GDPR

Política de Protección de Datos (España - GDPR y LOPDGDD)

1. Introducción
El 6 de diciembre de 2018, España aprobó la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), incorporando las disposiciones del Reglamento General de Protección de Datos (GDPR). La Agencia Española de Protección de Datos (AEPD), como autoridad supervisora, ha emitido directrices para facilitar la correcta aplicación de estas normativas. Con la entrada en vigor de esta ley, se estableció el marco general de protección de datos personales en España.

2. Ámbito de aplicación
Estas disposiciones se aplican al tratamiento de datos personales realizado por responsables o encargados establecidos en España, independientemente de si el tratamiento tiene lugar dentro o fuera del país.
También se aplican al tratamiento automatizado y no automatizado de datos personales que formen parte de un sistema de archivo.
No se aplican al tratamiento realizado por personas físicas en actividades exclusivamente personales o domésticas.
Asimismo, se aplican a responsables o encargados no establecidos en España cuando ofrezcan bienes o servicios a personas residentes en España o supervisen su comportamiento dentro del territorio español.

3. Principios del tratamiento de datos
Legalidad, lealtad y transparencia: el tratamiento debe basarse en una base legal, realizarse de forma justa y transparente, informando al interesado.
Limitación de la finalidad: los datos deben recogerse con fines específicos, explícitos y legítimos, y no tratarse de manera incompatible con dichos fines.
Minimización de datos: solo deben tratarse los datos necesarios y pertinentes, evitando la recopilación excesiva.
Exactitud: los datos deben ser correctos y mantenerse actualizados.
Limitación del plazo de conservación: los datos se conservarán únicamente durante el tiempo necesario y luego se eliminarán o anonimizarán.
Integridad y confidencialidad: se deben aplicar medidas técnicas y organizativas adecuadas para proteger los datos contra accesos no autorizados, pérdida o destrucción.

4. Derechos de los interesados
Derecho a la información: conocer cómo se tratan sus datos, con qué finalidad y durante cuánto tiempo.
Derecho de acceso: confirmar si se están tratando sus datos y acceder a ellos.
Derecho de rectificación: corregir datos inexactos o incompletos.
Derecho de supresión (derecho al olvido): solicitar la eliminación de sus datos en determinados casos.
Derecho a la limitación del tratamiento: restringir el uso de sus datos en ciertas situaciones.
Derecho a la portabilidad: recibir sus datos en un formato estructurado y transferirlos a otro responsable.
Derecho de oposición: oponerse al tratamiento basado en intereses legítimos o públicos, salvo justificación del responsable.
Para menores de 14 años, el tratamiento de datos requiere el consentimiento del menor y de sus padres o tutores, y la información debe adaptarse a su edad.

5. Obligaciones de los responsables y encargados
El encargado solo tratará los datos conforme a las instrucciones del responsable establecidas en contrato.
Deben aplicarse medidas técnicas y organizativas para garantizar la seguridad de los datos.
Deben colaborar para garantizar el cumplimiento de las obligaciones y los derechos de los interesados.
En caso de brecha de seguridad, se deberá notificar sin demora al responsable, quien informará a la AEPD y a los afectados cuando sea necesario.
Debe mantenerse un registro de las actividades de tratamiento.
Cuando exista alto riesgo (por ejemplo, uso de nuevas tecnologías o decisiones automatizadas), el responsable deberá realizar una Evaluación de Impacto de Protección de Datos (DPIA) conforme al GDPR. Si persisten riesgos, se deberá consultar previamente a la AEPD.
El responsable deberá designar un Delegado de Protección de Datos (DPO) cuando así lo exija la normativa, notificándolo a la autoridad correspondiente.

6. Transferencias internacionales de datos
Cuando los datos personales se transfieran fuera de la Unión Europea, el responsable debe garantizar un nivel adecuado de protección. Esto puede lograrse mediante decisiones de adecuación de la Comisión Europea o el uso de cláusulas contractuales tipo.
El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea invalidó el mecanismo Privacy Shield. Posteriormente, el 4 de junio de 2021, la Comisión Europea adoptó nuevas cláusulas estándar, y la AEPD emitió directrices para garantizar transferencias internacionales conformes al GDPR.

7. Supervisión y aplicación
La AEPD es la autoridad encargada de supervisar y sancionar el tratamiento de datos personales en España. En caso de incumplimiento, puede imponer advertencias, prohibiciones o sanciones económicas que pueden alcanzar importes elevados según la gravedad.
Las personas pueden establecer directrices sobre el uso de sus datos tras su fallecimiento. En ausencia de instrucciones, el tratamiento se regirá por la normativa vigente.
Estas disposiciones tienen como objetivo garantizar la protección efectiva de los datos personales, el respeto de los derechos de los interesados y el cumplimiento legal en todas las actividades relacionadas.

8. Contacto
Si tiene preguntas sobre esta política o sobre el tratamiento de sus datos personales, puede ponerse en contacto con nosotros por correo electrónico. Estaremos encantados de ayudarle.