RGPD: Reglamento General de Protección de Datos

Questions and Answers

¿Cuál es el objetivo principal del Reglamento General de Protección de Datos (RGPD)?

• Promover el tratamiento de datos personales sin restricciones para fines comerciales.
• Regular la libre circulación de datos entre empresas únicamente.
• Establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos. (correct)
• Limitar el tratamiento de datos personales a ciudadanos de la Unión Europea.

Según el RGPD, la libre circulación de datos personales puede ser restringida por motivos relacionados con la protección de las personas físicas.

False (B)

¿A qué tipo de tratamiento de datos se aplica el RGPD?

• Solo al tratamiento automatizado de datos personales.
• Solo al tratamiento de datos personales realizado por instituciones públicas.
• Solo al tratamiento no automatizado de datos personales.
• Al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. (correct)

El RGPD se aplica al tratamiento de datos personales en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión.

False (B)

Según el RGPD, se considera ______ toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador.

persona física identificable

Relacione los siguientes términos del RGPD con sus definiciones:

Datos personales = Toda información sobre una persona física identificada o identificable. Tratamiento = Cualquier operación o conjunto de operaciones realizadas sobre datos personales. Responsable del tratamiento = Persona física o jurídica que determina los fines y medios del tratamiento. Encargado del tratamiento = Persona física o jurídica que trata datos personales por cuenta del responsable.

¿Qué se entiende por 'limitación del tratamiento' según el RGPD?

El marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro. (C)

Según el RGPD, se considera 'destinatario' a cualquier tercero al que se comuniquen datos personales.

False (B)

Según el RGPD, 'consentimiento del interesado' se define como toda manifestación de voluntad ______, específica, informada e inequívoca.

libre

¿Qué se entiende por 'violación de la seguridad de los datos personales' según el RGPD?

Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. (C)

Los 'datos biométricos' se refieren exclusivamente a imágenes faciales utilizadas para identificar a una persona.

False (B)

¿Qué se entiende por 'datos relativos a la salud' según el RGPD?

Datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud. (A)

Según el RGPD, las políticas de protección de datos personales asumidas por un responsable del tratamiento establecido en un Estado miembro para transferencias de datos personales a un responsable en un país tercero se denominan '______'.

normas corporativas vinculantes

Según el RGPD, ¿cuál de las siguientes autoridades tiene la función de supervisar la aplicación del reglamento en un Estado miembro?

La autoridad de control. (A)

El RGPD establece que los datos personales deben ser recogidos con fines determinados, explícitos y legítimos, pero pueden ser tratados ulteriormente de manera incompatible con dichos fines.

False (B)

Según el RGPD, los datos personales deben ser adecuados, pertinentes y ______ a lo necesario en relación con los fines para los que son tratados.

limitados

Según el RGPD, ¿cuál de las siguientes condiciones legitima el tratamiento de datos personales?

El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte. (A)

Según el RGPD, el consentimiento del interesado para el tratamiento de sus datos personales puede ser implícito.

False (B)

Según el RGPD, ¿a qué edad se considera lícito el tratamiento de los datos personales de un niño en relación con la oferta directa de servicios de la sociedad de la información sin el consentimiento de sus padres o tutores?

16 años. (A)

El RGPD prohíbe el tratamiento de datos personales que revelen el origen étnico, las opiniones políticas, las convicciones religiosas, la afiliación sindical y el tratamiento de datos genéticos, datos biométricos, datos relativos a la salud o datos relativos a la vida ______.

sexual

Según el RGPD, ¿en qué caso se permite el tratamiento de datos personales que revelan el origen étnico de una persona?

Cuando el interesado ha dado su consentimiento explícito para el tratamiento de dichos datos personales. (A)

Según el RGPD, el responsable del tratamiento no está obligado a informar al interesado sobre el tratamiento de sus datos personales si no está en condiciones de identificar al interesado.

True (A)

Según el RGPD, ¿qué información debe facilitarse al interesado cuando los datos personales se obtienen directamente de él?

