Hoja de referencia del RGPD
Una explicación de los términos y conceptos importantes

A primera vista, el RGPD puede parecer confuso como cualquier otro tema legal. Introduce numerosos términos legales que son vitales para comprender las regulaciones.

¿Qué es un controlador de datos y en qué se diferencia de un procesador de datos? Y de los dos, ¿cuál debo buscar si quiero hacer valer mis derechos frente a una empresa?

En este artículo, explicamos los términos y conceptos más importantes relacionados con el RGPD para que puedas mantener el control y ejercer tus derechos de protección de datos. Descubrirás que no es tan difícil de entender una vez que conozcas algunos de los términos.

El RGPD (abreviatura de Reglamento general de protección de datos) es un reglamento de la UE que entró en vigor el 25 de mayo de 2018 y que regula la protección de datos en la Unión Europea. Su objetivo es brindar a los ciudadanos un mejor control sobre sus datos y armonizar las leyes de privacidad de datos en toda Europa.

Como regulación de la UE, el RGPD no tiene que ser implementado por los estados miembros, pero es directamente vinculante y aplicable. En su mayor parte, reemplaza las leyes nacionales de protección de datos anteriormente aplicables, como la Ley Orgánica de Protección de Datos de Carácter Personal. Sin embargo, ciertos aspectos también pueden ser ajustados individualmente por los estados miembros.

El controlador de datos es la entidad que directamente procesa tus datos personales o los procesa un procesador de datos. El término “entidad” es muy amplio y puede referirse a una persona, una empresa, una autoridad o incluso una organización.

La minimización de datos es un principio importante para la protección de datos que prescribe el RGPD. La idea detrás es simple: solo se deben recopilar y procesar los datos necesarios para llevar a cabo el propósito indicado. Si una empresa quiere enviarte un boletín informativo, todo lo que necesita es tu dirección de correo electrónico. Siguiendo el principio de minimización de datos, no debe recopilar ningún otro dato.

Este concepto es importante no solo por razones de seguridad. Vivimos en una época en la que los datos privados de los usuarios se filtran regularmente al público porque las empresas no los han protegido lo suficiente. Los datos que una empresa no tiene no se pueden perder.

Un procesador de datos es, como su nombre lo indica, una empresa que procesa datos personales en nombre de un controlador de datos. Por ejemplo, si el servidor de correo electrónico de una empresa está alojado externamente, ese proveedor de correo actúa como procesador de datos.

El controlador de datos y el procesador de datos suscriben un llamado “acuerdo de procesamiento de datos” (DPA), que regula exactamente cómo se procesan los datos.

Lo que es importante para tí como consumidor: Como regla general, el procesador de datos no es la persona a quien debes buscar si deseas ejercer tus derehos. En su lugar, comunícate directamente con el controlador de datos.

La tarea de un oficial de protección de datos es asegurarse de que una empresa (u otra organización, como una agencia gubernamental) cumpla con la ley de protección de datos. Es designado por la propia empresa y debe tener un cierto grado de independencia para el desempeño de sus funciones.

Si un responsable del tratamiento ha designado un delegado de protección de datos, esta persona debería ser tu persona de contacto para consultas relacionadas con la protección de datos si deseas ejercer tus derechos.

El sujeto de datos es la persona cuyos datos personales se procesan. Como consumidor, esto generalmente se refiere a tí.

El principio de ventanilla única regula la responsabilidad de las autoridades supervisoras de protección de datos. Para tí, como consumidor, esto significa que también puedes presentar quejas ante la autoridad supervisora de tu propio país (en términos concretos, este es el “Estado miembro de [su] residencia habitual, lugar de trabajo o lugar de la presunta infracción”). Esto es particularmente útil si el controlador está ubicado en otro país.

Nuestro Buscador de autoridades supervisoras de protección de datos te ayudará a encontrar la autoridad supervisora responsable de tí.

