GDPR

Política de Protección de Datos (España – GDPR y LOPDGDD)

1. Introducción
El 6 de diciembre de 2018, España aprobó la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), integrando las disposiciones del Reglamento General de Protección de Datos (GDPR). La Agencia Española de Protección de Datos (AEPD), como autoridad supervisora, ha emitido directrices para facilitar su aplicación. Con la entrada en vigor de esta normativa, se estableció el marco general de protección de datos personales en España.

2. Ámbito de aplicación
Estas disposiciones se aplican al tratamiento de datos personales en el contexto de las actividades de responsables o encargados establecidos en España, independientemente de si el tratamiento se realiza dentro o fuera del país.
También se aplican al tratamiento automatizado y no automatizado de datos personales contenidos en sistemas de archivo.
No se aplican a tratamientos realizados por personas físicas en el ámbito exclusivamente personal o doméstico.
Asimismo, se aplican a responsables o encargados no establecidos en España cuando ofrezcan bienes o servicios a personas residentes en España o monitoricen su comportamiento dentro del territorio español.

3. Principios del tratamiento de datos
Legalidad, lealtad y transparencia: el tratamiento debe basarse en una base legal, ser justo y transparente para el interesado.
Limitación de la finalidad: los datos deben recogerse con fines específicos, explícitos y legítimos, y no tratarse de forma incompatible con dichos fines.
Minimización de datos: solo deben tratarse los datos estrictamente necesarios para la finalidad prevista.
Exactitud: los datos deben ser exactos y mantenerse actualizados.
Limitación del plazo de conservación: los datos deben conservarse únicamente durante el tiempo necesario.
Integridad y confidencialidad: deben aplicarse medidas técnicas y organizativas adecuadas para proteger los datos frente a accesos no autorizados, pérdida o destrucción.

4. Derechos de los interesados
Derecho de información: conocer cómo se tratan sus datos personales.
Derecho de acceso: confirmar si sus datos están siendo tratados y acceder a ellos.
Derecho de rectificación: corregir datos inexactos o incompletos.
Derecho de supresión (derecho al olvido): solicitar la eliminación de sus datos en determinados casos.
Derecho a la limitación del tratamiento: restringir el tratamiento en ciertas circunstancias.
Derecho a la portabilidad: recibir sus datos en formato estructurado y transferirlos a otro responsable.
Derecho de oposición: oponerse al tratamiento basado en intereses legítimos o públicos.
En el caso de menores de 14 años, el tratamiento requiere el consentimiento del menor y de sus padres o tutores, debiendo proporcionarse información en un lenguaje adecuado a su edad.

5. Obligaciones de los encargados del tratamiento
El encargado solo podrá tratar los datos conforme a las instrucciones del responsable establecidas en contrato.
Debe aplicar medidas técnicas y organizativas para garantizar la seguridad de los datos.
Debe cooperar con el responsable para cumplir con las obligaciones legales y garantizar los derechos de los interesados.
En caso de violación de seguridad, debe notificarlo inmediatamente al responsable, quien, si procede, informará a la AEPD y a los afectados.
Debe mantener un registro de las actividades de tratamiento.
Cuando exista un alto riesgo (por ejemplo, uso de nuevas tecnologías o decisiones automatizadas), el responsable debe realizar una Evaluación de Impacto en Protección de Datos (DPIA) conforme al GDPR.
El responsable deberá designar un Delegado de Protección de Datos (DPO) cuando así lo exija la normativa.

6. Transferencias internacionales de datos
Cuando los datos personales se transfieran fuera de la Unión Europea, el responsable debe garantizar un nivel adecuado de protección, ya sea mediante decisiones de adecuación de la Comisión Europea o cláusulas contractuales tipo.
El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) invalidó el acuerdo Privacy Shield. Posteriormente, el 4 de junio de 2021, la Comisión Europea adoptó nuevas cláusulas contractuales tipo, y la AEPD emitió directrices para su correcta aplicación.

7. Supervisión y cumplimiento
La AEPD es la autoridad encargada de supervisar y sancionar el tratamiento de datos personales en España. En caso de infracción, puede imponer advertencias, prohibiciones o sanciones económicas que pueden alcanzar importes elevados según la gravedad.
Las personas también tienen derecho a establecer instrucciones sobre el uso de sus datos tras su fallecimiento. En ausencia de estas, el tratamiento deberá ajustarse a la legislación vigente.
Estas disposiciones garantizan la protección efectiva de los datos personales, el respeto de los derechos de los interesados y el cumplimiento legal en el tratamiento de datos.

8. Contacto
Para cualquier consulta relacionada con la protección de datos o el ejercicio de sus derechos, puede ponerse en contacto con nuestro equipo a través de los canales de atención al cliente disponibles.