Navigation path

¿Cómo me aseguro de que cumplo las normas de protección de datos personales?

¿Cómo me aseguro de que cumplo las normas de protección de datos personales?

Sus clientes electrónicos pueden proporcionarle su nombre, dirección, número de cuenta corriente o de tarjeta de crédito sin darle mayor importancia, pero usted, como tienda electrónica, debe proteger sus datos personales de un uso indebido y respetar su derecho a la privacidad en el tratamiento de los datos personales. 

Los datos personales se definen como la información relativa a una persona física identificada o identificable (denominada como «interesado»). 

Ejemplos de datos personales que pueden ser utilizados para identificar a una persona son: nombre, sexo, un número de identificación, número de tarjeta de crédito, información de contacto (dirección, teléfono, correo electrónico, etc.), edad y fecha de nacimiento, número de registro de seguridad social, número de identificación fiscal, idiomas que habla o datos biométricos (por ejemplo, huellas dactilares o ADN).

Algunos tipos de datos personales entran en la categoría conocida como datos sensibles, es decir, categorías de datos que revelan: origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, o información sobre la salud u orientación sexual. No podrá tratar datos sensibles a menos que tenga el consentimiento explícito del interesado («inclusión»). 

Se considera «tratamiento» cualquier operación realizada sobre datos personales, también por procedimientos automatizados, como la recogida, estructuración de registros, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Cumpla los requisitos de protección de datos personales

El 25 de mayo de 2018, entró en vigor el Reglamento general de protección de datos (RGPD); el RGPD constituye una importante reforma de las normas de protección de datos de la Unión Europea (UE) y actualiza efectivamente la Directiva 95/46/CE relativa a la protección de datos. Todo lo que necesita saber sobre las normas para empresas y organizaciones puede encontrarse en el sitio web de la Comisión Europea sobre la reforma de las normas de protección de datos de la UE.

Las normas del RGPD se aplican no solo cuando se está establecido o se opera dentro de la UE, sino también cuando se procesan datos personales de sujetos de datos de la UE desde fuera de la UE.
En virtud de las normas de protección de datos de la UE, se le considerará responsable del tratamiento si usted es la persona (ya sea por su cuenta o conjuntamente) que determina por qué (es decir, los fines) y cómo (es decir, los medios) se tratan los datos personales de sus clientes.

Si usted es la persona que trata los datos personales en nombre del responsable del tratamiento (por ejemplo, como proveedor de servicios en la nube, como empresa de estudios de mercado o como empresa de nóminas), se considera que usted es un encargado del tratamiento.

Además de obtener la confianza de sus clientes, las entidades que recopilen datos deben encargarse de:
•    asegurar que los datos se recogen con toda honestidad y transparencia, y que los clientes están bien informados del tratamiento específico de datos personales que lleva a cabo,
•    recopilar y tratar los datos personales solo si la finalidad es legítima, es decir, si es necesario (por ejemplo, para un contrato),
•    respetar determinadas obligaciones en relación con el tratamiento de datos personales. Entre otros, solo podrá recopilar datos personales en nombre de un responsable del tratamiento si existe un contrato escrito que imponga una serie de términos obligatorios al encargado del tratamiento, según lo establecido en el RGPD. El encargado del tratamiento también debe mantener registros de las actividades de tratamiento de datos y ponerlos a disposición de la autoridad de supervisión cuando esta los solicite. Debe asegurarse de que sus interesados pueden acceder, rectificar, eliminar o bloquear datos incorrectos sobre sí mismos y que los datos personales no se conservan por más tiempo del estrictamente necesario,
•    responder a las quejas recibidas en relación con la operación de tratamiento de datos,
•    colaborar con las autoridades nacionales de supervisión de protección de datos, que se encargan de supervisar su cumplimiento de las leyes de protección de datos nacionales, y de conocer las demandas presentadas por particulares sobre el tratamiento de sus datos personales.

Tenga en cuenta que usted conservaría la responsabilidad jurídica si una persona que trabaje para usted divulgara datos personales e infringiera la legislación de protección de datos.

Informe a sus clientes

Usted tiene la obligación de informar a sus clientes si trata datos personales. Para ello, deberá publicar una declaración de confidencialidad en su sitio web «de manera inteligible, y utilizando un lenguaje claro y sencillo».