El concepto de datos personales es el quid de la RGPD. Casi todas las normativas se refieren a él. Tan pronto como la información pueda asignarse a una persona específica, se considera información personal. No se requiere necesariamente un nombre para la tarea. Por ejemplo, una dirección IP, un nombre de usuario, una cookie o un número de identificación serían suficientes.

La información de que la dirección IP 31.41.59.26 visitó nuestro generador el 25 de mayo de 2018 se considerarían datos personales. Por otro lado, la información de que el mismo día en una panadería un tercio de los clientes pagaron en efectivo no lo es.

El RGPD define el procesamiento como prácticamente todo lo que un controlador puede hacer con datos personales. Esto incluye en particular:

• Colección
• Grabación
• Organización y estructuración
• Almacenamiento
• Adaptación o alteración
• Recuperación o consulta
• Utilizar
• Divulgar
• Alineación o combinación
• Restricción
• Borrado o destrucción

El término se refiere a procesos tanto automatizados como manuales.

La elaboración de perfiles es una forma de procesamiento automatizado en la que el controlador utiliza tus datos personales para evaluar automáticamente ciertos aspectos personales relacionados contigo sin ninguna intervención humana. Suele tratarse de analizar y predecir aspectos como los siguientes:

• Desempeño laboral
• Situación económica
• Salud
• Preferencias personales
• Intereses
• Fiabilidad
• Comportamiento
• Ubicación o movimientos

Un ejemplo clásico es la verificación de crédito de un teléfono móvil o una tarjeta de crédito que debes aprobar antes de obtener un contrato. Muchas empresas remitirán tus datos a agencias de crédito y estas agencias determinarán la probabilidad de que cumplas con tus obligaciones contractuales en función de información como tu comportamiento de pago anterior o la cantidad de cuentas bancarias que tienes.

El RGPD le otorga amplios derechos con respecto a tus datos personales. Esto comienza con el derecho a la información: si un responsable del tratamiento quiere tratar tus datos, debe informarte al respecto y decirte cómo puedes contactar con él si tienes alguna duda.

Incluso después de que haya comenzado el procesamiento de tus datos, todavía tienes muchos otros derechos. Por ejemplo, puedes preguntar qué datos personales se están procesando y solicitar una copia de los mismos. También puedes solicitar que se corrijan los datos incorrectos y, en determinadas circunstancias, incluso que se eliminen tus datos.

Encontrarás una descripción general completa y una explicación detallada sobre este tema en nuestro artículo sobre sus derechos del RGPD.

Algunos datos son más sensibles que otros. Si bien es posible que no tengas reparos en dar tu nombre a una nueva aplicación, no es necesario que conozca tus creencias religiosas. El RGPD reconoce que estas llamadas “categorías especiales de datos personales” merecen y necesitan una protección especial. Por tanto, el tratamiento de dichos datos solo está permitido en determinadas circunstancias.

Concretamente, se trata de los siguientes datos:

• Origen racial o étnico
• Opiniones políticas
• Creencias religiosas o filosóficas
• Afiliación sindical
• Datos genéticos
• Datos biométricos con el fin de identificar de forma única a una persona física
• Datos sobre salud
• Datos sobre la vida sexual u orientación sexual de una persona física

Las autoridades supervisoras de protección de datos son organismos independientes en cada país de la UE. Su tarea es garantizar el cumplimiento de las leyes de protección de datos, en particular el RGPD.

Para lograr esto, pueden monitorear a los controladores, exigirles que cumplan con las leyes de protección de datos e imponer multas cuando sea necesario.

Para tí como consumidor, están aquí para ayudarte. Si crees que un responsable del tratamiento no está procesando tus datos correctamente, puedes ponerte en contacto con las autoridades supervisoras de protección de datos de forma gratuita en cualquier momento.

Si no estás seguro de con qué autoridad debes comunicarte, consulta nuestro buscador de autoridades supervisoras de protección de datos.