Artículo 4

Definiciones

A efectos del presente Reglamento se entenderá por:

(1)

«datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

(2)

«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

(3)

«limitación del tratamiento»: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro;

(4)

«elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

(5)

«seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

(6)

«fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

(7)

«responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

(8)

«encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

(9)

«destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;

(10)

«tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado;

(11)

«consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

(12)

«violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;

(13)

«datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona;

(14)

«datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

(15)

«datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

(16)

«establecimiento principal»:

(a)

en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal;

(b)

en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento;

(17)

«representante»: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento;

(18)

«empresa»: persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica;

(19)

«grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus empresas controladas;

(20)

«normas corporativas vinculantes»: las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta;

(21)

«autoridad de control»: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51;

(22)

«autoridad de control interesada»: la autoridad de control a la que afecta el tratamiento de datos personales debido a que:

(a)

el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control;

(b)

los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento, o

(c)

se ha presentado una reclamación ante esa autoridad de control;

(23)

«tratamiento transfronterizo»:

(a)

el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o

(b)

el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro;

(24)

«objeción pertinente y motivada»: la objeción a una propuesta de decisión sobre la existencia o no de infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión;

(25)

«servicio de la sociedad de la información»: todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (19);

(26)

«organización internacional»: una organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.

¿Qué significa?

Una cookie es un archivo de texto que permite almacenar información en el dispositivo del usuario o acceder a ella y, en ocasiones, recopilar datos sobre el usuario.

La publicidad basada en el comportamiento de los usuarios implica a menudo el tratamiento datos personales.

La publicidad basada en el comportamiento suele implicar la gestión de direcciones IP y tratamiento identificadores únicos a través de la cookie.

La información contenida en el contexto de la publicidad basada en el comportamiento se refiere a las características o el comportamiento de un individuo y se utiliza para influir en ese individuo concreto. Esta información podrá vincularse directamente a la información de identificación personal facilitada por el interesado.

Se trata de una lista de los distintos tipos de datos personales que trataruna organización y los fines para los que se tratarlos datos. Esto es similar a los registros de actividades de tratamiento, que el artículo 30 del RGPD exige que las organizaciones mantengan.

Una empresa debe tener políticas de conservación de datos que especifiquen cómo debe conservar la organización los datos personales y cuándo debe eliminarlos.

La minimización de datos es uno de los principios descritos en el artículo 5, que dice que los datos personales sólo deben recogerse y trataren la medida necesaria para su finalidad específica.

El mapeo de datos consiste en identificar y documentar el flujo de datos personales dentro de una organización y las relaciones entre las distintas actividades de tratamiento datos. Se trata de un tratar necesario para mantener los registros requeridos de las actividades de tratamiento.

La clasificación de los datos los clasifica en función de su sensibilidad y del nivel de protección que necesitan. Se trata de una parte integrante de los registros de actividades de tratamiento y es especialmente importante para crear evaluaciones de riesgos.

La seguridad de la información consiste en establecer medidas para protegerla del acceso, uso, divulgación o destrucción no autorizados. La seguridad de la información es un campo dentro de la seguridad informática, y las normas del RGPD forman parte de la seguridad de la información de una empresa.

La mayoría de las empresas están obligadas a aplicar políticas de protección de datos. Son un conjunto de directrices que esbozan el planteamiento de una organización en materia de protección de datos y establecen las medidas aplicadas para proteger los datos personales.

Una tecnología que mejora la privacidad minimiza la recogida y el tratamiento de datos personales o dificulta la identificación de las personas a partir de sus datos.

Un interesado es una persona sobre la que tratardatos personales. Una empresa suele registrar información sobre clientes y empleados, por lo que estos son “interesados” en el contexto del RGPD.

Los registros de actividades de tratamiento muestran los tratarla empresa en el tratamiento datos personales. Existen requisitos específicos para este registro de actividades de tratamiento, que se describen en el artículo 30.

Por ley, todo aquel que tratardatos personales debe tener actualizado y mantener este registro de actividades de tratamiento.

Una evaluación de riesgos identifica y evalúa los riesgos potenciales para la privacidad de las personas.

Las organizaciones deben realizar una evaluación de riesgos al tratamiento datos personales para identificar y mitigar cualquier posible riesgo para la privacidad de las personas.

La evaluación de riesgos debe tener en cuenta las posibles amenazas a la intimidad de las personas.

La evaluación debe incluir los tipos de datos personales y los fines para los que se tratarlos datos.

