Protección de datos personalesFicha técnica para los empleados conforme a la legislación europea (RGPD)
LA PROTECCIÓN DE DATOS?
¿QUÉ ES…
1
Introducción
Estimados compañeros:
El tema de la protección de los datos personales les afecta de dos maneras. Por un lado, como cliente o empleado cuyos datos son procesados; por el otro, dado que ustedes durante su trabajo to-man conocimiento de datos de terceros. La legislación sobre la protección de los datos solo les permite tratar datos personales de empleados, clientes, proveedores u otros terceros sobre la base de las disposiciones legales y las instrucciones internas pertinentes. El respeto de la confidencialidad constitu-ye una obligación emanada del derecho laboral y de protección de datos.El marco legal se basa en el Reglamento general de protección de datos (RGPD), cuyo objetivo es modernizar y armoni-zar la protección de datos dentro de la Unión Europea. El RGPD también per-mite que los Estados miembro de la UE adopten reglamentaciones específicas para determinados temas.
El objetivo de la protección de los datos de proteger al individuo a fin de que en el tratamiento de sus datos personales no se vean vulnerados sus derechos personales exige que dichos datos sean tratados con responsabilidad y, también, que se utilicen las aplicaciones y siste-mas informáticos con consciencia de los riesgos implicados.La presente información contiene un repaso de los elementos básicos de la protección de datos, así como informa-ción sobre sus derechos y obligaciones. Demás está decir que, en mi carácter de Encargado/a de Protección de Datos, estoy a su disposición por cualquier duda que tenga. Hágame llegar su con-sulta con confianza.
Su Encargado/a de Protección de Datos
PROTECCIÓN DE DATOS PERSONALES
CO
NT
RO
L PROPIO
CONTROL INTERNO
CONTROL EXTERN
O
...ejerce sus derechosPuede solicitar información sobre los datos almacenados y, de ser necesario, obtener la rectificación, la supresión, el bloqueo o la portabilidad de sus datos.» A PARTIR DE PÁG. 16
El interesado
...controla el cumplimiento de la leyEl organismo de control competen-te puede objetar procesos ilegales, imponer multas e iniciar denuncias penales.» A PARTIR DE PÁG. 6
El Estado
...protege los datosLos datos personales deben estar suficientemente pro-tegidos contra el acceso no autorizado, la pérdida y la destrucción.» A PARTIR DE PÁG. 14
...es responsablede que el tratamiento de datos personales siempre cumpla con la normativa de protección de datos.» A PARTIR DE PÁG. 8
La empresa ...organiza la protección de datosLa empresa establece las reglas sobre cómo y bajo qué condiciones se pueden recoger y tratar datos.» A PARTIR DE PÁG. 12
LA PROTECCIÓN DE DATOS. Resumen
Resumen Resumen
2 33
55
LA IMPORTANCIA DELA PROTECCIÓN DE DATOS
¿Por qué es necesario proteger los datos?
Debido al desarrollo tecnológico del tratamiento automatizado de datos aumenta el
riesgo del uso indebido de los datos. Se generan cada vez más datos que pueden ser
almacenados, vinculados y analizados en forma casi ilimitada. Esto limita los derechos
personales y las libertades civiles del individuo, en particular cuando no sabe quién
posee cuáles datos sobre él o ella, qué hace con ellos y a quién se los transmite.
¿Qué son los datos personales?
Datos personales son aquellos referidos a una persona física determinada o
determinable.
Son particularmente sensibles los datos como el origen racial y étnico, las opiniones
políticas, las creencias religiosas o filosóficas, la afiliación sindical, los datos de
salud y relativos a la vida sexual, así como los datos biométricos y genéticos, cuyo
tratamiento solo se permite bajo estrictas reglas y cuyo uso, por ejemplo con fines
comerciales, suele ser ilegal.
¿Cuál es el marco normativo?
Debido a los riesgos que presenta para los derechos personales, el tratamiento de
datos personales debe cumplir con la normativa legal. En el ámbito europeo, los
principios de la protección de datos se rigen por el Reglamento General de Protección
de Datos (RGPD) y también existen disposiciones específicas para ciertos sectores. (ver pág. 9)
Art. 1 inc. 2 RGPD
«El presente Reglamento
protege los derechos y
libertades fundamentales
de las personas físicas y,
en particular, su derecho a
la protección de los datos
personales.»
