Reglamento General de Protección de Datos (RGPD)

Questions and Answers

¿Cuál es el objetivo principal del Reglamento mencionado?

• Proteger los derechos de las personas físicas en el tratamiento de datos personales. (correct)
• Contribuir a la libre circulación de mercancías.
• Establecer normas sobre la protección ambiental.
• Regular la economía digital en la Unión Europea.

¿Qué aspecto NO se menciona en el Reglamento respecto a la libre circulación de datos personales?

• No puede ser restringida por motivos de protección de datos.
• Se debe asegurar su calidad y precisión.
• Debemos garantizar su seguridad durante el tránsito.
• Fomenta la cooperación internacional. (correct)

¿Cuál de las siguientes afirmaciones es correcta sobre los derechos de las personas físicas según el Reglamento?

• Las restricciones son aplicables en todos los casos.
• Sólo se aplican a datos financieros.
• Los derechos de protección de datos son opcionales.
• Son considerados fundamentales y deben ser protegidos. (correct)

¿Qué implica la Directiva 95/46/CE según el Reglamento?

Asegurar la libre circulación de datos personales entre estados miembros. (B)

¿Qué NO se establece específicamente en el Reglamento sobre el tratamiento de datos?

Criterios para la recopilación de datos no sensibles. (A)

La regulación sobre la libre circulación de datos personales busca principalmente:

Facilitar el intercambio de datos entre estados miembros asegurando su protección. (B)

¿Cómo se define la 'libre circulación de datos personales' según lo estipulado?

No se puede restringir ni prohibir por motivos de protección de datos. (C)

¿Qué medidas debe tomar el responsable del tratamiento para facilitar la información al interesado?

La información debe ser presentada de forma concisa y transparente. (C)

¿En qué situación puede el responsable del tratamiento negarse a actuar a solicitud del interesado?

Cuando no puede demostrar que el interesado puede ser identificado. (D)

¿Cuánto tiempo tiene el responsable del tratamiento para responder a la solicitud del interesado?

Un mes, con posibilidad de extenderse hasta dos meses si es necesario. (A)

¿Qué debe hacer el responsable del tratamiento si necesita prorrogar el plazo de respuesta?

Notificar al interesado de la prórroga y el motivo dentro de un mes. (D)

¿Qué modalidad debe tener la información facilitada al interesado?

Concisa, transparente e inteligible, con un lenguaje claro. (B)

¿Qué tipo de tratamiento de datos personales está excluido de la aplicación del Reglamento según el contenido?

Tratamiento por una persona física en actividades domésticas. (C)

¿En qué circunstancia no se aplica el Reglamento al tratamiento de datos personales por parte de los Estados miembros?

En el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión. (C)

¿Cuál es el ámbito territorial del Reglamento respecto al tratamiento de datos personales?

Se aplica independientemente de la ubicación del tratamiento, siempre que sea en contexto de un establecimiento en la Unión. (C)

¿Cuál de los siguientes NO es un propósito para el que se permite el tratamiento de datos personales por parte de autoridades competentes?

Fines comerciales de organizaciones gubernamentales. (C)

¿Qué regulación se menciona como aplicable al tratamiento de datos personales por las instituciones de la Unión?

Reglamento (CE) n.o 45/2001. (A)

¿A cuál de las siguientes situaciones se aplica el Reglamento respecto a la responsabilidad de los prestadores de servicios?

En actividades de intermediación de servicios de comercio. (C)

¿Qué tipo de actividad se excluye del ámbito de aplicación del Reglamento según su artículo 2?

Actividades personales que no involucran a terceros. (D)

El Reglamento se entiende sin perjuicio de la aplicación de qué directiva según su artículo 98?

Directiva 2000/31/CE. (C)

¿Qué tipo de datos tiene el Reglamento la responsabilidad de regular en el contexto del establecimiento de un encargado o responsable en la Unión?

Datos personales de individuos registrados. (C)

¿Qué deberá demostrar el responsable del tratamiento en relación con el consentimiento del interesado?

Que el interesado otorgó su consentimiento (C)

¿Cómo debe presentarse la solicitud de consentimiento si se incluye en una declaración escrita que toca otros asuntos?

Claramente distinta y con lenguaje accesible (A)

¿Qué derecho tiene el interesado respecto al consentimiento otorgado?

Se puede retirar en cualquier momento (D)

¿Qué condición se debe evaluar al determinar si el consentimiento se otorgó libremente?

