BI T09 LOPGD Flashcards
REGLAMENTO (UE) 2016/679 DEL 27 DE ABRIL DEL 2016
<p><strong>Objeto</strong>: establece las normas relativas a la protección de <strong>personas</strong> <strong>físicas</strong> en lo que se refiere a <strong>datos personales </strong>y normas de <strong>libre circulación</strong> de estos. Protege los <strong>derechos y libertades</strong> (art 18) fundamentales</p>
- Ámbito
<p>se aplica al <strong>tratamiento total o parcialmente automatizado</strong>, así como al <strong>no automatizado</strong></p>
<p><strong>No se aplica</strong> este reglamento a:</p>
<ol><li>Ejercicio <strong>fuera</strong> del derecho <strong>de la unión</strong>.</li><li><strong>Actividades personales</strong> de las personas físicas</li><li><strong>Las autoridades</strong> para las <strong>infracciones penales</strong> incluida la protección frente amenazas</li></ol>
- Ámbito territorial
<ol><li>Se aplica en las actividades de un <strong>establecimiento en la unión</strong>, independientemente de que el tratamiento <strong>tenga lugar en la unión o no</strong></li><li>Este reglamento se aplica al interesado que <strong>resida en la unión</strong> por parte del encargado <strong>no</strong> <strong>establecido</strong> cuando:
<ol><li><strong>La oferta</strong> de bienes <strong>esté en la unión</strong></li><li>El <strong>control</strong> de su <strong>comportamiento esté en la unión</strong></li></ol></li><li>El responsable <strong>que no esté establecido</strong> en la unión, se le <strong>aplicará </strong>el <strong>derecho internacional</strong> público</li></ol>
- Principios relativos al tratamiento
<ol><li>Los <strong>datos personales serán</strong>:
<ol><li>Recogidos con <strong>fines determinados</strong> (limitación a la finalidad)</li><li>Adecuados pertinentes y <strong>limitado</strong></li><li><strong>Exactos</strong> y actualizados</li><li>Limitados en <strong>plazo</strong> de conservación</li><li>Garantizando <strong>integridad</strong> y <strong>confidencialidad</strong></li></ol></li><li>El responsable del tratamiento será, el responsable del <strong>cumplimiento</strong> de lo dispuesto en el apartado a, y <strong>capaz de demostrarlo</strong> (<strong>responsabilidad proactiva</strong>)</li></ol>
- Licitud del tratamiento
<p>Será licito cuando cumpla <strong>al menos una</strong> de estas condiciones:</p>
<ol><li>Interesado dio su <strong>consentimiento</strong></li><li>El tratamiento es necesario para la <strong>ejecución</strong> de un <strong>contrato</strong></li><li>Es necesario para el cumplimiento de una <strong>obligación legal</strong> por parte del representante</li><li>Es necesario para proteger <strong>intereses vitales</strong> del interesado o de otra persona física</li><li>Es necesario para el cumplimiento de una misión de <strong>interés público</strong></li><li>Es necesario para la <strong>satisfacción</strong> de <strong>intereses</strong> perseguidos por <strong>representantes</strong></li></ol>
- Condiciones del consentimiento
<ol><li>El responsable deberá ser capaz de <strong>demostrar el consentimiento</strong></li><li>El consentimiento será de <strong>forma escrita</strong>, que se <strong>distinga</strong> claramente, de <strong>fácil</strong> acceso, <strong>claro</strong> y <strong>sencillo</strong></li><li>El interesado tendrá derecho a <strong>retirar</strong> el consentimiento <strong>en cualquier momento</strong></li></ol>
- Consentimiento de un niño
<p><strong>El tratamiento de los datos personales de un niño se considerará lícito cuando tenga un mínimo de </strong><em><u>16 años</u></em><strong>. Si es menor de 16 lo tendrá que autorizar el titular de la patria potestad. Los estados miembros podrán establecer otra edad inferior siempre que no sea inferior a 13 años. En </strong><em><u>España</u></em><strong> está establecida </strong><em><u>14 años</u></em></p>
- Tratamiento de categorías especiales de datos personales
