Conceptos básicos para entender el GDPR: ¿Está tu negocio preparado para la nueva legislación de protección de datos? | Parte I

El origen del derecho a la protección de datos se vincula al Derecho a la Intimidad. En 1890 Samuel Warren y Louis Brandeis publicaron “The Right to Privacy « (4 Harvard LR 193 -15 de diciembre de 1890-) un artículo novedoso escrito con el convencimiento de la necesidad de proteger la vida privada, pero ya desde 1879, se acuñaba la expresión «THE RIGHT TO BE LET ALONE»

Hoy, 140 años más tarde, seguimos hablando de Derecho fundamental a la protección de datos, de la faculta que tenemos de controlar nuestros datos personales y la capacidad para disponer y decidir sobre los mismos. El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (GDPR) entró en vigor el 25 de mayo de 2016, y será de obligado cumplimiento a partir del 25 de mayo de 2018.

MDirector te presenta los Conceptos básicos para entender el GDPR y las claves para su cumplimiento:

10 conceptos básicos para entender el GDPR

1. «Datos personales»

Toda información sobre una persona física identificada o identificable («el interesado») un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

2. «Tratamiento»

Cualquier operación realizada sobre datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

3. «Principios de la protección de datos»

Licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos (estos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados); exactitud; limitación del plazo de conservación; integridad, confidencialidad y responsabilidad proactiva (cumplir y ser capaz de demostrarlo).

4. «Consentimiento del interesado»

Manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

5. «Derechos de los interesados»

Derecho de acceso (saber qué datos nuestros se tratan); Rectificación (poder modificarlos); Supresión (el derecho al olvido, a cancelarlos); Derecho a la limitación del tratamiento; Portabilidad (obtener los datos para trasladarlos de un responsable a otro) y el Derecho de oposición, por ejemplo, al tratamiento de los datos con fines de mercadotecnia directa o a la elaboración de perfiles.

6. «Responsable del tratamiento» o «responsable»

La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. Por ejemplo, los Clientes de MDirector.

7. «Encargado del tratamiento» o «encargado»

La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Por ejemplo, MDirector.

8. «DPO (Delegado de protección de datos)»

Equipo o persona que supervisa el cumplimiento del GDPR y ofrecer asesoramiento al responsable o al encargado del tratamiento, sobre las obligaciones en la materia y asimismo, coopera con la autoridad de control. En el caso de España, con la Agencia Española de Protección de Datos.

9. «Seguridad de los datos personales»

Medidas que en su caso incluyan, entre otros: la seudonimización (tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable); el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento; Notificación de una violación de la seguridad de los datos personales a la autoridad de control, a ser posible, a más tardar 72 horas después de que haya tenido constancia de ella; Evaluación de impacto relativa a la protección de datos, cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

10. «Trasferencia de datos»

Transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional. Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión Europea haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate, garantizan un nivel de protección adecuado. A falta de la decisión, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas, como por ejemplo EEUU

En el siguiente post, os hablaremos de las claves para el cumplimiento del GDPR.