Reglamento 2016/679

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «datos personales». toda información sobre una persona física identificada o identificable («el interesado»). toda información sobre una persona jurídica identificada o identificable («el interesado»). toda información sobre una persona física disociable («el interesado»). toda información sobre una persona física («el interesado»).

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones persona física identificable. toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. toda persona física, jurídica, autoridad pública, servicio u otro organismo que sólo o de forma conjunta con otros determinan los fines y medios sobre el tratamiento de unos datos personales. toda persona cuya identidad está determinada. todo tipo de información sobre una persona física identificada o identificable. Para considerar a una persona identificable su identidad se debe poder determinar de forma directa o indirecta.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «tratamiento». Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. Manera de nombrar a una persona al dirigirse a ella o al hablar de ella, según su categoría, su condición social, su edad u otras características. Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la emisión, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como la disociación de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Actos realizados sobre personas físicas, por procedimientos de cualquier tipo, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «limitación del tratamiento». marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro. se conceptúa en el Reglamento como un derecho de los interesados igual al regulado en la legislación nacional como derecho “al boqueo de datos” . En todo caso, resulta necesario señalar que el reconocimiento o inclusión del derecho a la limitación del tratamiento implica la desaparición de la figura conocida como “bloqueo.”. consiste en reconocer la potestad de los interesados de ofrecer al Responsable del tratamiento o fichero, una limitación del tratamiento de sus datos personales. el derecho a la limitación del tratamiento permite al titular, cuyos datos personales son objeto de tratamiento, solicitar al responsable del fichero que aplique restricciones sobre datos personales para evitar su actualización o, en su caso, su borrado o supresión.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «elaboración de perfiles». toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física. conjunto sinérgico de conocimientos, habilidades, experiencias, sentimientos, actitudes, motivaciones, características personales y valores, basado en la idoneidad demostrada, asociado a un desempeño superior del trabajador y de la organización, en correspondencia con las exigencias técnicas, productivas y de servicios. Es requerimiento esencial que esas competencias sean observables, medibles y que contribuyan al logro de los objetivos de la organización. Por perfilado (profiling) o elaboración de un perfil de una persona física significa, conforme a la definición dada en el artículo 4.4) del Reglamento (UE) 2016/679 (en adelante RGPD), se entiende "toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona jurídica". En el artículo 4 del Reglamento se define la elaboración de perfiles como la confección de disociaciones individuales basadas en un tratamiento automatizado o no de datos destinado a evaluar aspectos personales.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «seudonimización». tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. procedimiento de gestión de datos donde se actualizan campos de información personal dentro de un registro de datos generales por uno o más identificadores artificiales o pseudónimos. Es una técnica de tratamiento de los datos personales, de forma que se pueda reconocer la identidad de una persona sin utilizar información adicional. Se trata de un método cuya finalidad es disminuir el vínculo que hay, lo máximo posible, entre los datos y su propietario. La seudonimización se encuentra definida en el Art. 5.5) del Reglamento, como la información que, sin incluir los datos denominativos de un sujeto afectado permiten, a través de la disociación con información adicional, determinar quién es el individuo que está detrás de los datos seudonimizados.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «fichero». todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica. Se le llama fichero a un conjunto de información clasificada y almacenada de diversas formas para su conservación y fácil acceso en cualquier momento. todo conjunto organizado de datos ganerales, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. El artículo 56 a) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, reconoce el derecho de los ciudadanos a obtener copia de los documentos contenidos en los procedimientos en los que tengan la condición de interesados. A tal efecto la Agencia Española de Protección de Datos pone a disposición de los interesados un formulario normalizado a través del cual se puede obtener una copia de la Inscripción de sus Ficheros.