La identidad y los datos de contacto del responsable, los fines del tratamiento y la base jurídica del tratamiento. (C)

El RGPD describe el '______' como el derecho del interesado a obtener del responsable del tratamiento la supresión de los datos personales que le conciernan sin dilación indebida.

derecho al olvido

Según el RGPD, ¿en qué situación no se aplicará el derecho de supresión de datos personales?

Cuando el tratamiento sea necesario para ejercer el derecho a la libertad de expresión e información. (D)

El RGPD establece que el interesado tiene derecho a la portabilidad de sus datos solo si el tratamiento se efectúa por medios automatizados.

True (A)

Según el RGPD, ¿qué es la 'evaluación de impacto relativa a la protección de datos'?

Una evaluación del riesgo que entraña el tratamiento de datos para los derechos y libertades de las personas físicas. (D)

De acuerdo con el RGPD, el ______ es la persona o entidad que, sola o junto con otras, determina los fines y medios del tratamiento de datos personales

Responsable del tratamiento

Según el RGPD, el responsable del tratamiento está obligado a designar un delegado de protección de datos (DPO) en todos los casos.

False (B)

Según el RGPD, ¿cuál es una de las funciones del delegado de protección de datos (DPO)?

Supervisar el cumplimiento del RGPD y asesorar al responsable del tratamiento. (C)

El RGPD alienta la elaboración de ______, que son mecanismos para contribuir a la correcta aplicación del reglamento, teniendo en cuenta las características de los distintos sectores de tratamiento.

códigos de conducta

El RGPD permite la transferencia de datos personales a un tercer país si la Comisión Europea ha decidido que dicho país garantiza un nivel de protección adecuado.

True (A)

En ausencia de una decisión de adecuación, ¿qué tipo de instrumento puede utilizar un responsable del tratamiento para transferir datos personales a un tercer país de forma adecuada según el RGPD?

Las normas corporativas vinculantes. (A)

Según el RGPD, una 'violación de la seguridad de los datos personales' que entrañe un alto riesgo para los derechos y libertades de las personas físicas debe ser comunicada al ______ sin dilación indebida.

interesado

Según el RGPD, las autoridades de control no pueden imponer multas administrativas por infracciones del reglamento.

False (B)

Si un ciudadano considera que sus derechos han sido vulnerados según el RGPD, ¿ante qué organismo puede presentar una reclamación?

La autoridad de control. (A)

Cada Estado miembro debe asegurar que sus autoridades de control actúen con completa ______ en el funcionamiento de sus deberes estipulados y en el ejercicio de todos sus poderes.

independencia

¿Cuál es el propósito principal del Reglamento General de Protección de Datos (RGPD)?

Establecer normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. (B)

Según el RGPD, la libre circulación de datos personales dentro de la Unión Europea puede ser restringida por motivos relacionados con la protección de las personas físicas.

False (B)

¿A qué tipo de tratamiento de datos personales se aplica el RGPD?

Al tratamiento total o parcialmente automatizado y al no automatizado contenido o destinado a ser incluido en un fichero. (B)

El RGPD se aplica al tratamiento de datos personales por parte de un individuo en el ejercicio de actividades exclusivamente personales o domésticas.

False (B)

Según el RGPD, ¿qué se entiende por 'datos personales'?

Toda información sobre una persona física identificada o identificable.

Según el RGPD, el '______' se define como cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos automatizados o no.

tratamiento

Relacione los siguientes conceptos del RGPD con sus definiciones:

Limitación del tratamiento = Marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro. Elaboración de perfiles = Tratamiento automatizado de datos personales para evaluar determinados aspectos personales de una persona física. Seudonimización = Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional.

De acuerdo con el RGPD, ¿cuál de las siguientes opciones describe mejor el papel del 'responsable del tratamiento'?

Persona física o jurídica que determina los fines y medios del tratamiento de datos personales. (C)

Según el RGPD, el 'destinatario' de los datos personales siempre se considera un 'tercero'.

False (B)

¿Qué se entiende por 'consentimiento del interesado' según el RGPD?