La relación entre el consentimiento y la ejecución de un contrato (D)

¿A qué edad se considera lícito el tratamiento de datos personales de un niño sin autorización de los padres?

A partir de los 16 años (B)

En el contexto del consentimiento de un menor, ¿quién puede otorgar el consentimiento si el niño tiene menos de 16 años?

El titular de la patria potestad o tutela (B)

¿Qué deberán hacer los responsables del tratamiento al verificar el consentimiento en niños?

Realizar esfuerzos razonables según la tecnología disponible (A)

¿Qué aspecto NO afecta la validez del tratamiento basado en consentimiento previo a su retirada?

El momento en que se retira el consentimiento (C)

¿Qué se requiere para que el consentimiento sea considerado válido en situaciones que involucran a un niño?

Que sea autorizado por un tutor o padre en todos los casos (A)

¿Qué deberá hacer el responsable del tratamiento para garantizar la protección del consentimiento otorgado en el contexto infantil?

Establecer mecanismos de verificación adecuados (C)

¿Qué se entiende por 'consentimiento del interesado' en el contexto del tratamiento de datos personales?

Manifestación de voluntad libre, específica, informada e inequívoca del interesado. (B)

¿Cuál de las siguientes afirmaciones describe mejor una 'violación de la seguridad de los datos personales'?

Destrucción, pérdida o acceso no autorizado a datos personales. (C)

¿Cómo se definen los 'datos biométricos'?

Datos relativos a las características físicas, fisiológicas o conductuales para identificar a una persona. (A)

¿Qué implica el término 'tratamiento transfronterizo'?

Tratamiento de datos personales que afecta a interesados en más de un Estado miembro. (D)

¿Qué caracteriza a un 'grupo empresarial'?

Una empresa que ejerce control sobre otras empresas bajo su administración. (A)

¿Qué es una 'autoridad de control'?

Una autoridad pública establecida por un Estado miembro para supervisar el tratamiento de datos. (A)

¿Qué se considera 'datos genéticos'?

Datos relacionados con características genéticas que informan sobre la salud de una persona. (D)

¿Cuál es el papel de un 'representante' en el tratamiento de datos personales?

Representar al responsable o encargado del tratamiento en sus obligaciones legales. (C)

¿Qué implica una 'objeción pertinente y motivada'?

Una oposición sustentada a decisiones relacionadas con la conformidad del tratamiento de datos. (B)

Según la definición, ¿qué son 'normas corporativas vinculantes'?

Políticas de protección de datos aplicables dentro de un grupo empresarial. (B)

Flashcards

Objetivo del RGPD

El objetivo principal del Reglamento General de Protección de Datos (RGPD) es proteger la privacidad de las personas físicas en el tratamiento de sus datos personales.

Principio de Finalidad

Este principio del RGPD asegura que los datos personales solo se recopilen para propósitos específicos, transparentes y legítimos, y que no se usen para otros fines sin el consentimiento de la persona.

Principio de Transparencia

El RGPD exige que la información sobre el tratamiento de datos personales sea clara, concisa, accesible y fácil de entender para las personas.

Principio de Precisión

Los datos personales deben ser precisos y actualizados, y se deben tomar medidas razonables para garantizar su exactitud.

Principio de Limitación del Almacenamiento

Según el RGPD, los datos personales solo se podrán almacenar durante el tiempo necesario para cumplir los propósitos para los que fueron recogidos.

Principio de Integridad y Confidencialidad

El RGPD exige que se implementen medidas técnicas y organizativas adecuadas para proteger los datos personales contra el acceso no autorizado, la pérdida o el daño.

Derechos de los interesados

Las personas tienen derecho a acceder, rectificar y eliminar sus datos personales, así como a limitar su tratamiento u oponerse a él.

Tercero

Persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.

Consentimiento del interesado

Manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta el tratamiento de datos personales que le conciernen.

Violación de la seguridad de los datos personales

Violación de la seguridad que ocasiona la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos.

Datos genéticos

Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen información única sobre la fisiología o la salud.

Datos biométricos

Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona que permitan o confirmen la identificación única.

Datos relativos a la salud

Datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria.

Establecimiento principal

Lugar de la administración central de un responsable o encargado del tratamiento con establecimientos en más de un Estado miembro.

Representante

Persona física o jurídica establecida en la Unión que representa al responsable o encargado del tratamiento en lo que respecta a sus obligaciones en virtud del RGPD.

Empresa

Persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica.

Grupo empresarial

Grupo constituido por una empresa que ejerce el control y sus empresas controladas.