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «responsable del tratamiento» o «responsable». persona física/ jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros. El responsable del tratamiento aplica los fines y los medios relacionados con el tratamiento de los datos personales. De modo que, si decide «por qué» y «cómo» deberán tratarse los datos personales, usted es el interesado. Los empleados que realizan el tratamiento de los datos personales en su organización lo hacen en cumplimiento de las funciones que usted ejerce como responsable del tratamiento. es la persona jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los alcances y medios del tratamiento. persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «encargado del tratamiento» o «encargado». persona física/jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. cualquier persona física o jurídica, en los términos indicados, que decida sobre el tratamiento de los datos personales será considerada encargado del tratamiento. decide la creación del fichero, la finalidad del tratamiento, así como el contenido y el uso de los datos almacenados en ese fichero.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «destinatario». persona física/ jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento. la persona física al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que 4.5.2016 ES Diario Oficial de la Unión Europea L 119/33 puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento. persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado. persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «tercero». persona física/jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado. persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento. la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que 4.5.2016 ES Diario Oficial de la Unión Europea L 119/33 puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento. Cualquier organización, persona o entidad que determine los propósitos y medios para el tratamiento de datos personales, controle los datos y sea responsable de ello, solo o conjuntamente. Ejemplos donde el responsable del tratamiento es un persona física incluyen médicos generales, farmaceúticos y políticos, donde estas personas físicas conservan información personal acerca de sus pacientes, clientes o votantes, etc. Ejemplos de organizaciones que pueden ser responsables de tratamientos, pueden ser con o sin fines de lucro, privadas o públicas, grandes o pequeñas, las cuales mantienen información personal acerca de sus empleados, clientes, etc.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «consentimiento del interesado». toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. “Documento firmado por el solicitante, que acompaña a la instancia principal normalmente en el inicio de un expediente para el ejercicio de una actividad empresarial o profesional, en el que declara, bajo su responsabilidad, que cumple con todos los requisitos exigidos por la normativa sectorial”. instrumento utilizado por el destinatario que se puede plasmar en forma de ficha de datos, formulario o cuestionario donde se recogen datos personales de forma ordenada y metódica. procedimiento mediante el cual se garantiza que el sujeto ha expresado voluntariamente su intención de participar en la gestión, después de haber comprendido la información que se le ha dado, acerca de los objetivos del estudio, los beneficios, las molestias, las posibles consecuencias.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «violación de la seguridad de los datos personales». toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Una violación de la seguridad de los datos se produce cuando los datos del tercero sufren un incidente de seguridad que da lugar a la violación de la confidencialidad, disponibilidad o integridad de los datos. Si esto ocurre, y es posible que la violación ponga en riesgo los derechos y libertades de una persona, deberán notificar a la autoridad de control sin demora y a más tardar 48 horas después de que hayan tenido constancia de ello. Si es interesado deberá notificar cada violación de la seguridad de los datos al encargado del tratamiento. Una violación de seguridad de los datos personales no incluye cualquier tipo de violación de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso autorizado a dichos datos. accesos no informados ante repositorios de datos sensibles.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «datos genéticos». datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona. datos que recolectan información que se almacena en bases de datos a través de internet, los derechos de los titulares de los datos recolectados se tornan en un asunto de fundamental importancia. El reglamento europeo de protección de datos entiende que los datos personales deben ser considerados y tratados como datos de carácter sensible. Esto quiere decir que debemos cumplir unos requisitos para tratar dichos datos. Según el art. 4 del RGPD, se definen como aquellos “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «datos biométricos». datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos. Las bases de datos biométricas almacenan el perfil genético de los interesados. De este modo, las muestras biométricas extraídas pueden cotejarse con el perfil genético. Esta misma línea, se sigue también en la Declaración Internacional de la UNESCO sobre protección de Datos Biométricos Humanos, de 2003, según la cual, son datos biométricos humanos la información sobre las características hereditarias de las personas, obtenida por análisis de ácidos nucleicos u otros análisis científicos. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «datos relativos a la salud». datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud. Sin perjuicio de lo que se dispone en el artículo 8 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad. En su artículo 8.15, se definen “como datos personales relativos a la salud una persona , incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”. datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «establecimiento principal». en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión • salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal • o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento. en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión • salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal • o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento. en lo que se refiere a un responsable del tratamiento con establecimientos en la Unión Europea, el lugar de su administración general: • salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal • o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento. en lo que se refiere a un responsable del tratamiento con establecimientos en la Unión Europea, el lugar de su administración general: • salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en el extranjero y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal • o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «representante». persona física/jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento. persona jurídica que actúa en nombre del responsable para realizar diversos trámites. Puede asumir compromisos y tomar decisiones que serán atribuidas al tratamiento como persona jurídica. Serán por tanto respresentantes del tratamiento y deberán determinar de forma transparente y de mutuo acuerdo, qué responsabilidad ostentan cada uno en cumplimiento de las obligaciones que marca el RGPD. Para ello, deberán formalizar un acuerdo, en el que se expresen dichas obligaciones y en particular, en el que se indique la forma en la que los interesados serán informados, así como el punto de contacto para ejercitar el derecho de acceso. Dicho acuerdo o un resumen del mismo deberá estar a disposición de los interesados. El órgano competente para la tramitación del procedimiento deberá incorporar al expediente administrativo acreditación de la condición de representante y de los poderes que tiene reconocidos en dicho momento. El documento electrónico que acredite el resultado de la consulta al registro electrónico de apoderamientos correspondiente tendrá la condición de acreditación a estos efectos.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «empresa». persona física/jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica. entidad con personalidad jurídica dedicada a una actividad financiera, incluidas las organizaciones o asociaciones que desempeñen regularmente una actividad administrativa. persona física (autónoma) o jurídica dedicada a una actividad administrativa, dependiente de un organismo público, incluidas las entidades u organismos que desempeñen regularmente una actividad sin ánimo de lucro. persona jurídica responsable de una actividad relacionada con el tratamiento de datos personales, que desempeñen regularmente una actividad estadística y de investigación.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «grupo empresarial». grupo constituido por una empresa que ejerce el control y sus empresas controladas. La determinación de la empresa que ejerce el control, se realizará mediante la identificación de aquella que pueda ejercer una influencia dominante en las otras empresas, por razones, por ejemplo, de propiedad, participación financiera, normas por las que se rige, o poder de hacer cumplir las normas de protección de datos personales. Por ello, una empresa que controle el tratamiento de los datos personales en las empresas que estén afiliadas debe considerarse, junto con dichas empresas, «grupo empresarial. conjunto de una o más sociedades dependientes jurídicamente entre sí, pero que se encuentran bajo un control o jerarquización ejercido por una matriz o subordinante y sometidas a una dirección unitaria que determina los lineamientos de cada una de ellas. conglomerado de que dependen todas de una misma empresa subordinada, porque ésta tiene una participación económica suficiente en su capital como para tomar las decisiones. existe un grupo cuando una empresa ostente o pueda ostentar, directa o indirectamente, el tratamiento de otra u otras. En particular, se presumirá que existe coordinación cuando una sociedad, que se calificará como subordinada, se encuentre en relación con otra sociedad, que se calificará como responsable.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «normas corporativas vinculantes». políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta. códigos de conducta que redactan y pueden seguir o no organizaciones multinacionales y que contienen medidas internas pensadas para poner en práctica principios de protección de datos. herramienta que puede ser usada para proteger adecuadamente los datos personales cuando se transfiere o procesa fuera la Unión Europea. herramienta de regulación cuya implementación permite a grupos de empresas realizar transferencias internacionales de datos personales desde sus filiales situadas dentro de la Unión Europea hacia filiales situadas en terceros países, respetando las garantías legales exigidas a nivel estatal.