<ol><li><strong>Están </strong><em><u>prohibidos</u></em><strong> el tratamiento de datos que revelen datos personales (origen étnico, opiniones políticas, religiosas, afiliación sindical, datos genéticos, biométricos, de salud, orientación sexual, etc.)</strong></li><li><strong>No será de aplicación si el interesado dio su consentimiento explícito, excepto cuando el derecho de la unión lo establezca. Aun así, en España está prohibido</strong></li><li>El tratamiento es necesario para proteger <strong>intereses vitales</strong> en el supuesto de que el interesado no esté <strong>capacitado</strong></li><li>El tratamiento que el interesado ha hecho <strong>público</strong></li><li>El tratamiento necesario para <strong>reclamaciones</strong> de los <strong>tribunales</strong></li><li>Ejercicio de <strong>defensa de reclamaciones</strong></li><li>Con fines de <strong>medicina preventiva</strong></li><li>interés público en el ámbito de la <strong>salud pública</strong></li><li><strong>con fines de archivo en interés público</strong></li></ol>
<p><em></em></p>
- Cuando los datos personales no se hayan obtenido del interesado
<p><strong>el </strong><em><u>responsable</u></em><strong> del tratamiento facilitará la </strong><em><u>fuente</u></em><strong> de la que proceden y en su caso, si proceden del sector público. </strong></p>
<p><strong> El responsable del tratamiento facilitará toda la información en un plazo razonable, a </strong><em><u>más tardar dentro del mes.</u></em></p>
- Derecho de acceso del interesado (antes en la LOPD ARCO)
<ol><li><strong>El interesado tendrá derecho a obtener la confirmación de </strong><em><u>si se están tratando</u></em><strong> o no los datos, y el </strong><em><u>derecho de acceso</u></em><strong> a los datos personales, y a la siguiente información</strong><ol><li><em><u>Fines</u></em><strong> del tratamiento</strong></li><li><strong>Las </strong><em><u>categorías</u></em><strong> de los datos personales de los que se trate</strong></li><li><strong>Los </strong><em><u>destinatarios</u></em><strong> a los que se comunicaron o serán comunicados</strong></li><li><em><u>Plazo</u></em><strong> de conservación</strong></li><li><strong>El derecho de solicitar al responsable la </strong><em><u>rectificación</u></em></li><li><strong>Cuando no se hayan obtenido del interesado cualquier </strong><em><u>información de su origen</u></em></li><li><strong>La existencia de </strong><em><u>decisiones automatizadas</u></em><strong> en la </strong><em><u>elaboración de perfiles</u></em></li></ol></li><li><strong>Cuando se transfieran datos personales a </strong><em><u>un tercer país</u></em><strong>, el interesado tendrá derecho a ser informado de las </strong><em><u>garantías</u></em></li><li><strong>El responsable facilitará una </strong><em><u>copia</u></em><strong> de los datos personales </strong><em><u>objeto de tratamiento</u></em><strong>. El responsable podrá </strong><em><u>recibir</u></em><strong> por cualquier otra copia solicitada por el interesado un </strong><em><u>canon razonable </u></em></li></ol>
- Derecho de rectificación:
<p>el interesado tendrá derecho a obtener la <strong>rectificación</strong> de los datos personales <strong>inexactos</strong> o incompletos</p>
- Derecho de supresión (derecho al olvido):
<p>el interesado tendrá derecho a <strong>obtener sin dilación</strong> la <strong>supresión</strong> de sus datos personales. El responsable estará <strong>obligado</strong> <strong>a suprimir</strong> cuándo concurra alguna de estas circunstancias:</p>
<ol><li>Los datos personales <strong>ya no sean necesarios</strong> en relación con los fines</li><li>interesado <strong>retire</strong> el consentimiento</li><li>los datos personales hayan sido <strong>tratados</strong> <strong>ilícitamente</strong></li><li>Los datos personales deban suprimirse para el cumplimiento de <strong>una obligación legal</strong></li><li>Los datos personales hayan sido obtenidos, en relación con una <strong>oferta</strong> de servicios de la sociedad de la información, <strong>referencia a los menores de edad</strong></li></ol>
<p>El derecho al <strong>olvido</strong> no se aplicará cuando:</p>
<ol><li>Para ejercer el <strong>derecho de la libertad de expresión e información</strong></li><li>para el cumplimiento de una <strong>obligación legal</strong></li><li>por razones de <strong>salud pública</strong></li><li>con fines de archivo en <strong>intereses públicos</strong></li><li>en el ejercicio de la <strong>defensa de reclamaciones</strong></li></ol>
- Derecho a la limitación del tratamiento