Una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta el tratamiento de sus datos personales. (B)

Según el RGPD, ¿qué se entiende por 'violación de la seguridad de los datos personales'?

Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Según el RGPD, los '______' son datos personales relativos a las características genéticas heredadas o adquiridas de una persona física.

datos genéticos

De acuerdo con el RGPD, ¿cuál de los siguientes NO es un principio relativo al tratamiento de datos personales?

Máxima divulgación de datos. (C)

Según el RGPD, el tratamiento de datos personales siempre requiere el consentimiento explícito del interesado.

False (B)

Conforme al RGPD, ¿cuál de los siguientes es un derecho del interesado en relación con sus datos personales?

El derecho a oponerse al tratamiento de sus datos personales con fines de investigación de mercado. (C)

Según el RGPD, ¿qué debe hacer el responsable del tratamiento cuando el tratamiento se base en el consentimiento del interesado?

Ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

Según el RGPD, queda prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las ______ de una persona física.

orientación sexuales

Relacione los siguientes derechos del interesado con una breve descripción.

Derecho de rectificación = Derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Derecho de supresión («el derecho al olvido») = Derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan. Derecho a la limitación del tratamiento = Derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones.

De acuerdo con el RGPD, ¿quién debe notificar una violación de la seguridad de los datos personales a la autoridad de control competente?

Únicamente el responsable del tratamiento. (B)

El responsable del tratamiento siempre debe comunicar una violación de la seguridad de los datos personales a los interesados.

False (B)

Flashcards

¿Objeto del Reglamento?

Establece normas para la protección de datos personales y su libre circulación.

¿Qué protege el Reglamento?

Protege los derechos y libertades fundamentales relativos a los datos personales.

¿A qué se aplica el Reglamento?

El tratamiento total o parcial automatizado de datos personales.

¿Cuándo NO aplica el Reglamento?

Actividad fuera del Derecho de la Unión, actividades TUE, fines domésticos, o prevención de infracciones penales.

¿Qué son datos personales?

Información sobre una persona física identificada o identificable.

¿Qué es tratamiento de datos?

Cualquier operación sobre datos personales, automatizada o no.

¿Qué es limitación del tratamiento?

Marcar datos para limitar su tratamiento futuro.

¿Qué es elaboración de perfiles?

Usar datos para evaluar aspectos personales.

¿Qué es seudonimización?

Tratar datos sin poder atribuirlos directamente a un interesado.

¿Quién es el responsable del tratamiento?

Responsable determina fines y medios del tratamiento de datos.

¿Quién es el encargado del tratamiento?

Persona que trata datos por cuenta del responsable.

¿Quién es el destinatario?

Persona a quien se comunican los datos personales.

¿Quién es un tercero?

Persona ajena al interesado, responsable o encargado del tratamiento.

¿Qué es consentimiento del interesado?

Manifestación de voluntad libre, específica, informada e inequívoca.

¿Qué es violación de seguridad de los datos personales?

Violación de seguridad que causa destrucción, pérdida o acceso no autorizado.

¿Qué son datos genéticos?

Características genéticas heredadas o adquiridas.

¿Qué son datos biométricos?

Características físicas, fisiológicas o conductuales para identificación única.

¿Qué son datos relativos a la salud?

Datos relacionados con la salud física o mental.

¿Qué es establecimiento principal?

Lugar de administración central en la Unión del responsable.

¿Qué es un representante?

Persona designada por el responsable o encargado en la unión.

¿Qué es una empresa?

Persona dedicada a una actividad económica.

¿Qué es un grupo empresarial?

Grupo constituido por una empresa controladora y sus controladas.

¿Qué son normas corporativas vinculantes?

Políticas de protección de datos vinculantes dentro de un grupo empresarial.

¿Qué es una autoridad de control?

Autoridad pública independiente establecida por un Estado miembro.

¿Qué es autoridad de control interesada?

Autoridad de control afectada por el procesamiento de datos.

¿Qué es tratamiento transfronterizo?

