art. 17 RGPD regula el derecho de supresión («derecho al olvido»): el interesado tendrá derecho a obtener sin dilación indebida la supresión de los datos cuando ya no sean necesarios para los fines, se retire el consentimiento y no exista otra base jurídica, se oponga al tratamiento, los datos hayan sido tratados ilícitamente, deban suprimirse por una obligación legal, o se hayan obtenido en relación con servicios de la sociedad de la información ofrecidos a menores.

Explicación: El art. 20 RGPD reconoce el derecho a la portabilidad: el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable sin que lo impida el responsable original, cuando el tratamiento se base en el consentimiento (art. 6.1.a o 9.2.a) o en un contrato (art. 6.1.b) y se efectúe por medios automatizados.

Explicación: El art. 22.1 RGPD dispone que todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar. El art. 22.2 exceptúa los casos en que la decisión sea necesaria para un contrato, esté autorizada por el Derecho de la Unión o de los Estados miembros, o se base en el consentimiento explícito.

Explicación: El art. 25 RGPD establece la protección de datos desde el diseño (data protection by design): aplicar medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos. La protección por defecto (by default) exige garantizar que, por defecto, solo sean objeto de tratamiento los datos personales necesarios para cada fin específico, en cuanto a la cantidad de datos, la extensión del tratamiento, el plazo de conservación y la accesibilidad.

Explicación: El art. 30 RGPD obliga a cada responsable y, en su caso, a su representante, a llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, que contendrá el nombre y datos del responsable, los fines del tratamiento, una descripción de las categorías de interesados y de datos personales, las categorías de destinatarios, las transferencias internacionales, los plazos previstos para la supresión y una descripción general de las medidas de seguridad.

Explicación: El art. 33.1 RGPD establece que, en caso de violación de la seguridad de los datos personales, el responsable la notificará a la autoridad de control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que constituya un riesgo para los derechos y libertades. Si la notificación no tiene lugar en 72 horas, deberá ir acompañada de una indicación de los motivos de la dilación.

Explicación: El art. 34.1 RGPD dispone que cuando sea probable que la violación de la seguridad de los datos entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable la comunicará al interesado sin dilación indebida. El art. 34.2 exige describir, en un lenguaje claro y sencillo, la naturaleza de la violación y las medidas adoptadas o propuestas. El art. 34.3 establece excepciones (datos cifrados, medidas posteriores que eliminen el alto riesgo, o esfuerzo desproporcionado, en cuyo caso se hará comunicación pública).

Explicación: El art. 35.1 RGPD obliga a realizar, antes del tratamiento, una evaluación de impacto relativa a la protección de datos cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas. El art. 35.3 enumera casos en que es obligatoria (evaluación sistemática y exhaustiva mediante perfiles, tratamiento a gran escala de categorías especiales, observación sistemática a gran escala de zonas de acceso público).

Explicación: El art. 37.1 RGPD obliga a designar un delegado de protección de datos cuando: a) el tratamiento lo lleve a cabo una autoridad u organismo público (excepto tribunales en el ejercicio de su función judicial); b) las actividades principales del responsable o encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala; o c) consistan en el tratamiento a gran escala de categorías especiales de datos (art. 9) o de datos relativos a condenas e infracciones penales (art. 10).

Explicación: El art. 83.5 RGPD establece que las infracciones de las disposiciones relativas a los principios básicos para el tratamiento (incluidas las condiciones del consentimiento, arts. 5, 6, 7 y 9), los derechos de los interesados (arts. 12 a 22), las transferencias internacionales, etc., se sancionarán con multas de hasta 20 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. El art. 83.4 fija el otro umbral en 10 millones / 2 %.

Explicación: El art. 12.1 RGPD exige que el responsable tome las medidas oportunas para facilitar al interesado toda la información indicada en los arts. 13 y 14 y cualquier comunicación con arreglo a los arts. 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información se facilitará por escrito o por otros medios, inclusive electrónicos.

Explicación: El art. 16 RGPD reconoce el derecho de rectificación: el interesado tendrá derecho a obtener sin dilación indebida del responsable la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

Explicación: El art. 18.1 RGPD establece que el interesado tendrá derecho a obtener del responsable la limitación del tratamiento cuando: a) impugne la exactitud de los datos, durante un plazo que permita verificarla; b) el tratamiento sea ilícito y el interesado se oponga a la supresión y solicite en su lugar la limitación; c) el responsable ya no necesite los datos para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones; o d) el interesado se haya opuesto al tratamiento (art. 21.1) mientras se verifica si los motivos legítimos del responsable prevalecen.

Explicación: El art. 21.1 RGPD reconoce el derecho del interesado a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en el art. 6.1.e) (interés público) o f) (interés legítimo), incluida la elaboración de perfiles. El art. 21.2 establece que, cuando el tratamiento tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento, dejando entonces de tratarse los datos para esos fines.

Explicación: El art. 4.8 RGPD define al «encargado del tratamiento» como la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. El art. 28 regula la relación entre responsable y encargado, que debe formalizarse mediante un contrato u otro acto jurídico que vincule al encargado respecto del responsable.

Explicación: El art. 4.2 RGPD define «tratamiento» como cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Explicación: El art. 83.4 RGPD establece que las infracciones de las obligaciones del responsable y del encargado a tenor de los arts. 8, 11, 25 a 39, 42 y 43; de los organismos de certificación; y de la autoridad de control conforme al art. 41.4, se sancionarán con multas de hasta 10 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. El art. 83.5 fija el umbral superior (20M / 4 %).