Ámbito de aplicación material del RGPD

El Reglamento General de Protección de Datos (RGPD) se aplica al procesamiento de datos personales realizado total o parcialmente por medios automatizados, así como al procesamiento no automatizado de datos personales que se almacenan o se van a almacenar en un archivo.

Excepciones al ámbito material del RGPD

Este reglamento NO se aplica al tratamiento de datos personales en el ejercicio de actividades que no están sujetas al Derecho de la Unión, o por parte de los Estados miembros cuando actúan dentro del ámbito de aplicación del capítulo 2 del título V del Tratado de la Unión Europea.

Exclusión de la aplicación del RGPD

El RGPD no se aplica al tratamiento de datos personales realizado por personas físicas para actividades estrictamente personales o domésticas.

Excepción para autoridades competentes

Las autoridades competentes están exentas del cumplimiento del RGPD cuando procesan datos personales para la prevención, investigación, detección o enjuiciamiento de delitos penales, la ejecución de sanciones penales o para la protección y prevención de amenazas a la seguridad pública.

Reglamento (CE) n.o 45/2001

El Reglamento (CE) n.o 45/2001 regula el procesamiento de datos personales por parte de las instituciones, órganos y organismos de la Unión Europea.

Adaptación de legislación previa

El Reglamento (CE) n.o 45/2001 y otros actos jurídicos de la Unión referentes al procesamiento de datos personales deben adaptarse a los principios y normas del RGPD de acuerdo con su artículo 98.

Relación con la Directiva 2000/31/CE

Aunque el RGPD se aplica, la Directiva 2000/31/CE sigue siendo relevante, especialmente sus artículos 12 a 15 que establecen la responsabilidad de los proveedores de servicios intermediarios.

Ámbito territorial del RGPD

El RGPD se aplica al procesamiento de datos personales llevado a cabo por una empresa o persona responsable establecida en la Unión Europea, incluso si el procesamiento se realiza fuera de la Unión.

Aplicabilidad territorial del RGPD

El RGPD se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

Prueba de consentimiento

El responsable del tratamiento de datos personales debe ser capaz de probar que el interesado consintió el tratamiento de sus datos.

Consentimiento separado

Si el consentimiento se solicita junto con otros asuntos en un documento escrito, debe estar claramente separado y fácil de entender.

Retirada del consentimiento

El interesado (la persona cuyos datos se tratan) puede retirar su consentimiento a cualquier momento.

Validez del tratamiento pasado

Retirar el consentimiento no afecta la validez del tratamiento que se hizo mientras el consentimiento estaba vigente.

Información previa al consentimiento

Antes de dar su consentimiento, la persona debe ser informada claramente sobre el tratamiento de sus datos.

Facilidad para retirar consentimiento

Deben existir las mismas facilidades para retirar el consentimiento como para darlo.

Consentimiento libre

Se considera que el consentimiento no se ha dado libremente si la persona no tiene otra opción para obtener un servicio o contrato.

Consentimiento de niños

Para el tratamiento de datos de niños menores de 16 años, se necesita el consentimiento de los padres o tutores.

Edad mínima para el consentimiento

Los Estados miembros de la UE pueden establecer una edad menor a 16 años para el tratamiento de datos de niños, pero no menor de 13 años.

Verificación del consentimiento de padres

El responsable del tratamiento debe tomar medidas razonables para verificar que el consentimiento de los padres o tutores es real.

Transparencia de la información

El responsable del tratamiento debe tomar las medidas necesarias para informar al interesado sobre el tratamiento de sus datos de manera clara, concisa, inteligible y accesible. La información debe presentarse en un lenguaje sencillo y comprensible, especialmente para los niños. La información se puede proporcionar por escrito o por otros medios, incluidos los electrónicos.

Ejercicio de derechos del interesado

El responsable del tratamiento debe facilitar al interesado el ejercicio de sus derechos relacionados con el tratamiento de datos personales, como el derecho de acceso, rectificación o eliminación. Sin embargo, si no se puede identificar al interesado, el responsable no está obligado a atender su solicitud.

Plazos para la respuesta a solicitudes

El responsable del tratamiento debe informar al interesado sobre sus actuaciones en relación con una solicitud de ejercicio de sus derechos (por ejemplo, acceso a datos o rectificación). La respuesta debe darse en un plazo máximo de un mes, que puede ampliarse dos meses en casos complejos. Si hay dilación, debe notificarse al interesado.

Información accesible para el interesado

La información sobre el tratamiento de datos personales debe ser fácil de entender para el interesado. Si la persona es un niño, la información debe ser especialmente clara y sencilla, sin tecnicismos.