Tratamiento con establecimientos en más de un Estado miembro.

Study Notes

Reglamento General de Protección de Datos (RGPD)

• Este reglamento establece las normas para la protección de datos personales de personas físicas y su libre circulación.
• Asegura las libertades de las personas, protegiendo los datos personales.
• La libre circulación de datos personales en la Unión Europea no se restringe debido a la protección de las personas con relación al tratamiento de datos.

Ámbito de Aplicación Material

• Se aplica al tratamiento de datos personales, ya sea automatizado o no, contenidos o destinados a incluirse en un fichero.
• No se aplica al tratamiento de datos personales en actividades fuera del Derecho de la Unión.
• No se aplica a los Estados miembros al realizar las actividades comprendidas en el capítulo 2 del título V del TUE.
• No se aplica al tratamiento por una persona física en actividades personales o domésticas.
• No se aplica si son por autoridades con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o ejecución de sanciones penales o la seguridad pública.
• El Reglamento (CE) n.º 45/2001 se aplica al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, adaptándose a los principios del RGPD.
• Se aplica sin perjuicio de la Directiva 2000/31/CE, sobre la responsabilidad de los prestadores de servicios intermediarios.

Ámbito Territorial

• Se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de si el tratamiento tiene lugar en la Unión o no.
• Se aplica si los interesados residen en la Unión y el responsable o encargado no está establecido en la Unión, siempre que las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios, o el control del comportamiento de los interesados en la Unión.
• Aplica al tratamiento de datos personales por un responsable fuera de la Unión, pero en un lugar donde el Derecho de los Estados miembros se aplique según el Derecho internacional público.

Definiciones Clave

• Datos personales: Información sobre una persona física identificada o identificable.
• Tratamiento: Cualquier operación realizada con datos personales, como recogida, registro, organización, conservación, etc.
• Limitación del tratamiento: Marcado de datos personales conservados con el fin de limitar su tratamiento futuro.
• Elaboración de perfiles: Tratamiento automatizado para evaluar aspectos personales de un individuo, especialmente para analizar o predecir su rendimiento, situación económica, salud, preferencias, etc.
• Seudonimización: Tratamiento de datos personales de manera que ya no puedan atribuirse a un interesado sin información adicional.
• Fichero: Conjunto estructurado de datos personales accesibles según criterios determinados.
• Responsable del tratamiento: Persona que determina los fines y medios del tratamiento.
• Encargado del tratamiento: Persona que trata datos personales por cuenta del responsable del tratamiento.
• Destinatario: Persona a quien se comunican datos personales, excepto las autoridades públicas en investigaciones específicas.
• Tercero: Persona distinta del interesado, responsable, encargado y personas autorizadas para tratar los datos.
• Consentimiento del interesado: Manifestación de voluntad libre, específica, informada e inequívoca por la cual una persona acepta el tratamiento de sus datos personales mediante una declaración o una clara acción afirmativa.
• Violación de la seguridad de los datos personales: Incidente de seguridad que resulta en la alteración, destrucción, pérdida o acceso no autorizado de datos personales.
• Datos genéticos: Datos personales sobre las características genéticas heredadas o adquiridas de un individuo.
• Datos biométricos: Datos personales obtenidos mediante tratamiento técnico específico relativos a características físicas, fisiológicas o conductuales que permiten o confirman la identificación unívoca de una persona.
• Datos relativos a la salud: Datos personales relacionados con la salud física o mental de un individuo, incluyendo la prestación de servicios de atención sanitaria.
• Establecimiento principal: Lugar de administración central del responsable o encargado en la Unión.
• Representante: Persona física o jurídica establecida en la Unión, designada por el responsable o encargado del tratamiento, que actúa en representación.
• Empresa: Persona física o jurídica dedicada a una actividad económica.
• Grupo empresarial: Grupo constituido por una empresa que ejerce el control y sus empresas controladas.
• Normas corporativas vinculantes: Políticas de protección de datos asumidas transferencia de datos personales.
• Autoridad de control: Autoridad pública independiente establecida por un Estado miembro.
• Autoridad de control interesada: La autoridad de control a la que afecta el tratamiento de datos personales.
• Tratamiento transfronterizo: Tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, o tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la unión que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro.
• Objeción Pertinente y Motivada: Objeción a una propuesta de decisión sobre infracción del reglamento.
• Servicios de la sociedad de la información: Todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo
• Organización internacional: Organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.