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «autoridad de control». autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51. • Debemos señalar que el citado artículo 51 define y configura como una autoridad pública independiente, cuya función principal será supervisar la aplicación del Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión. Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante «autoridad de control») informar del Reglamento, con el fin de reconocer los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en el estado. autoridades privadas dependientes que supervisan, mediante los poderes de investigación y correctivos, la aplicación de la legislación sobre protección de datos. Estas ofrecen asesoramiento experto en cuestiones relacionadas con la protección de datos y tramitan reclamaciones presentadas por la violación del Reglamento general de protección de datos y las legislaciones nacionales pertinentes. Existe una en cada Estado miembro de la UE. órgano colegiado que asume la responsabilidad principal sobre el control de una actividad de tratamiento transfronterizo, por ejemplo, cuando se investiga a una persona jurídica que realiza una actividad de tratamiento en varios Países.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «autoridad de control interesada». la autoridad de control a la que afecta el tratamiento de datos personales debido a que: • el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control • los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento o • se ha presentado una reclamación ante esa autoridad de control. Autoridad de control interesada es la autoridad de control a la que afecta el tratamiento de datos personales debido a que: - El responsable del tratamiento pero no el encargado está establecido en el territorio del Estado miembro de esa autoridad de control. - Los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento. - Se ha presentado una reclamación ante esa autoridad de control. La Agencia Española de Protección de Datos (AEPD) es la autoridad de control interesada independiente que vela por el cumplimiento de la normativa de protección de datos y garantiza y tutela el derecho fundamental a la protección de datos de carácter personal. El GDPR define a la Autoridad de control interesada en el artículo 3, apartado 21, como la autoridad pública dependiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 53.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «tratamiento transfronterizo». tratamiento de datos personales realizado en el contexto de las actividades - de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro - de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro. - tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un País, si el responsable o el encargado está establecido en un único Estado miembro, o - al tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro. si se realiza el tratamiento de datos en los mismos países, la APD competente (que será la autoridad principal en sus relaciones con otras APD implicadas en la UE) es la APD del país de la UE en el que tenga su establecimiento principal. El articulado del RGPD no contiene una definición pero su significado puede inferirse del considerando 101, que se refiere a la transferencia como al flujo fronterizo de datos personales a, y desde, países no pertenecientes a la UE y organizaciones internacionales.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «objeción pertinente y motivada». objeción a una propuesta de decisión sobre: - la existencia o no de infracción del presente Reglamento - la conformidad con el presente Reglamento de acciones previstas en relación con el responsable o el encargado del tratamiento …. que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión. objeción de cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. marcado de los datos de carácter personal justificado respecto a datos conservados con el fin de limitar su tratamiento en el futuro. disconformidad estructurada de datos personales, no accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «servicio de la sociedad de la información». todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (19) La Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, tiene por objeto establecer un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información. Todo servicio prestado normalmente a título presencial, a distancia, por vía electrónica y a petición individual del responsable. El concepto de servicio de la sociedad de la información comprende también los servicios remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios. Las sociedades de la información se caracterizan por basarse en el conocimiento y en los esfuerzos por convertir los datos en conocimiento. Cuanto mayor es la cantidad de información generada por una empresa, mayor es la necesidad de convertirla en información. Movimiento que surge por la preeminencia de las nuevas tecnologías de la información en todas las esferas relacionadas con la protección de datos.