Art. 4 inc. 1 RGPD
«Datos personales» es
toda información sobre
una personal física
identificada o identificable;
se considerará persona
física identificable toda
persona cuya identidad
pueda determinarse,
directa o indirectamente,
en particular mediante
un identificador, como un
nombre, un número de
identificación, datos de
localización
Protección de datosProtección de datos
4
Las organizaciones del derecho
privado y las empresas, pero
también las personas que
procesan datos personales, p.
ej. autónomos, asociaciones,
empresas de producción, comercio
o servicios, y también proveedores
de redes sociales.
¿QUIÉN DEBE CUMPLIREL RGPD?
1.Otras organizaciones privadas cuyo
objeto comercial es el tratamiento
de datos personales para terceros,
como centros de cómputo que
prestan servicios, proveedores
de información económica,
investigadores de mercado y
opinión, comercializadores y
editores de direcciones, así
como instituciones de ciencia e
investigación y medios.
2. 3.Autoridades u organismos públicos.
RECUERDE
Los empleados deben tratar
los datos personales con
cuidado y prudencia.
(ver pág. 7/8)
¿A quién protege el Reglamento General de Protección de Datos (RGPD)?
El RGPD protege a las personas físicas en el uso de sus datos personales. De esta
manera, la protección abarca a los empleados, los clientes y los proveedores o sus
representantes. (ver pág. 10) La necesidad de proteger los datos depende del contexto en
el que se los use.
EjemplosDOMICILIOFECHA DE
NUMERO DE TELEFONO FOTO
NACIMIENTO
PROPIEDADES
TIEMPOS DE USO DE EQUIPOS
SALARIO
COMPORTAMIENTO DE
RESULTADOS DEL TRABAJO
TRABAJONUMERO DE PERSONAL
ID DE USUARIO
D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T
EL CONTROL ESTATALAutoridad de control de la protección de datos
La autoridad de control supervisa la organización de protección de datos interna de
la empresa, la autorización para tratar los datos y el cumplimiento de los derechos de
los interesados; establece limitaciones y puede, dado el caso, prohibir procedimientos
no autorizados. Para ello dispone de facultades de información, de ingreso, de visita,
de auditoría y de inspección, y puede imponer multas administrativas considerables e
iniciar acciones penales.
Las autoridades europeas de control deciden en un Comité de Protección de Datos
sobre la aplicación uniforme del RGPD.
77
El EstadoEl Estado
6
CONSECUENCIASPARA LA EMPRESA
Infracciones
Son violaciones intencionales
o negligentes de la protección
de datos por parte de una em-
presa. Las multas son enormes
y alcanzan los 20 millones de
euros o 4 % del volumen anual
de negocios de la empresa del
volumen anual de negocios de
la empresa registrado en el
ejercicio anterior.
Responsabilidad de resarcimiento
La empresa debe asumirla cuando
una persona afectada por la recogida,
el tratamiento o uso no autorizado
o inadecuado se ve perjudicada,
incluyendo daños inmateriales. La
empresa solo puede quedar eximida
de culpa cuando puede demostrar por
medio del prestador de servicios que
no es respondable de la infracción.
En ese caso es responsable solidaria
junto con el proveedor del servicio de
tratamiento de datos.
Delitos
Conforme al derecho de
los Estados miembro de la
UE, el tratamiento de datos
arbitrario e ilegal por parte de
empleados también puede ser
considerado una infracción o
un delito.
Un gran riesgo
para la empresa
son los daños en la
reputación y la imagen.
CONSECUENCIASPARA EL EMPLEADO
Responsabilidad de resarcimiento
puede darse también para el
empleado responsable frente a su
empleador cuando no cumple con sus
obligaciones de respetar la protección
de datos.
Consecuencias laborales
Las infracciones contra la protección
de datos también pueden tener
consecuencias laborales para los
empleados, desde una advertencia
escrita hasta el despido.