Como la entidad que recopila los datos, deberá proporcionar, al menos, la siguiente información:
•    el nombre completo de su empresa, entidad o suyo propio (como responsable del tratamiento),
•    sus datos de contacto,
•    una descripción de los fines para los que se utilizarán los datos,
•    el lugar de la operación de tratamiento,
•    una descripción de la persona, autoridad pública, organismo o cualquier otra entidad a la que se puedan divulgar los datos,
•    la forma en que las personas pueden consultar sus datos personales y ejercer sus derechos en relación con estos (por ejemplo, cómo acceder, rectificar o eliminar datos personales), así como oponerse al uso de sus datos para fines de mercadotecnia directa.

Una declaración de confidencialidad también puede incluir información adicional, como el tiempo que se conservarán los datos personales, como se protegerán estos, etc.

Austria Complete the notification via  Österreichische Datenschutzbehörde website before starting the processing activity.
Belgium Complete the notification via Commission for the protection of privacy website before starting the processing activity.
Bulgaria Complete the notification via Commission for Personal Data Protection website before starting the processing activity.
Croatia Complete the notification via Croatian Personal Data Protection Agency website before starting the processing activity.
Cyprus Complete the notification via Commissioner for Personal Data Protection website before starting the processing activity.
Czech Republic Complete the notification via The Office for Personal Data Protection website before starting the processing activity.
Denmark Complete the notification via Datatilsynet website before starting the processing activity.
Estonia Complete the notification via Estonian Data Protection Inspectorate (Andmekaitse Inspektsioon) website before starting the processing activity.
Finland Complete the notification via Office of the Data Protection website before starting the processing activity.
France Complete the notification via Commission Nationale de l'Informatique et des Libertés website before starting the processing activity.
Germany Complete the notification via Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit website before starting the processing activity.
Greece Complete the notification via Hellenic Data Protection Authority website before starting the processing activity.
Hungary Complete the notification via Data Protection Commissioner of Hungary website before starting the processing activity.
Ireland Complete the notification via Data Protection Commissioner website before starting the processing activity.
Italy Complete the notification via Garante per la protezione dei dati personali website before starting the processing activity.
Latvia Complete the notification via Data State Inspectorate website before starting the processing activity.
Lithuania Complete the notification via State Data Protection website before starting the processing activity.
Luxembourg Complete the notification via Commission nationale pour la protection des données website before starting the processing activity.
Malta Complete the notification via Office of the Information and Data Protection Commissioner website before starting the processing activity.
Netherlands Complete the notification via College bescherming persoonsgegevens
(Dutch Data Protection Authority) website before starting the processing activity.
Poland Complete the notification via The Bureau of the Inspector General for the Protection of Personal Data website before starting the processing activity.
Portugal Complete the notification via Comissão Nacional de Protecção de Dados website before starting the processing activity.
Romania Complete the notification via The National Supervisory Authority for Personal Data Processing website before starting the processing activity.
Slovakia Complete the notification via Office for Personal Data Protection of the Slovak Republic website before starting the processing activity.
Slovenia Complete the notification via Information Commissioner website before starting the processing activity.
Spain Complete la notificación a través del sitio web de la Agencia de Protección de Datos antes de iniciar la actividad de tratamiento.
Sweden Complete the notification via Datainspektionen website before starting the processing activity.
United Kingdom Complete the notification via The Office of the Information Commissioner Executive Department website before starting the processing activity.

 

Fuentes de información

Cumpla los requisitos de protección de datos personales
•    Agencia de los Derechos Fundamentales de la Unión Europea y Consejo de Europa: Manual de legislación europea en materia de la protección de datos, 2014
•    Directiva sobre protección de datos personales de la UE (Directiva 95/46/CE)
•    Directiva sobre protección de datos: https://ec.europa.eu/info/law/law-topic/data-protection_es 
•    Justicia CE: Protección de datos personales, disponible en: https://ec.europa.eu/info/law/law-topic/data-protection_es, 2014
•    Justicia CE: Grupo de trabajo del artículo 29, disponible en: http://ec.europa.eu/justice/data-protection/article-29/index_en.htm 

Declaración a la autoridad nacional
•    Directiva sobre protección de datos personales de la UE (Directiva 95/46/CE)

Informe a sus clientes
•    Agencia de los Derechos Fundamentales de la Unión Europea y Consejo de Europa: Manual de legislación europea en materia de la protección de datos, 2014
•    Directiva sobre protección de datos personales de la UE (Directiva 95/46/CE): artículo 10

Country specifics

Suggested country specifics to be covered:

National Data protection authority

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?