CAPÍTULO I. DISPOSICIONES GENERALES Artículo 4 Definiciones «organización internacional». organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo. asociación formada por sujetos de Derecho Internacional Privado y regulada por un conjunto de normas generales, con miembros, alcance, o presencia internacional y unos fines particulares. grupo o asociación que se extiende más allá de las fronteras de un Estado y que adopta una estructura orgánica no permanente. Concepto éste muy amplio que puede englobar diferentes tipos de organizaciones transnacionales. realización armónica de los movimientos migratorios en todo el mundo, en las condiciones más favorables, el asentamiento e integración de los grupos en la estructura económica y social del país de acogida, es frecuentemente necesario prestar servicios transfronterizos en el plano internacional.

CAPÍTULO II. Principios Artículo 5 Principios relativos al tratamiento Los datos personales NO serán: tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»). recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»). adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»). generales y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»).

CAPÍTULO II. Principios Artículo 5 Principios relativos al tratamiento Los datos personales NO serán: mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»). exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»). tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»). tratados de manera lícita, leal y transparente en relación con el responsable («licitud, lealtad y transparencia»).

CAPÍTULO II. Principios Artículo 5 Principios relativos al tratamiento El responsable del tratamiento será: responsable de establecer la normativa de lo dispuesto en el apartado 1. responsable de establecer la normativa de lo dispuesto en el apartado 1 y capaz de digitalizarlo («responsabilidad proactiva»). capaz de demostrarlo («responsabilidad activa») y responsable del cumplimiento de lo dispuesto en el apartado 1. responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).

CAPÍTULO II. Principios Artículo 6 Licitud del tratamiento El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. el responsable del tratamiento aceptó el consentimiento para el tratamiento de fines contemplados en dicho consentimiento. el tratamiento es necesario para la ejecución de un convenio. el tratamiento es necesario para la cobertura de intereses legítimos perseguidos por el responsable del fichero.

CAPÍTULO II. Principios Artículo 6 Licitud del tratamiento El tratamiento solo será lícito si se NO cumple una de las siguientes condiciones: el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. el tratamiento es necesario para proteger intereses lícitos del interesado o de otra persona jurídica.

CAPÍTULO II. Principios Artículo 6 Licitud del tratamiento El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: el tratamiento es necesario para desproteger intereses vitales del interesado o de otra persona física. el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales. el responsable del tratamiento dio su consentimiento para definir la finalidad de los datos personales del interesado para uno o varios fines específicos.

CAPÍTULO II. Principios Artículo 6 Licitud del tratamiento El tratamiento NO será lícito si se cumple una de las siguientes condiciones: el interesado acreditó el consentimiento informado de modo que el tratamiento de sus datos personales se destinase a uno o varios fines específicos. el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño esto no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

CAPÍTULO II. Principios Artículo 7 Condiciones para el consentimiento Cuando el tratamiento se base en el consentimiento del interesado: el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales. el interesado deberá ser capaz de demostrar que consintió el tratamiento de sus datos personales. el responsable podrá demostrar que aquel consintió el tratamiento de sus datos personales. el interesado será capaz de demostrar que consintió el tratamiento de sus datos personales.

CAPÍTULO II. Principios Artículo 7 Condiciones para el consentimiento Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos. • de forma inteligible • de fácil acceso • utilizando un lenguaje claro y sencillo. • de modo veraz • de fácil búsqueda • utilizando un lenguaje claro y sencillo. • de modo veraz • de fácil localización • adaptando el lenguaje al medio. • de modo inteligible • de fácil permiso • adaptando un lenguaje claro y sencillo.

CAPÍTULO II. Principios Artículo 7 Condiciones para el consentimiento Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento. Será vinculante ninguna parte de la declaración que constituya infracción de la presente Ley. Será perceptivo a la declaración que constituya infracción de la presente Norma. Será no vinculante ninguna parte de la declaración que constituya infracción del presente Decreto.

CAPÍTULO II. Principios Artículo 7 Condiciones para el consentimiento El interesado tendrá derecho a retirar su consentimiento en cualquier momento, señala la incorrecta: Este hecho no afectará a la licitud del tratamiento (Artículo 6) basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo. Se ofrecerá de oficio la asistencia necesaria para su ejecución.

CAPÍTULO II. Principios Artículo 7 Condiciones para el consentimiento Al evaluar si el consentimiento se ha dado libremente... se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato. se tendrá en cuenta en todo caso el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato. no se tendrá en cuenta, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato. se tendrá en cuenta la ejecución de un contrato, incluida la cancelación de un servicio supeditada al consentimiento del tratamiento de datos personales que son necesarios para la ejecución del mismo.

CAPÍTULO III: Derechos del interesado - SECCIÓN 2. INFORMACIÓN Y ACCESO A LOS DATOS PERSONALES Artículo 15 Derecho de acceso del interesado El interesado tendrá derecho a (señale la incorrecta): obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen. fines del tratamiento. categorías de datos personales de que se trate. responsables del tratamiento o las categorías de terceros a los que se comunicaron o serán comunicados los datos personales.