El Art. 83 RGPO
prevé multas
administrativas de
20.000.000 de euros o
4 % del volumen de
negocios total anual global
de una empresa en caso de
tratamiento no autorizado
de datos o vulneraciones
de los derechos de los
interesados.
En caso de infracciones
organizativas, la multa
administrativa puede ser
de 10.000.000 de euros
o 2 % del volumen de
negocios anual global.
D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O
D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X
Art. 5 RGPD
(Principios relativos al
tratamiento de datos
personales)
Licitud, lealtad y
transparencia
Limitación de finalidad
Minimización de datos
Exactitud
Limitación (del plazo)
de conservación
Integridad y
confidencialidad
LA RESPONSABILIDAD DE LA EMPRESA
La empresa
8
Todo tratamiento de datos personales debe estar justificado legalmente. En la recogida de datos se debe
determinar en forma concreta la finalidad del tratamiento de los datos.
9
La empresa
9
La empresa es responsable de la protección de datos. El RGPD hace referencia a los
«responsables». Los proveedores que solo se ocupan del tratamiento de los datos
por cuenta de otros (p. ej. centros de cómputo de servicios, empresas de eliminación)
dependen del responsable.
¿Cuándo deben cumplir las empresas con el RGPD?
El RGPD se aplica a todas las situaciones en las que datos son sometidos a
tratamiento, ya sea por medio de tecnología informática o en recopilaciones
estructuradas de datos, p. ej. fichas o registros. Pueden ser datos de empleados,
clientes o proveedores. Las restricciones en el tratamiento de datos de empleados no
se limitan a ficheros. Todo tipo de información referida a empleados debe obtenerse
y recogerse con arreglo a la normativa de protección de datos.
Gestión de la protección de datos
El RGPD exige que las empresas gestionen la protección de los datos teniendo
en cuenta el riesgo que existe para los interesados. Se deben adoptar, verificar
regularmente y, de ser necesario, actualizar medidas técnicas y organizativas. Las
empresas deben poder demostrar que cumplen con los principios del tratamiento de
datos y de la gestión de la protección de datos.
¿Quién es responsable dentro de la empresa?
La empresa actúa por medio de su dirección, es decir, un consejo o una junta
directiva. Este órgano tiene la responsabilidad de establecer un sistema de
protección de datos. Los jefes y empleados de los diferentes departamentos son
responsables de la implementación de la protección de datos, debiendo poner
en práctica las disposiciones legales y el reglamento de la empresa. Por ello, las
empresas deben informar a las personas encargadas del tratamiento de datos sobre
las disposiciones del RGPD y, si corresponde, sobre otras reglas pertinentes. También
deben asumir la obligación de confidencialidad de los datos antes de comenzar
a trabajar. Conforme al RGPD, los empleados de proveedores de servicios de
tratamiento de datos están obligados a asumir este compromiso.
Autorizado por otras
disposiciones legales
El RGPD permite a los
Estados miembro conservar
o introducir reglamenta-
ciones específicas respecto
de determinados temas. El
tratamiento de datos per-
sonales también se permite
con el objetivo de cumplir
con obligaciones legales
asumidas por el responsable,
como aquellas emanadas del
derecho impositivo, laboral
o social.
El RGPD también prevé el tra-
tamiento de datos personales
a través de disposiciones de
los Estados miembro de la
UE destinadas a cumplir con
tareas de interés público o en
el ejercicio del poder público.
Autorizado por el RGPD
Principales casos de tratamiento de
datos personales previstos por el RGPD:
Consentimiento. Debe ser voluntario
y demostrable. Un contrato no
podrá depender adicionalmente de
un consentimiento (prohibición de
vinculación).
A fin de cumplir con un contrato o con
medidas precontractuales.
A fin de cumplir con obligaciones
legales.
A fin de garantizar los intereses
legales del responsable o de un
tercero, siempre que no prevalezcan
los intereses del interesado.
En el tratamiento de datos con fines
nuevos, cuando sean compatibles con
la finalidad original.
¿CUÁNDO SE AUTORIZA EL TRATAMIENTO DE DATOS?
oRGPD
D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O
Una empresa almacena los datos de sus clientes para
cumplir con un contrato de compraventa y para verificar
posibles derechos de garantía.