La evaluación de riesgos debe realizarse periódicamente, revisarse y actualizarse en caso necesario.

Las organizaciones también deben documentar los resultados de su evaluación de riesgos, incluidas las medidas que hayan adoptado para mitigar los riesgos identificados. Esto demostrará el cumplimiento del RGPD.

La anonimización es el tratar de convertir los datos en anónimos eliminando u ocultando cualquier información utilizada para identificar a las personas. Debe ser imposible identificar al interesado tras la anonimización.

La evaluación de impacto es una versión ampliada de la evaluación de riesgos.

Debe llevarse a cabo si una evaluación de riesgos muestra que el tratamiento datos personales implica un alto riesgo. El RGPD establece requisitos específicos para la realización de una evaluación de impacto.

Un responsable del tratamiento debe acordar con su tratarel tratarlos datos personales. Este acuerdo debe describir las condiciones relativas a la seguridad del tratamiento los datos del responsable del tratamiento tratamiento por parte del tratar.

El responsable del tratamiento deberá poder documentar este acuerdo y que cumple con el RGPD. Por lo tanto, el responsable del tratamiento tratamiento también supervisará el cumplimiento de este acuerdo por parte del tratar.

El RGPD describe siete principios para un tratamiento datos adecuado. Los principios indican cómo deben tratarlos datos personales. Encontrará los principios en el artículo 5 del RGPD.

El RGPD trata básicamente de la seguridad de la información.

La seguridad de la información es una disciplina multidisciplinar en la que intervienen las tecnologías de la información, el Derecho y los tratarempresariales, y que trata de proteger la información, que, por ejemplo, puede estar en software y hardware.

El objetivo de esta disciplina es proteger la información para que no se vea comprometida. Por ejemplo, las personas no autorizadas no deben poder acceder a la información, los datos deben ser exactos y deben estar disponibles cuando se necesiten.

Mantener la confidencialidad, integridad y disponibilidad de su información puede evitar que se vea comprometida.

La confidencialidad forma parte de la tríada de seguridad de la información CIA (Confidencialidad, Integridad y Disponibilidad), que garantiza que la información sensible sólo es accesible a quienes están autorizados a verla o utilizarla. Controles como las contraseñas, la autenticación y los permisos son herramientas para restringir el acceso a los datos a los usuarios previstos.

La integridad forma parte de la tríada de seguridad de la información CIA (Confidencialidad, Integridad y Disponibilidad. Debe mantener la integridad de los datos para que nadie pueda alterar la información sin la debida autorización y seguridad. Los datos deben ser precisos y fiables.

La disponibilidad forma parte de la tríada de seguridad de la información CIA (Confidencialidad, Integridad y Disponibilidad). Se refiere a la capacidad de los usuarios autorizados para acceder a la información cuando la necesitan.

La ingeniería social utiliza la manipulación o el engaño para influir en las personas para que divulguen información sensible o realicen acciones que pueden no ser en su mejor interés. Es un tipo de ciberdelincuencia que se basa en explotar las emociones y la confianza humanas más que las vulnerabilidades técnicas.

La privacidad por defecto es la protección mediante la configuración predeterminada.

Un ejemplo es una aplicación informática que protege por defecto el tratamiento datos personales. En lugar de activar una función de identificación de 2 factores, debería estar activada por defecto.

La privacidad desde el diseño exige que los nuevos sistemas y tratarse diseñen teniendo en cuenta la protección de datos desde el principio. La protección de datos no debe añadirse a posteriori, sino tenerse en cuenta en la fase de diseño.

Un responsable de protección de datos vela por que una organización cumpla la legislación y la normativa sobre protección de datos.

El RPD es un punto de contacto entre la organización y la autoridad de control y organiza internamente las cuestiones relacionadas con la protección de datos.

El RGPD exige RPD para organizaciones específicas que manejen grandes cantidades de datos personales.

Las responsabilidades de un RPD varían en función del tamaño y la complejidad de la organización y de la naturaleza de su tratamiento datos personales.

La portabilidad de los datos es un derecho de los interesados, según el artículo 20. El interesado tiene derecho a recibir una copia de los datos personales que ha facilitado al responsable del tratamiento en un formato de archivo estructurado, que podría utilizarse para transferir los datos a otro proveedor.

El concepto de portabilidad de datos está diseñado para dar a los individuos más control sobre sus datos.

Sensibilización

Asegúrese de que toda su empresa cuenta con la formación de concienciación necesaria sobre los aspectos básicos del RGPD y la seguridad informática.

Discover

About