<ol><li>El interesado tendrá derecho a obtener del responsable del tratamiento la <strong>limitación</strong> De los datos siempre que se cumpla alguna de estas condiciones
<ol><li>El interesado impugne la <strong>exactitud</strong> de los datos personales</li><li>el tratamiento sea <strong>ilícito</strong> y el interesado se oponga a la supresión de los datos</li><li>El responsable ya <strong>no necesite los datos</strong> para los <strong>fines</strong> del tratamiento</li><li>El interesado se haya <strong>opuesto</strong> al tratamiento</li></ol></li></ol>
- Obligación de notificación relativa a la supresión de datos personales
<p><strong>El responsable del tratamiento comunicará cualquier </strong><em><u>rectificación o supresión</u></em><strong> de datos personales o la limitación del tratamiento, a cada uno de los </strong><em><u>destinatarios,</u></em><strong> salvo que sea un </strong><em><u>esfuerzo</u></em> <em><u>desproporcionado</u></em></p>
- Derecho a la portabilidad de los datos
<p><strong>el interesado tendrá derecho a </strong><em><u>recibir</u></em><strong> los datos personales </strong><em><u>qué le incumban,</u></em><strong> en un formato estructurado, y a </strong><em><u>transmitirlos</u></em><strong> a otro responsable del tratamiento, sin que lo impida el responsable primero </strong></p>
- Derecho de oposición
<ol><li>El interesado tendrá derecho a <strong>oponerse en cualquier momento</strong>, por motivos relacionados con su situación particular, a que los datos personales sean objeto de tratamiento</li><li>Cuando el tratamiento tenga el <strong>objeto de mercadotecnia directa</strong>, el <strong>interesado</strong> tendrá <strong>derecho</strong> a <strong>oponerse</strong> en todo momento al tratamiento de los datos</li><li>Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines</li><li>Cuando los datos personales se traten <strong>con fines de investigación</strong> científica o histórica, el interesado tendrá derecho a <strong>oponerse</strong> al tratamiento de los datos, salvo que sea por razones de <strong>interés público</strong></li></ol>
- Decisiones individuales en la elaboración de perfiles
<ol><li>Todo interesado tendrá derecho a <strong>no ser objeto</strong> en el tratamiento automatizado de elaboración de perfiles</li><li><strong>no se aplicará</strong> si la decisión:
<ol><li>Es necesaria para la celebración de un <strong>contrato</strong></li><li>está <strong>autorizada</strong> por el <strong>derecho de la Unión</strong> o de los Estados miembros</li><li>se basa en el consentimiento del interesado</li></ol></li></ol>
- Responsabilidad del responsable del tratamiento
<p>El responsable <strong>aplicará medidas técnicas</strong> y organizativas apropiadas para garantizar y <strong>poder demostrar </strong>que el tratamiento es conforme al presente reglamento</p>
- Encargado del tratamiento
<ol><li><strong>Cuando se vaya a realizar un tratamiento por cuenta de un responsable, este elegirá un encargado que ofrezca las </strong><em><u>garantías suficientes</u></em><strong> para aplicar las medidas técnicas y organizativas, para </strong><em><u>garantizar</u></em><strong> la protección de los derechos del interesado </strong></li><li><strong>el encargado del tratamiento no recurrirá a otro encargado, sin la autorización previa del responsable </strong></li><li><strong>El tratamiento por el encargado se regirá por un </strong><em><u>contrato u otro acto jurídico</u></em></li><li><strong>La adhesión del encargado del tratamiento a un </strong><em><u>código de conducta</u></em><strong> podrá utilizarse como elemento para demostrar la existencia de las </strong><em><u>garantías suficientes</u></em></li></ol>
- Tratamiento bajo la autoridad del responsable o encargado del tratamiento
<p>Encargado del tratamiento, o cualquier otra persona que actúe bajo la autoridad de responsables, <strong>sólo podrá tratar</strong> dichos datos siguiendo <strong>las instrucciones del responsable</strong></p>
- Cooperación con la autoridad de control
<p>El responsable y el encargado del tratamiento <strong>cooperarán</strong> con la <strong>autoridad de control</strong> que lo solicite en el desempeño de sus funciones</p>
<p><strong></strong></p>
- Cooperación con la autoridad de control