Una empresa envía publicidad por correo a su lista de
clientes actuales para presentar un nuevo producto.
Se utilizan datos con fines publicitarios propios,
aunque el cliente declaró que no desea recibir
publicidad.
Una empresa publica en Internet los datos de contacto
de todos sus empleados.
Un médico entrega las direcciones de sus pacientes a un
fabricante de medicamentos para que este publicite sus
medicamentos.
Una empresa contrata a un tercero para que destruya
medios de almacenamiento.
Una empresa publica la foto de un empleado de ventas
en su página de Internet.
Una empresa desea comunicarles a sus clientes
(usuarios) por vía telefónica novedades sobre sus
productos.
Sí, porque el tratamiento de datos se
basa en una relación contractual
ya existente.
porque está permitido utilizar
datos de clientes también con fines
publicitarios.
porque si se objeta la publicidad
los datos no se deben emplear
con tal efecto.
porque solo está permitido publicar
los datos de contacto de los
empleados con contacto externo.
porque los datos particularmente
sensibles no se deben emplear con
fines publicitarios.
cuando se han cumplido las
disposiciones referidas al
procesamiento de pedidos.
cuando el empleado haya dado su
consentimiento previo.
cuando el cliente haya dado su
consentimiento para la publicidad
telefónica.
Sí,›
No,›
No,›
No,›
Sí,›
Sí,›
Sí, pero solo›
10 11
La empresa
11
EJEMPLOS: ¿AUTORIZADO O NO?
›
CICLO DE VIDA DE LOS DATOS
RECUERDE
Todo tratamiento de datos
debe estar autorizado por
el RGPD, otra disposición
legal o el consentimiento del
interesado.
«Nacimiento»Creación
El RGPD se aplica al tratamiento automatizado de datos persona-les y al tratamiento no automatizado de datos personales. en un sistema de ficheros (p. ej. fichas).
El concepto de «tratamiento» conforme al RGPD abarca todo procedimiento de
manejo de datos personales. El tratamiento comienza con la recogida de datos
del interesado (p. ej. consulta escrita u oral) o por medio de terceros (p. ej.
compra de direcciones), pasando por su uso (p. ej. análisis o transmisión), hasta su
obliteración.
«Vida»Uso
«Muerte»Destrucción
Por ej.:
Recopilar
Registrar
Seleccionar
Consultar
La empresa
Usar, p. ej.:
Almacenar
Organizar
Ordenar
Adaptar
Modificar
Emplear
Comparar
Vincular
Transmitir/
divulgar, p. ej.:
Transmitir
Difundir
Poner a
disposición de
otra forma
Archivar, p. ej.:
Limitar
Bloquear
Por ej.:
Eliminar
Destruir
FORMAS DE MANEJODE DATOS PERSONALES
D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O
SI TIENE PREGUNTAS
sobre la protección y/o la seguridad de los datos,
o si tiene alguna duda, comuníquese con el
Encargado de Protección de Datos de la empresa.»
delega parte de la responsa-
bilidad a los gerentes
La protección de datos como tarea del área específica y los empleados
La dirección y los empleados son responsables de la
implementación del RGPD. Deben procurar que los pro-
cesos cumplan con las normas de protección de datos: el
tratamiento de los datos debe estar permitido y debe ser
posible respetar los derechos de las personas afectadas.
El departamento especializado estará a cargo de la docu-
mentación de las actividades de tratamiento de datos.
Ante casos de tratamiento de datos particularmente
críticos, se deberá realizar una evaluación de las consecu-
encias, en la que deberá participar también el encargo de
protección de datos de la empresa.
LA DIRECCIÓNes responsable por la pro-tección interna y externa
de los datos
TODA LA EMPRESA ES RESPONSABLE
Apoyo en la implementación y toma
de consciencia sobre la importancia
de la protección de datos
Consulta antes de
introducir o
modificar
procesos relevantes para
la protección de datos
La empresa
12 13
La empresa
13
Información ante casos de infracción, pérdida o
manipulación
LOS EMPLEADOS
protegen los datos persona-
les contra el uso no autoriza-
do y la transmisión ilegal
Asesoram
iento
ENCARGADO DE PROTECCIÓN DE DATOS
El encargado de protección de datos asesora a la dirección, los empleados y las personas afectadas respecto de
la protección de datos y controla el cumplimiento de las normas.
