Professional Documents
Culture Documents
Teoria 2 Legislacion Vigente
Teoria 2 Legislacion Vigente
1.
El objetivo del RGPD es la protección de los datos personales, es decir, los relativos a personas
físicas. De hecho, el RGPD es una de las mayores reestructuraciones de cómo debería ser el
tratamiento de los datos personales y puede llegar a afectar no solo a las empresas, sino a cualquier
persona, entidad, autoridad pública, servicio u otro organismo que procese datos personales de
quienes residan en la UE. Ahí se incluyen proveedores y terceras empresas a los que se encargue el
tratamiento de datos personales.
2.
Datos Básicos: Datos personales que no correspondan a categorías especiales de datos ni a condenas
y delitos penales. Por ejemplo: nombre, dirección, email, teléfono, edad, sexo, firma, aficiones,
patrimonio, datos bancarios, información académica, profesional, social, comercial, financiera, etc.
Categorías Especiales de datos: datos relativos al origen étnico o racial, opiniones políticas,
convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan
la identificación univoca de una persona, datos relativos a la salud o a la vida y orientación
sexuales.
Condenas y delitos Penales: Datos relativos a condenas y delitos penales.
3.
4.
a) Datos personales: Información relativa a una persona física, identificada o identificable, por la
cual pueda determinarse, directa o indirectamente su identidad.
b) Responsables del tratamiento (RT): Persona física o jurídica, Autoridad, servicio u organismo
que, solo o conjuntamente con otros Corresponsables, determine los fines y los medios del
tratamiento.
c) Encargado del tratamiento (ET): Persona física o jurídica, Autoridad pública, servicio u
organismo que, solo o conjuntamente con otros Encargados, trate datos personales por cuenta del
RT.
d) Destinatario de datos: Persona física o jurídica, autoridad pública, servicio u organismo que
reciba una comunicación de datos personales. No se aplica a las Autoridades públicas para
investigaciones concretos de interés general reguladas por la ley.
f) : Persona autorizada para realizar un tratamiento de datos personales baje autoridad directa del RT
o ET, que se haya comprometido a respetar la confidencialidad o tengan la obligación legal de
confidencialidad.
5.
Tratamiento de alto riesgo: Tratamiento sujeto a una evaluación de impacto por ser susceptible de
comportar un Alto Riesgo para la protección de los derechos y libertades de los Interesados.
6.
No basta con simplemente cumplir el RGPD. Las empresas deben demostrar que lo hacen de
acuerdo con el requisito de «responsabilidad proactiva», que implica cumplir algunas obligaciones
bastante onerosas de llevanza de registros. En concreto, deben:
• mantenerse registros que detallen las actividades de tratamiento
• las peticiones de acceso de los interesados
• las violaciones de seguridad
• la forma de obtención de los consentimientos y
• las evaluaciones de impacto relativas a la protección de datos.
7.
-e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento,
incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre
cualquier otro asunto.
El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los
riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el
contexto y fines del tratamiento.
8.
Como resumen de la política de seguridad a implementar, se deben aplicar las siguientes medidas.
Responsabilidad:
o Acuerdos de confidencialidad con el Personal autorizado.
o Contratos con los Encargados del tratamiento.
o Acuerdos con los Corresponsables del tratamiento.
o Contratos con los destinatarios de los datos.
Estructura técnica:
o Ejecución de los derechos de los interesados.
o Protección de datos desde diseño y por defecto.
o Análisis de los riesgos del tratamiento.
o Evaluación del impacto (si existen riesgos)
o Resolución de violaciones de la seguridad.
Estructura organizativa:
o Acceso a equipos y redes informáticas.
o Acceso a categorías especiales de datos (si existen)
o Protección de equipos y redes informáticas.
o Copias de respaldo.
o Transporte y transmisión de datos
o Transferencias internacionales (si existen)
o Destrucción de datos.