GDPR

Política de Protección de Datos (España – GDPR y LOPDGDD)

1. Introducción
El 6 de diciembre de 2018, España aprobó la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), incorporando las disposiciones del Reglamento General de Protección de Datos (GDPR). La Agencia Española de Protección de Datos (AEPD), como autoridad supervisora, ha emitido directrices y recomendaciones para facilitar la aplicación de ambas normativas. Con la entrada en vigor de esta ley, se estableció el marco general de protección de datos personales en España.

2. Ámbito de aplicación
Estas disposiciones se aplican al tratamiento de datos personales realizado en el contexto de las actividades de responsables o encargados establecidos en España, independientemente de si el tratamiento se lleva a cabo dentro o fuera del país.
También se aplican al tratamiento automatizado y no automatizado de datos personales que formen parte de un sistema de archivo.
No se aplican al tratamiento realizado por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
Asimismo, se aplican a responsables o encargados no establecidos en España cuando ofrezcan bienes o servicios a personas residentes en España o supervisen su comportamiento dentro del territorio español.

3. Principios del tratamiento de datos
Legalidad, lealtad y transparencia: el tratamiento debe tener una base legal, realizarse de forma justa y ser transparente para los interesados.
Limitación de la finalidad: los datos deben recogerse con fines específicos, explícitos y legítimos, y no tratarse posteriormente de forma incompatible con dichos fines.
Minimización de datos: solo deben tratarse los datos necesarios y pertinentes para los fines previstos.
Exactitud: los datos personales deben ser exactos y mantenerse actualizados.
Limitación del plazo de conservación: los datos deben conservarse únicamente durante el tiempo necesario y posteriormente eliminarse o anonimizarse.
Integridad y confidencialidad: deben aplicarse medidas técnicas y organizativas adecuadas para proteger los datos contra accesos no autorizados, pérdida o alteración.

4. Derechos de los interesados
Derecho de información: conocer cómo se tratan sus datos personales, incluyendo fines, métodos y plazos de conservación.
Derecho de acceso: confirmar si sus datos están siendo tratados y acceder a ellos.
Derecho de rectificación: corregir datos inexactos o incompletos.
Derecho de supresión (derecho al olvido): solicitar la eliminación de sus datos en determinados casos.
Derecho a la limitación del tratamiento: restringir el tratamiento en circunstancias específicas.
Derecho a la portabilidad: recibir sus datos en un formato estructurado y transferirlos a otro responsable.
Derecho de oposición: oponerse al tratamiento basado en intereses legítimos o públicos, salvo que existan motivos legítimos imperiosos.
En el caso de menores de 14 años, el tratamiento de datos requiere su consentimiento y el de sus padres o tutores. La información debe proporcionarse en un lenguaje adecuado a su edad.

5. Obligaciones de los encargados del tratamiento
El encargado solo podrá tratar datos personales conforme a las instrucciones del responsable establecidas en contrato.
Debe implementar medidas técnicas y organizativas para garantizar la seguridad de los datos.
Debe colaborar con el responsable en el cumplimiento de sus obligaciones, incluyendo la atención de los derechos de los interesados.
En caso de violación de seguridad, deberá notificarlo sin demora al responsable, quien informará a la AEPD y a los afectados cuando sea necesario.
Debe mantener un registro de las actividades de tratamiento con información detallada.
Cuando el tratamiento implique alto riesgo, el responsable deberá realizar una Evaluación de Impacto de Protección de Datos (DPIA) conforme al artículo 35 del GDPR. Si el riesgo persiste, se deberá consultar previamente a la AEPD.
El responsable deberá designar un Delegado de Protección de Datos (DPO) cuando lo exija la normativa, notificando su nombramiento a la autoridad competente. El DPO debe contar con conocimientos especializados en protección de datos.

6. Transferencias internacionales de datos
Cuando los datos personales se transfieran fuera de la Unión Europea, el responsable debe garantizar un nivel adecuado de protección. Esto puede lograrse mediante decisiones de adecuación de la Comisión Europea o mediante cláusulas contractuales tipo.
El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea declaró inválido el mecanismo Privacy Shield. Posteriormente, el 4 de junio de 2021, la Comisión Europea adoptó nuevas cláusulas contractuales estándar, y la AEPD publicó directrices para garantizar transferencias internacionales conformes al GDPR.

7. Supervisión y cumplimiento
La AEPD es la autoridad encargada de supervisar y sancionar el tratamiento de datos personales en España. En caso de incumplimiento, puede imponer advertencias, restricciones o sanciones económicas que pueden alcanzar importes elevados según la gravedad de la infracción.
Las personas pueden establecer directrices sobre el uso de sus datos personales tras su fallecimiento. En ausencia de instrucciones, el tratamiento deberá ajustarse a la legislación vigente.
Estas disposiciones tienen como objetivo garantizar la protección efectiva de los datos personales, el respeto de los derechos de los interesados y el cumplimiento legal por parte de todos los actores implicados.

8. Contacto
Para cualquier consulta relacionada con la protección de datos personales o el ejercicio de sus derechos, puede ponerse en contacto con nosotros a través de correo electrónico o servicio de atención al cliente.