LA GERENCIA
RGPD
Asesoramiento
Ase
sora
mie
nto
OBJETIVOS DE SEGURIDADPARA LOS DATOS
Art. 32 RGPD
exige una gestión de
seguridad de datos con
medidas técnicas y
organizativas adecuadas,
como:
la seudonimización y el
cifrado de datos personales
la capacidad de garantizar
la confidencialidad,
integridad, disponibilidad y
resiliencia de los sistemas
y servicios de tratamiento
la capacidad de restaurar
la disponibilidad y el acceso
a los datos personales en
forma rápida en caso de
incidente físico o técnico
un proceso de verificación,
evaluación y valoración
regulares de la eficacia
de las medidas técnicas
y organizativas para
garantizar la seguridad del
tratamiento.
Art. 25 RGPD
exige la protección de
datos desde el diseño
(privacy by design) y
por defecto (privacy by
default).
La empresa
14 15
La empresa
15
2. Integridad
Control de la transmisión
No permitir la lectura, reproducción, modificación o eliminación no autorizada
durante la transmisión electrónica o el transporte, por ej.: encriptado, virtual priva-
te networks (VPN), firma electrónica.
Control del ingreso de datos
Se debe determinar si se ingresan, modifican o eliminan datos personales en siste-
mas de tratamiento de datos, identificando a la persona que realizó la acción, por
ej.: registros, gestión de documentos.
3. Disponibilidad y resiliencia
Control de disponibilidad
Se debe proteger contra la destrucción o pérdida accidental o intencional, por ej.:
estrategia de copia de respaldo (online/offline, onsite/offsite), suministro eléctrico
continuo (USV), protección antivirus, firewall, canales de comunicación y planes de
emergencia.
Restauración rápida
4. Proceso de verificación, evaluación y valoración regulares
Gestión de protección de datos
Gestión de respuesta a incidentes
Protección de datos por defecto (art. 25 inc. 2 RGPD)
Control de pedidos
No permitir el tratamiento de pedidos sin la correspondiente instrucción del mandante, por ej.: condiciones
contractuales claras, gestión formalizada de pedidos, selección estricta de proveedor, obligación de convicción
previa, inspección de seguimiento.
1. 1. Confidencialidad
Control del ingreso
No permitir el ingreso no autorizado a las instalaciones de tratamiento de datos, p.
ej.: uso de tarjetas magnéticas o criptográficas, llave, portero eléctrico, servicio de
seguridad y/o portero, equipos de alarma, equipos de video.
Control del acceso
No permitir el uso no autorizado de los sistemas, p. ej.: contraseñas (seguras),
mecanismos automáticos de bloqueo, autenticación de dos factores, cifrado de
medios de almacenamiento.
Control del uso
No permitir la lectura, reproducción, modificación o eliminación dentro del sistema,
p. ej.: planes de autorización y derechos de acceso adecuados a las necesidades,
registro de accesos.
Control de divisiones
Tratamiento separado de datos recopilados con diferentes fines, p. ej. tenencia
múltiple.
Seudonimización
Los datos personales deben ser tratados de tal manera que no se puedan atribuir
a ninguna persona en particular sin agregar más información, siendo que tal infor-
mación adicional se debe almacenar por separado y debe ser objeto de las corres-
pondientes medidas técnicas y organizativas.
A fin de mantener la seguridad y prevenir las infracciones contra la protección de los datos, la empresa debe investigar los riesgos implicados en el tratamiento y adoptar medidas para mitigarlos. Se deben alcanzar los siguientes objetivos:
D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O
D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O
El interesado El interesado
16 1717
LOS DERECHOSDEL INTERESADO
ATENCIÓN
El interesado puede
dirigir sus quejas o
consultas al Encargado
de Protección de Datos
interno, quien está
obligado a mantener
la confidencialidad del
interesado, siempre que
este último no lo haya
eximido de tal obligación.
