# GDPR

El RGPD establece los requisitos específicos para empresas y organizaciones sobre recogida, almacenamiento y gestión de los datos personales. Se aplican tanto a las organizaciones europeas que tratan datos personales de ciudadanos en la UE como a las organizaciones que tienen su sede fuera de la UE y cuya actividad se dirige a personas que viven en la UE.

### ¿Cuándo se aplica el Reglamento general de protección de datos (RGPD)?

El RGPD se aplica cuando:

* la empresa trata datos personales y tiene su sede en la UE, independientemente de dónde se traten de hecho los datos
* la empresa tiene su sede fuera de la UE pero trata datos personales relativos a ofertas de bienes o servicios a ciudadanos en la UE, o supervisa el comportamiento de ciudadanos en la UE.

**Las empresas que no tienen sede dentro de la UE** y que tratan datos de ciudadanos de la UE deben nombrar un **representante en la UE**.

### ¿Cuándo no se aplica el Reglamento general de protección de datos (RGPD)? <a href="#inline-nav-2" id="inline-nav-2"></a>

El RGPD no se aplica cuando:

* el interesado ha fallecido
* el interesado es una persona jurídica
* el tratamiento de datos es efectuado por una persona que actúa con fines ajenos a sus actividades comerciales, empresariales o profesionales

### ¿Qué son los datos personales? <a href="#inline-nav-3" id="inline-nav-3"></a>

Los datos personales son cualquier información relacionada con una persona identificada o identificable, también denominada " **el interesado**". Ejemplos de datos personales:

* nombre y apellidos
* dirección
* número de documento de identidad/pasaporte
* ingresos
* perfil cultural
* dirección de protocolo internet (IP)
* datos en poder de hospitales o médicos (que identifican únicamente a una persona con fines sanitarios).

#### Categorías especiales de datos <a href="#inline-nav-4" id="inline-nav-4"></a>

No se pueden tratar datos personales sobre:

* origen racial o étnico
* orientación sexual
* opiniones políticas
* convicciones religiosas o filosóficas
* afiliación sindical
* datos genéticos, biométricos o sanitarios, salvo en casos específicos (por ejemplo, cuando se da un consentimiento explícito o cuando el tratamiento es necesario por razones de interés público esencial, sobre la base del Derecho nacional o de la UE)
* condenas e infracciones penales, a menos que lo autorice el Derecho nacional o de la UE.

### ¿Quién efectúa el tratamiento de los datos personales? <a href="#inline-nav-5" id="inline-nav-5"></a>

Durante el tratamiento, los datos personales pueden pasar por diferentes empresas u organizaciones. En ese proceso, hay dos figuras principales que gestionan el tratamiento de datos personales:

* **El responsable del tratamiento de los datos**, que decide el fin y la forma en que se tratan los datos.
* **El encargado del tratamiento de los datos**, que conserva y trata los datos en nombre de un responsable del tratamiento.

### ¿Cuándo está permitido el tratamiento de datos?

Las normas de protección de datos de la UE establecen que los datos deben tratarse de manera justa y lícita para un fin específico y legítimo y solo deben tratarse los necesarios para alcanzar ese objetivo. La empresa debe cerciorarse de que se cumple una de las siguientes condiciones para el tratamiento de los datos personales:

* el interesado ha dado su **consentimiento**
* los datos personales son necesarios para respetar una **obligación contractual** con el interesado
* los datos personales son necesarios para cumplir una **obligación legal**
* los datos personales son necesarios para proteger los **intereses vitales** del interesado
* los datos personales se tratan para una **misión de interés público**
* se actúa en **interés legítimo** de la empresa, siempre que en el tratamiento de los datos del interesado no se vean gravemente afectados los derechos y libertades fundamentales de este; si los derechos de esa persona prevalecen sobre los intereses de la empresa, no se pueden tratar sus datos personales.

### Violación de datos: proporcionar la notificación adecuada

Se considera **violación de datos** **la divulgación accidental o ilegal a destinatarios no autorizados de datos que sean responsabilidad de una empresa**, así como su indisponibilidad temporal o su modificación.

Si se produce una violación de datos que representa un riesgo para los derechos y las libertades individuales, es preciso notificarlo a la autoridad de protección de datos competente en un plazo de 72 horas a partir del momento en que se conozca la infracción.

En caso de que la violación de datos personales entrañe un alto riesgo para las personas afectadas, la empresa también puede estar obligada a informar a todos los afectados.

<br>