GDPR

I. Introducción

El 6 de diciembre de 2018, España incorporó las disposiciones del Reglamento General de Protección de Datos (GDPR) mediante la aprobación de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

La Agencia Española de Protección de Datos (AEPD), como autoridad supervisora competente en España, ha publicado directrices y recomendaciones para facilitar la correcta aplicación del GDPR y de la LOPDGDD.

Con la entrada en vigor de esta normativa, quedó establecido el marco general de protección de datos personales aplicable en España.

II. Ámbito de aplicación

Estas disposiciones se aplican al tratamiento de datos personales realizado en el contexto de las actividades de un responsable o encargado del tratamiento establecido en España, independientemente de que el tratamiento tenga lugar dentro o fuera del territorio español.

También se aplican al tratamiento automatizado y no automatizado de datos personales que formen parte de un sistema de archivo.

Quedan excluidos los tratamientos realizados por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

Asimismo, estas disposiciones serán aplicables cuando un responsable o encargado no establecido en España ofrezca bienes o servicios a personas residentes en España o supervise su comportamiento dentro del territorio español.

III. Principios del tratamiento de datos

Licitud, lealtad y transparencia

El tratamiento de datos personales deberá basarse en una causa legal válida, realizarse de manera justa y transparente e informar claramente a los interesados sobre el uso de sus datos.

Limitación de la finalidad

Los datos deberán recopilarse con fines determinados, explícitos y legítimos, y no podrán tratarse posteriormente de manera incompatible con dichos fines.

Minimización de datos

Solo deberán tratarse los datos personales estrictamente necesarios y pertinentes para las finalidades previstas, evitando la recopilación excesiva de información.

Exactitud

Los datos personales deberán ser exactos y mantenerse actualizados cuando sea necesario.

Limitación del plazo de conservación

Los datos únicamente podrán conservarse durante el tiempo necesario para cumplir la finalidad del tratamiento y posteriormente deberán eliminarse o anonimizarse de forma segura.

Integridad y confidencialidad

Deben aplicarse medidas técnicas y organizativas adecuadas para proteger los datos personales contra accesos no autorizados, pérdida, alteración o destrucción.

IV. Derechos de los interesados

Derecho de información

Toda persona tiene derecho a conocer cómo se tratan sus datos personales, incluyendo las finalidades, métodos y plazos de conservación.

Derecho de acceso

El interesado tiene derecho a confirmar si sus datos personales están siendo tratados y, en su caso, acceder a ellos.

Derecho de rectificación

Derecho a solicitar la corrección de datos inexactos o incompletos.

Derecho de supresión (“derecho al olvido”)

Derecho a solicitar la eliminación de datos personales en determinadas circunstancias previstas legalmente.

Derecho a la limitación del tratamiento

Derecho a solicitar restricciones en el tratamiento de los datos en determinadas situaciones.

Derecho a la portabilidad de los datos

Derecho a recibir los datos personales en un formato estructurado, de uso común y lectura mecánica, así como a transmitirlos a otro responsable del tratamiento.

Derecho de oposición

Derecho a oponerse al tratamiento basado en intereses legítimos o interés público, salvo que existan motivos legítimos imperiosos por parte del responsable.

En el caso de menores de 14 años, el tratamiento de sus datos requerirá el consentimiento del menor y la autorización adicional de sus padres o tutores legales. La información proporcionada deberá utilizar un lenguaje claro y adaptado a la edad del menor.

V. Obligaciones de los encargados y responsables del tratamiento

El encargado del tratamiento únicamente podrá tratar datos personales siguiendo las instrucciones documentadas del responsable del tratamiento.

Deberán implementarse medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales.

El encargado deberá cooperar con el responsable para facilitar el cumplimiento de sus obligaciones y garantizar los derechos de los interesados.

En caso de violación de seguridad o brecha de datos personales, el encargado deberá notificarlo inmediatamente al responsable, quien, cuando proceda, informará a la AEPD y a los afectados.

Los responsables y encargados deberán mantener un registro de actividades de tratamiento con información detallada sobre dichas actividades.

Cuando el tratamiento implique un alto riesgo para los derechos y libertades de las personas, por ejemplo mediante nuevas tecnologías, decisiones automatizadas con efectos jurídicos o tratamiento de datos de colectivos vulnerables, deberá realizarse una Evaluación de Impacto relativa a la Protección de Datos (EIPD) conforme al artículo 35 del GDPR.

Si persisten riesgos elevados, será necesaria una consulta previa ante la AEPD.

El responsable del tratamiento deberá designar un Delegado de Protección de Datos (DPO) en los casos previstos por el GDPR y la LOPDGDD. El nombramiento deberá notificarse oficialmente y el DPO deberá contar con conocimientos especializados en legislación y prácticas de protección de datos.

VI. Transferencias internacionales de datos

Cuando los datos personales se transfieran fuera del Espacio Económico Europeo, el responsable deberá garantizar un nivel adecuado de protección.

Dicha protección podrá basarse en decisiones de adecuación adoptadas por la Comisión Europea o mediante cláusulas contractuales tipo aprobadas oficialmente.

El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea declaró inválido el mecanismo “Privacy Shield”. Posteriormente, el 4 de junio de 2021, la Comisión Europea adoptó nuevas cláusulas contractuales tipo y la AEPD publicó orientaciones para garantizar transferencias internacionales conformes con el GDPR.

VII. Supervisión y cumplimiento

La Agencia Española de Protección de Datos (AEPD) es la autoridad competente encargada de supervisar y sancionar el tratamiento de datos personales en España.

En caso de infracción, la AEPD podrá imponer advertencias, limitaciones del tratamiento o sanciones económicas que, dependiendo de la gravedad de la infracción, podrán alcanzar importes de varios millones de euros.

Toda persona podrá establecer instrucciones sobre el destino de sus datos personales después de su fallecimiento. En ausencia de instrucciones específicas, el tratamiento de dichos datos deberá ajustarse a la normativa vigente.

Estas disposiciones tienen como finalidad garantizar una protección efectiva de los datos personales, asegurar el respeto de los derechos de los interesados y promover un tratamiento de datos legal, transparente y conforme a las obligaciones establecidas por el GDPR y la LOPDGDD.

VIII. Contacto

Si tiene preguntas relacionadas con la protección de datos personales o desea ejercer sus derechos conforme al GDPR y la LOPDGDD, puede ponerse en contacto con nuestro equipo de privacidad a través de los canales oficiales disponibles en nuestro sitio web.

Teléfono:+1(646)429-2743

Correo electrónico:team@deconestluxe.com

Dirección:4810 Norfolk Cir,Portage,MI 49024,United States

Horario de atención: De lunes a viernes, de 9:00 a 12:00 y de 14:00 a 18:00 (CET)