Principios Relativos al Tratamiento de Datos

• Licitud, lealtad y transparencia: Los datos deben procesarse de manera justa y transparente.
• Limitación de la finalidad: Los datos deben recogerse con fines determinados, explícitos y legítimos.
• Minimización de datos: Los datos deben ser adecuados, pertinentes y limitados a lo necesario.
• Exactitud: Los datos deben ser correctos y actualizados, adoptando medidas para rectificar los datos inexactos.
• Limitación del plazo de conservación: Los datos deben conservarse solo durante el tiempo necesario.
• Integridad y confidencialidad: Los datos deben tratarse de forma segura, protegiendo contra el tratamiento no autorizado o ilícito, la pérdida, destrucción o daño accidental.
• El responsable del tratamiento es responsable del cumplimiento de estos principios y debe ser capaz de demostrarlo.

Licitud del Tratamiento

• El tratamiento solo es lícito si se cumple al menos una de las siguientes condiciones:
• El interesado dio su consentimiento para el tratamiento.
• El tratamiento es necesario para la ejecución de un contrato.
• El tratamiento es necesario para el cumplimiento de una obligación legal.
• El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
• El tratamiento es necesario para el cumplimiento de una misión realizada en interés público.
• El tratamiento es necesario para la satisfacción de intereses legítimos del responsable.
• Los Estados miembros pueden especificar los tratamientos en el apartado 1, letras c) y e), incluyendo otras situaciones en el capítulo IX.
• La finalidad del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por el Derecho de la Unión, o el Derecho de los Estados miembros.
• Cuando tratamiento sea para un fin distinto, se necesita el consentimiento del interesado o el Derecho de la Unión.

Condiciones para el Consentimiento

• El responsable debe ser capaz de demostrar que el interesado consintió el tratamiento.
• La solicitud de consentimiento debe presentarse de forma clara y sencilla.
• El interesado tiene derecho a retirar su consentimiento en cualquier momento.
• La ejecución de un contrato no puede estar subordinada de datos personales que no son necesarios para la ejecución de dicho contrato.

Consentimiento del Niño (Servicios de la Información)

• El tratamiento de los datos del niño se hace lícito cuando tenga como mínimo 16 años.
• Para niños menores de 16 años, se considera lícito si el consentimiento lo dio el titular de la patria potestad.
• Los Estados miembros pueden establecer una edad inferior, siempre que esta no sea menor a 13 años.
• El responsable del tratamiento hará esfuerzos razonables para verificar que en tales casos el consentimiento sea autorizado.

Tratamiento de Categorias Especiales de Datos

• El tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física, quedan prohibidos.
• Esto no aplica cuando se cumpla:
• el interesado dio su consentimiento;
• el tratamiento es necesario para el cumplimiento de obligaciones del responsable o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social;
• el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
• el tratamiento es efectuado, por las fundaciones sin ánimo de lucro cuya finalidad sea política, filosófica, religiosa o sindical;
• el tratamiento se refiere a datos de carácter manifiestamente públicos realizados por el interesado;
• el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
• el tratamiento es necesario por razones de un interés público esencial.
• con fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento.
• por razones de interés público en el ámbito de la salud pública.
• con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

Datos Personales Relativos a Condenas e Infracciones Penales

• El tratamiento se lleva a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión.
• Registro completo de condenas penales bajo las el control de las autoridades públicas.

Tratamiento que no requiere identificación

• Si los fines no requieren de un responsable de datos personales no tiene la obligación de obtener o tratar información adicional con el fin de cumplir este reglamento.
• Si en caso de no que no pueda identificar a alguien le informará, y no se aplicarán los artículos 15 a 20.