CAPÍTULO III: Derechos del interesado - SECCIÓN 2. INFORMACIÓN Y ACCESO A LOS DATOS PERSONALES Artículo 15 Derecho de acceso del interesado El interesado tendrá derecho a (señale la incorrecta): destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales. en todo caso, plazo previsto de conservación de los datos personales. existencia del derecho a solicitar del responsable - la rectificación o supresión de datos personales - la limitación del tratamiento de datos personales relativos al interesado - la oposición al tratamiento de datos personales relativos al interesado. presentar una reclamación ante una autoridad de control.

CAPÍTULO III: Derechos del interesado - SECCIÓN 2. INFORMACIÓN Y ACCESO A LOS DATOS PERSONALES Artículo 15 Derecho de acceso del interesado El interesado tendrá derecho a (señale la incorrecta): presentar una reclamación de responsabilidad patrimonial ante una autoridad de control inetresada. cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen. la existencia de decisiones automatizadas - incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4 - en tales casos, al menos, a la información significativa sobre la lógica aplicada 1. la importancia 2. las consecuencias previstas. fines del tratamiento.

CAPÍTULO III: Derechos del interesado - SECCIÓN 3: RECTIFICACIÓN Y SUPRESIÓN Artículo 16 Derecho de rectificación El interesado tendrá derecho a: obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. obtener en un plazo de 10 días del responsable del fichero la rectificación de los datos personales inexactos que le conciernan. obtener en un plazo de 1 mes del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. pedir valorar la posibilidad de obtener del responsable del fichero la rectificación de los datos personales inexactos que le conciernan.

CAPÍTULO III: Derechos del interesado - SECCIÓN 3: RECTIFICACIÓN Y SUPRESIÓN Artículo 16 Derecho de rectificación Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a. que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional. que se actualicen los datos inexactos, inclusive mediante una declaración responsable. que se completen los datos facilitados, salvo una declaración adicional. que se actualicen los datos inexactos, salvo existir una declaración responsable.

CAPÍTULO III: Derechos del interesado - SECCIÓN 3: RECTIFICACIÓN Y SUPRESIÓN Artículo 17 Derecho de supresión («el derecho al olvido») El interesado tendrá derecho a obtener. sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan cuando concurra alguna de las circunstancias definidas en el artículo 17. sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan cuando concurra alguna de las circunstancias definidas en el artículo 15. en un plazo de 15 días del responsable del tratamiento la supresión de los datos personales que le conciernan cuando concurra alguna de las circunstancias definidas en el artículo 17. en un plazo inferior a 20 días del responsable del tratamiento la supresión de los datos personales que le conciernan cuando concurra alguna de las circunstancias definidas en el artículo 15.

CAPÍTULO III: Derechos del interesado - SECCIÓN 3: RECTIFICACIÓN Y SUPRESIÓN Artículo 17 Derecho de supresión («el derecho al olvido») El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan cuando concurra una de las circunstancias siguientes: datos personales que ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados. datos personales que hayan sido tratados lícitamente. datos personales que se hayan obtenido en relación con la oferta directa a menores de 12 años de servicios de la sociedad de la información. datos personales que puedan suprimirse para el cumplimiento de una normativa legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del fichero.

CAPÍTULO III: Derechos del interesado - SECCIÓN 3: RECTIFICACIÓN Y SUPRESIÓN Artículo 17 Derecho de supresión («el derecho al olvido») El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan cuando concurra una de las circunstancias siguientes: que retire el consentimiento en que se basa el tratamiento cuando lo dio para uno o varios fines específicos y este no se base en un fundamento jurídico. que se oponga al tratamiento por motivos relacionados con su situación sentimental y profesional. que se oponga al tratamiento por motivos relacionados con el consentimiento del tratamiento de datos con objeto la mercadotecnia indirecta. datos personales que sean necesarios en relación con los fines para los que fueron recogidos o tratados.