La persona física cuyos datos se someten a tratamiento y cuyos derechos personales
son objeto de la protección de la ley es denominada en el RGPD «el interesado». Los
interesados pueden ser los empleados, el cliente o el representante de una empresa
cliente. Conforme al RGPD, los interesados poseen derechos de transparencia e
intervención.
Rectificación
Solo se pueden tratar datos
correctos. Si los datos no son
correctos, se los debe corregir.Eliminación
Una vez cumplido el objetivo
del uso o transcurrido el plazo
de almacenamiento, los datos
se deben eliminar.
Derecho al olvido
Si la empresa ha publicado datos que deban ser suprimidos, a
petición del interesado, la empresa debe investigar quién los
ha vinculado o adaptado. El tercero debe ser informado sobre
la obligación de suprimir los datos.
Restricción del tratamiento
Cuando el interesado cuestione
la exactitud de los datos o
necesite los datos en caso de
obligación de suprimir para
cumplir con la ley, los datos
deben ser bloqueados. Esto se
aplica también a la obligación
legal de conservar datos de la
empresa.
Transmisión de datos
Si el interesado ha puesto a disposición datos, p. ej. en una
red social o una cuenta de cliente, dichos datos deberán ser
transmitidos por el responsable al interesado u a otro respons-
able en un formato convencional, estructurado y legible por
máquina.
Oposición
El interesado puede, por razo-
nes debidas a su situación par-
ticular, oponerse al tratamiento
de los datos, cuando su autori-
zación se base en una consider-
ación de intereses. El interesado
también podrá oponerse a la
publicidad directa.
INTERESADO
DERECHOS DE INTERVENCIÓNEl interesado tiene derecho a saber con qué fines se tratarán
sus datos y cuáles son sus derechos de protección, lo que le
genera a la empresa ciertas obligaciones de transparencia.
Obligaciones de información
A partir del momento de la
recogida de datos la empresa
debe informar al interesado
sobre su identidad, la finalidad
del tratamiento de datos,
las posibles categorías de
destinatarios y el plazo de
almacenamiento. Asimismo,
debe informarle sobre la
posibilidad de contactar al
Encargado de Protección
de Datos y sobre todos sus
derechos.
Consulta
Si el interesado hace una consulta, la oficina responsable debe
informarle sobre los datos almacenados, su origen y
posibles destinatarios, así como sobre la finalidad del almacena-
miento. Asimismo, el interesado deberá ser informado acerca
de sus derechos. La información se deberá proporcionar en
forma gratuita.
Notificación
En caso de que se hayan obte-
nido datos sobre el interesado
de terceros o fuentes públicas,
se debe informar al interesado
a fin de que disponga de toda la
información, como si los datos
hubieran procedido de él.
OBLIGACIONES DE TRANSPARENCIA DE LA EMPRESA
La empresa Cuestionario
18 1919
¿SABE DE PROTECCIÓN DE DATOS? PONGA A PRUEBA LO QUE SABE(Se aceptan respuestas múltiples.)
El RGPD protege a…
La autoridad de control de protección de
datos puede…
La responsabilidad por la protección de
datos de la empresa recae en…
En general, el uso de datos de clientes
propios con fines publicitarios para
productos propios…
Los datos que ya no se necesitan se
deben…
El control del acceso se puede lograr,
entre otras maneras,…
Del control de la protección de datos se
ocupa/n…
Si un cliente no desea recibir publicidad
puede solicitar…
La obligación de respetar el secreto de
los datos exige…
a) Empresas ...........................................................................
b) Personas físicas ................................................................
a) Despedir empleados ........................................................
b) Imponer multas .................................................................
a) La dirección .......................................................................
b) Los gerentes .....................................................................
c) Los empleados ..................................................................
a) Está permitido...................................................................
b) No está permitido .............................................................
a) Eliminar ..............................................................................
b) Restringir ...........................................................................
a) Cerrando con llave las salas ...........................................
b) Utilizando contraseñas ...................................................
a) Los representantes de empleados ................................
b) La autoridad de control ..................................................
c) Los Encargados de Protección de Datos internos .....
a) Que se eliminen sus datos ..............................................
b) Que se limiten sus datos .................................................
a) Prohibir el tratamiento de datos no autorizado .........
b) Respetar la confidencialidad tras la finalización
de la relación laboral .......................................................