<p>El responsable y el encargado del tratamiento <strong>cooperarán</strong> con la <strong>autoridad de control</strong> que lo solicite en el desempeño de sus funciones</p>
- Seguridad del tratamiento
- Teniendo en cuenta el estado en la técnica, los costes de aplicación, la naturaleza alcance, etcétera, se aplicarán medidas técnicas apropiadas, para garantizar con nivel de seguridad adecuado al riesgo
- Al evaluar se tendrán en cuenta los riesgos, en particular la destrucción pérdida alteración accidental o ilícita
- la adhesión a un código de conducta podrá servir elemento, para demostrar el cumplimiento de los requisitos establecidos
- El responsable y el encargado tomarán medidas, para garantizar que cualquier persona que tenga acceso a los datos personales, sólo puede tratar dichos datos siguiendo las instrucciones de responsable
- Notificación de violación a la autoridad de control
<p><strong>En caso de violación de la seguridad de los datos personales, el responsable notificará a la autoridad de control, sin dilación, a más tardar </strong><em><u>72 horas</u></em><strong> después de que se haya tenido constancia de ella, Al menos que sea improbable, que dicha violación de seguridad, constituya un riesgo para los derechos y las libertades. Si la notificación no tiene lugar en un plazo de 72 horas, deberá ir acompañada de los </strong><em><u>motivos de la dilatación</u></em></p>
- Comunicación de una violación de la seguridad de los datos personales al interesado
<ol><li><strong>Cuando sea posible que la violación de seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas, </strong><em><u>se comunicará al interesado</u></em> <em><u>sin dilación indebida</u></em></li><li><strong>La comunicación al interesado se </strong><em><u>escribirá</u></em><strong> en un lenguaje claro y sencillo.</strong></li><li><strong>La comunicación al interesado </strong><em><u>no será necesaria,</u></em><strong> si se cumple alguna de las siguientes condiciones: </strong><ol><li><strong>Que responsable, haya adoptado las </strong><em><u>medidas</u></em><strong> de </strong><em><u>protección</u></em><strong> apropiadas a los datos </strong><strong>personales </strong></li><li><strong>Qué responsable del tratamiento, ha tomado medidas que garanticen, </strong><em><u>que ya no exista alto riesgo</u></em><strong> para los derechos y libertades del interesado </strong></li><li><strong>Suponga un esfuerzo desproporcionado. En ese caso, se optará por una comunicación pública </strong></li></ol></li><li><strong>Cuando el responsable todavía no haya comunicado al interesado la violación, la autoridad de control Podrá exigirle que lo haga</strong>.</li></ol>
<p><em></em></p>
- Evaluación de impacto relativa a la Protección de Datos
<ol><li>Cuando sea probable que un tipo de tratamiento, entrañe <strong>alto riesgo</strong> para los derechos y libertades, el responsable realizará <strong>una evaluación de impacto</strong>.</li><li>Responsable del tratamiento recabará el <strong>asesoramiento del delegado de Protección</strong> de Datos. el delegado puede ser <strong>obligatorio o voluntario</strong>, Pero si has decidido tenerlo, tienes que cumplir con todo lo establecido en el mismo</li></ol>
- Consulta previa
<ol><li>El responsable <strong>consultará</strong> a la <strong>autoridad de control,</strong> cuando una evaluación de impacto muestra un <strong>alto riesgo</strong></li><li><strong>Cuando la autoridad de control considere que el tratamiento puede infligir el presente reglamento, deberá, En un plazo de 8 semanas desde la solicitud de la consulta, asesorar por escrito al responsable. Dicho plazo podrá prolongarse 6 semanas en función a la complejidad. la autoridad de control informará a responsable, de tal prórroga en el plazo de un mes, a partir de la recepción de la solicitud de consulta, indicando los motivos.</strong></li></ol>
- Designación del delegado de protección de datos
<ol><li>El responsable y el encargado designarán un delegado siempre que:
<ol><li>El tratamiento lo lleve a cabo una autoridad u <strong>organismo público</strong>, excepto los tribunales</li><li>Cuando requieran una observación habitual o sistemática de interesados a <strong>gran escala</strong></li></ol></li><li>En los casos distintos, el responsable podrá designar un delegado o deberán hacerlo si así lo <strong>exige el derecho de la Unión</strong>.</li><li>El delegado de protección de datos será designado atendiendo a sus <strong>cualidades</strong> profesionales, conocimientos y practica en protección de datos</li><li>El delegado de protección de datos formará parte de la <strong>plantilla</strong> con <strong>contrato</strong> de servicios</li><li>El responsable <strong>publicará</strong> los datos de contacto del delegado y los <strong>comunicará</strong> a la autoridad de control</li></ol>
- Posición del delegado de protección de datos
<ol><li>El responsable garantizará, que el delegado <strong>participe</strong> en todo lo relacionado con <strong>cuestiones</strong> de protección de datos personales</li><li>El responsable facilitará todos los <strong>recursos</strong> necesarios al delegado</li><li>Garantizará que el delegado no reciba <strong>ninguna</strong> <strong>instrucción</strong> en el desempeño de sus funciones, rendirá cuentas al más alto nivel jerárquico del responsable</li><li>Los interesados podrán ponerse en <strong>contacto</strong> con el delegado, para cuestiones de <strong>tratamiento</strong> de protección de datos</li><li>El delegado está obligado a guardar el <strong>secreto</strong> o la confidencialidad, en el desempeño de sus funciones</li><li>El delegado podrá desempeñar <strong>otras funciones</strong> y cometidos, siempre y cuando no den lugar a <strong>conflicto</strong> de intereses</li></ol>
- Funciones del delegado de protección de datos
<ol><li>Informar y <strong>asesorar</strong> al responsable</li><li><strong>Supervisar</strong> el cumplimiento</li><li>Ofrecer <strong>asesoramiento</strong></li><li><strong>Cooperar</strong> con la <strong>autoridad</strong> de control</li><li>Actuar como <strong>punto de contacto</strong> de la autoridad de control</li></ol>
- Códigos de conducta
<ol><li>Se <strong>promoverán</strong> la elaboración de <strong>códigos de conducta</strong> para la correcta aplicación de este reglamento</li><li>Las asociaciones y otros organismos representativos, podrán elaborar códigos de conducta, con el objeto de especificar la aplicación de este reglamento</li></ol>
<p>Los códigos de conducta pueden <strong>ser obligatorio o voluntario</strong>, Pero si has decidido tenerlo, tienes que cumplir con todo lo establecido en el mismo</p>
- Autoridad de control
<ol><li>El estado miembro establecerá una o varias autoridades públicas <strong>independientes</strong> (autoridad de control) con el fin de, <strong>supervisar</strong> la aplicación del reglamento, proteger los derechos y libertades fundamentales, y facilitar la <strong>libre circulación</strong> de datos personales en la unión</li><li>Cada autoridad contribuirá a la <strong>aplicación coherente</strong> del presente Reglamento</li><li>Cuando haya varias autoridades, se designará a la autoridad que <strong>representará</strong> a dichas autoridades en el <strong>comité</strong></li></ol>
- Independencia
<ol><li>Cada <strong>autoridad</strong> actuará con total <strong>independencia</strong></li><li>Serán ajenos a cualquier otra <strong>influencia</strong> y no están sujetos a <strong>mandato imperativo</strong></li><li>Se <strong>abstendrán</strong> de cualquier acción que sea <strong>incompatible</strong> con sus funciones</li><li>El estado miembro garantizará, que la autoridad de control tenga todos los <strong>recursos</strong> para el cumplimiento de sus funciones (presupuestos generales del estado)</li><li>Cada autoridad elegirá y dispondrá de su <strong>propio personal</strong></li></ol>
- Condiciones generales aplicables a los miembros de la autoridad de control
<ol><li>Los Estados miembros <strong>dispondrán</strong> que, cada miembro <strong>de sus autoridades de control</strong> sea nombrado mediante un <strong>proceso transparente</strong></li><li>Cada miembro poseerá <strong>titulación, experiencia y aptitudes</strong> para el cumplimiento de sus funciones</li><li>Los miembros <strong>cesan</strong> por terminación del mandato, dimisión, jubilación</li><li>Un miembro será <strong>destituido</strong> únicamente, por <strong>conducta irregular grave</strong> o si deja de cumplir las <strong>condiciones exigidas</strong> en el desempeño de sus funciones</li></ol>
