El Reglamento General de protección de datos de la UE 2016/679 (RGPD) indica que las organizaciones que recaban y/o realizan actividades de tratamiento de datos personales, deberán implementar las medidas técnicas y organizativas necesarias a fin de garantizar la protección de los mismos, la privacidad y los derechos y libertades de las personas titulares de
dichos datos personales.
El artículo 4.1 del RGPD da la definición de «datos personales»:
Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Lo anteriormente expuesto requiere que las organizaciones de control de datos identifiquen y comprendan bien la trazabilidad de sus actividades de procesamiento. Esto significa que las organizaciones tendrán que comprender, no sólo cómo y dónde se están utilizando y transmitiendo los datos, sino también dónde se almacenan. En términos de detección de datos, la acción de procesamiento debe ser mapeada a un sistema que registre todos los datos, actividades, recursos, personal y organizaciones implicadas.
El artículo 4.3 del RGPD define el «tratamiento» o procesamiento de datos como:
Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Y hay artículos en el RGPD que se refieren específicamente a la necesidad de inventariar los datos personales:
Capítulo 2 (Principios), Sección 3 (Rectificación y borrado):
Artículo 17 (Derecho de supresión / «derecho al olvido»): El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales.
Artículo 20: (Derecho a la portabilidad de los datos): El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.
Los artículos anteriores se refieren a algunos de los derechos que tienen los titulares de los datos respecto al uso y tratamiento que la organización de control o procesador realiza sobre ellos. Cualquier solicitud de acceso a datos sujetos significará que las organizaciones controladoras de los datos deben responder de manera oportuna (a menos de un mes desde la recepción de la solicitud).
Con el fin de hacer esto, las organizaciones deben saber dónde está ubicada la información, o ser capaz de encontrarla rápidamente a través de su infraestructura.
Capitulo 4 (Controlador y procesador), Sección 1 (Obligaciones generales):
Artículo 24.1: (Responsabilidad de la organización de control): Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
El artículo anterior explica que los controladores tienen que garantizar la supervisión del tratamiento lícitu de los datos personales (que incluye el almacenamiento de estos datos), a través de medidas técnicas y organizativas. Disponer de un inventario actualizado de datos puede ser una forma efectiva de mantener esta visibilidad y garantías.
Además, el Capítulo 5 (artículos 44-50) se centran en las «Transferencias de datos personales a terceros países u organizaciones internacionales». Esta sección explica las condiciones que se deben cumplir para que los datos personales puedan ser transferidos o procesados fuera de la UE, incluido el artículo 46 (Transferencias sujetas a garantías apropiadas).
Las organizaciones con relaciones con proveedores fuera de la UE, donde los datos pueden ser procesados, tendrán que supervisar estas relaciones y llevar a cabo la diligencia debida para garantizar que estas relaciones o transferencias de datos no violan la regulación de la UE y no ponen los datos privados en situación de riesgo. Por lo tanto, las organizaciones deben asegurarse de identificar los datos que están ubicados en terceros países y que tipo de actividades de tratamiento y prácticas comerciales se realizan sobre los mismos.
Las organizaciones modernas internacionales y las demanda de globalización han dado lugar a una evolución de la infraestructura de Transferencias Internacionales, ya sea a través de un empleo cada vez mayor de dispositivos móviles para el desempeño del trabajo, o la adopción de infraestructuras en la nube, lo que deriva en que en la actualidad, los datos están más distribuidos que nunca. Esto significa que un inventario de datos supone más que un reto, pues se deberá ser capaz de identificar los riesgos derivados de la contratación de prestación de servicios a terceras organizaciones y los servicios de sincronización y de compartir archivos.
Las organizaciones no sólo tendrán que hacer un inventario de datos de carácter personal operativo, sino que debe tomar parte proactiva en el inventario de datos personales como parte de la fase de preparación o planificación para evaluar el alcance del esfuerzo y los recursos necesarios para llevar a cabo el cumplimiento del RGPD, por lo que las organizaciones deben ser capaces de comprender el alcance de sus flujos y procesos de datos.
El responsable del tratamiento es el PROPIETARIO DE LA WEB cuyos datos identificativos se encuentran en la página de Aviso Legal
El PROPIETARIO DE LA WEB tratará la información que facilite el usuario a través del Sitio Web con el fin de gestionar la prestación de los servicios solicitados y la gestión administrativa derivada de los mismos, así como remitir periódicamente newsletters, comunicaciones comerciales sobre servicios, eventos y noticias relacionadas con la actividad profesional del PROPIETARIO DE LA WEB cuando el usuario lo autorice, y para valorar la candidatura del usuario en el caso de que se recojan curriculums a través de la web.
Los datos personales se conservarán mientras el usuario no solicite la supresión de los mismos y, en todo caso, durante los años necesarios para cumplir las obligaciones legales que establezca la normativa vigente, o para hacer frente a las posibles responsabilidades que pudiesen surgir.
La legitimación del PROPIETARIO DE LA WEB para llevar a cabo el tratamiento de los datos de los usuarios se basa en el consentimiento del interesado.
Con carácter general los datos no serán cedidos a terceros, salvo que lo establezca la legislación vigente.
El usuario tiene derecho a obtener confirmación sobre si el PROPIETARIO DE LA WEB está tratando datos personales que le conciernan o no. Tienen derecho a acceder a sus datos personales, así como a solicitar la rectificación de los datos inexactos o, en su caso, solicitar la supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines que motivaron su recogida.
En determinadas circunstancias el usuario podrá solicitar la limitación del tratamiento de sus datos personales, en cuyo caso únicamente se conservaran bloqueados para el ejercicio o la defensa en reclamaciones. En determinadas circunstancias y por motivos relacionados con su situación particular, los usuarios podrán oponerse al tratamiento de sus datos, en cuyo caso el PROPIETARIO DE LA WEB dejará de tratar sus datos, salvo por motivos legítimos imperiosos, o el ejercicio o defensa de posibles reclamaciones. Además de los derechos anteriores, el usuario también tendrá el derecho a retirar el consentimiento y el derecho a presentar una reclamación ante la Autoridad de Control.
Dispone de la información necesaria en www.agpd.es. Podrá ejercitar materialmente sus derechos aportando copia de su DNI o documento oficial que le identifique, mediante el envío de un mail o por correo postal dirigiéndose al PROPIETARIO DE LA WEB, cuyos datos identificativos se encuentran en el punto 1 del AVISO LEGAL.
El PROPIETARIO DE LA WEB tratará los datos del Usuario en todo momento de forma absolutamente confidencial y guardando el preceptivo deber de secreto respecto de los mismos, de conformidad con lo previsto en la normativa de aplicación, adoptando al efecto las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de sus datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos.