Información verbal

El responsable del tratamiento puede proporcionar la información verbalmente, siempre que se demuestre la identidad del interesado por otros medios, como la presentación de un documento de identidad.

Study Notes

Reglamento General de Protección de Datos (RGPD)

• Objetivo: Proteger los datos personales de las personas físicas y garantizar la libre circulación de estos datos en la Unión Europea. Deroga la Directiva 95/46/CE.

• Ámbito de aplicación material: Aplica al tratamiento automatizado y no automatizado de datos personales. Excepciones: actividades fuera del ámbito de aplicación del Derecho de la Unión; actividades de los Estados miembros en el capítulo 2 del título V del Tratado de la Unión Europea; actividades personales o domésticas; actividades de prevención, investigación, detección o enjuiciamiento de delitos o la ejecución de sanciones penales.

• Ámbito territorial: Aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o encargado en la Unión, independientemente de si el tratamiento tiene lugar en la Unión.

• Definiciones:

  • Datos personales: Cualquier información sobre una persona física identificada o identificable (el interesado). Incluye información de localización, digital y personal.
  • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, automatizados o no.
  • Limitación del tratamiento: Marcar datos para limitar su tratamiento futuro.
  • Elaboración de perfiles: Utilizar datos para evaluar aspectos personales de una persona.
  • Pseudonimización: Tratar datos de forma que no puedan atribuirse a un interesado sin información adicional.
  • Responsable del tratamiento: Persona física o jurídica que determina los fines y medios del tratamiento.
  • Encargado del tratamiento: Persona que trata datos en nombre del responsable del tratamiento.
  • Destinatario: Persona física o jurídica, autoridad pública o servicio que recibe datos.
  • Consentimiento del interesado: Manifestación de voluntad libre, específica, informada e inequívoca que indica el consentimiento.
  • Violación de la seguridad: Cualquier daño o acceso no autorizado a datos personales.
  • Datos genéticos: Información sobre características genéticas de una persona.
  • Datos biométricos: Información sobre características físicas de una persona.
  • Datos relativos a la salud: Información sobre la salud de una persona.
  • Establecimiento principal: Para responsables con múltiples establecimientos, el de la administración central en la UE. Para encargados, el de administración central o del establecimiento con las principales actividades de tratamiento.
  • Tercero: Cualquier persona física o jurídica, autoridad pública o servicio distinto del interesado, responsable del tratamiento, encargado y personas con autorización para tratar datos.

• Principios del tratamiento: Los datos personales deben ser tratados de manera lícita, leal, transparente, limitados y adecuados a los fines, precisos, actualizados, conservados durante un tiempo necesario y tratados con seguridad.

• Licitud del tratamiento: El tratamiento solo será lícito si se cumple al menos uno de los siguientes requisitos: consentimiento, cumplimiento de contrato o obligación legal, protección de intereses vitales, cumplimiento de misión en interés público, o por intereses legítimos justificados.

• Tratamiento de categorías especiales de datos personales: Prohibido tratar datos sobre origen racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, relativos a la salud, vida sexual u orientación sexual. Excepciones específicas por ley o en caso de imperativo interés vital o para fines específicos.

• Tratamiento de datos personales relativos a condenas e infracciones penales: Sólo permitido con supervisión o autorización legal.

• Tratamiento sin necesidad de identificación: Si no se necesita identificación para los fines del tratamiento, no hay obligación de obtener o tratar información adicional para identificarlo.

• Derechos del interesado: Incluye acceso a sus datos, rectificación de inexactitudes, eliminación de datos, limitación de su tratamiento y portabilidad. Derecho a la oposición y a la limitación del tratamiento. Decisiones individuales automatizadas.

• Obligación de notificación: El responsable del tratamiento notificará a todos los destinatarios cualquier rectificación, supresión o limitación del tratamiento de los datos personales.

• Derecho a la portabilidad de los datos: Derecho a recibir y transmitir sus datos personales a otro responsable del tratamiento en formato estructurado, de uso común y lectura mecánica. Esto solo se aplica a tratamientos automatizados.

• Decisiones individuales automatizadas, incluida la elaboración de perfiles: Se prohíbe que decisiones basándose únicamente en tratamientos automatizados tengan efectos legales significativos o afecten de forma similar a las personas. Excepciones por ley, contrato o consentimiento del interesado.

• Limitaciones: La legislación nacional puede establecer excepciones a las obligaciones y derechos del RGPD en ciertas situaciones.