1
2
3
4
5
6
7
8
9
Solución: 1b, 2b, 3a/b/c, 4a, 5a, 6b, 7a/b/c, 8b, 9a/b
D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O
D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O
»
CONSEJOS PRÁCTICOS SOBRE LA PROTECCIÓN DE DATOSTodos los empleados son responsables de la protección de datos dentro de la empresa. También por
interés propio, deben respetar las reglas de protección de datos de la empresa y tomar consciencia de
la relación que guardan sus tareas con la protección de datos.
Algunos consejos simples válidos para todos:
Escritorio limpio
Un escritorio ordenado, siguiendo el principio del «escritorio limpio», contribuye con la seguridad de
los datos y la confidencialidad. Los datos personales y los secretos de empresa quedan protegidos
y no terminan en manos de personas no autorizadas. En caso de ausencia, todos los documentos,
memorias USB y medios de almacenamiento deben quedar guardados bajo llave.
Consultas telefónicas
Toda consulta referida a datos personales, ya sea interna u externa, se debe verificar minuciosamente
teniendo en cuenta la protección de los datos. En particular en las consultas telefónicas se debe
tener cuidado con la persona que llama y el contenido de la consulta; en caso de duda es preferible
recomendar la comunicación escrita.
Desconexión del sistema
Se recomienda desconectarse del sistema al ausentarse del lugar de trabajo.
Protección visual de la pantalla
La pantalla del ordenador se debe colocar de manera tal de impedir que compañeros, visitantes o clientes
tengan acceso no autorizado a información. Para viajes se recomienda el uso de filtros de privacidad.
Transmisión segura de correos electrónicos
Cuando un correo electrónico confidencial se debe enviar de manera segura es necesario encriptarlo. Consulte
con los expertos en seguridad informática y protección de datos sobre procesos de encriptado adecuados.
Lectura de correos electrónicos
La mayoría de los virus informáticos se transmiten por medio de archivos adjuntos al correo
electrónico. Contienen software malicioso como virus, troyanos o gusanos. Por si falla la protección
antivirus, cuando reciba un mensaje sospechoso es conveniente confirmar con el remitente si el
archivo adjunto realmente proviene de la persona o institución indicada como remitente.
Consejos prácticos
20RECUERDE:La protección de datos protege a sus compañeros, a sus clientes y a usted mismo.
!
D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T A K O N T E X T D A T
Datos bibliográficos de la Biblioteca Alemana:La Biblioteca Alemana ha registrado esta publicación en la Bibliografía Nacional Alemana, pudiendo ser consultados los datos bibliográficos completos en http://dnb.ddb.de.Protección de datos personales –Ficha técnica para los empleados conforme a la legislación europea (RGPD)
ISBN 978-3-89577-816-2GDD – Gesellschaft für Datenschutz und Datensicherheit e.V.28a edición revisada y actualizada 2018
© 2018 DATAKONTEXT GmbH, Frechenwww.datakontext.com
Esta obra está protegida en su totalidad bajo el derecho de propiedad intelectual. Se prohíbe y se sancionará cualquier uso fuera de los estrictos límites de la ley de la propiedad intelectual sin autorización de la editorial, en particular la reproduc-ción, traducción, microfilmación, y almacenamiento y tratamiento con sistemas electrónicos. Se podrá acordar el otorgamiento de licencias.
Editor: Gesellschaft für Datenschutz und Datensicherheit e.V., BonnDiseño gráfico: Esther Gonstalla, Erdgeschoss Grafik, HamburgoIlustración: Line Wittemann, Ârtisserie, MünsterFotografía (tapa): contrastwerkstatt © www.fotolia.de
Impreso en Alemania
Consultar precios por volumen al teléfono:02234/98949-26
Nota: para facilitar la lectura se prescindió de mencionar la forma masculina y femenina al hacer referencia a personas. A pesar de ello, el presente texto está dirigido a empleadas y empleados por igual.