Diccionario GDPR

Términos comunes del GDPR en la A-Z de Privasee

La rendición de cuentas es uno de los principios clave del RGPD. Las organizaciones deben poder demostrar que cumplen el RGPD. Esto incluye disponer de políticas y procedimientos adecuados y poder demostrar que se siguen.

ACTA El ACTA es un acuerdo internacional que pretende establecer normas mundiales para la observancia de la propiedad intelectual. El acuerdo ha sido criticado por su falta de transparencia y por atentar potencialmente contra las libertades civiles.

Decisión de adecuación Una decisión de adecuación es una decisión de la Comisión Europea por la que se determina que la legislación de protección de datos de un país no perteneciente a la UE ofrece un nivel adecuado de protección de los datos personales que se transfieren de la UE a ese país.

Grupo de Trabajo del Artículo 29 (predecesor del EDPB ) El Grupo de Trabajo del Artículo 29 es un grupo de autoridades de protección de datos de los Estados miembros de la Unión Europea. El grupo ofrece orientación sobre cuestiones de protección de datos y coordina la aplicación de la legislación de protección de datos de la UE.

Desde el 25 de mayo de 2018, el Grupo de Trabajo del Artículo 29 dejó de existir y ha sido sustituido por el Consejo Europeo de Protección de Datos (CEPD).

Procedimiento del Comité del Artículo 93 El procedimiento del Comité del Artículo 93 es un proceso establecido por el Consejo de Seguridad de la ONU para investigar posibles infracciones de la Carta de la ONU. Permite al Consejo recabar información de los Estados miembros de la ONU y escuchar sus opiniones sobre el asunto investigado. El Comité también puede solicitar información a otras fuentes, como ONG y organizaciones internacionales.

Se trata de un comité en el sentido del Reglamento UE nº 182/2011.

Decisión individual automatizada Una decisión individual automatizada es una decisión tomada por un sistema informático en nombre de una persona. Este tipo de decisión puede tomarse sin la intervención de la propia persona.

Grupo de Berlín El Grupo de Berlín es una coalición de asociaciones europeas de banca y pagos minoristas que se han unido para definir y promover un estándar común para las transferencias y adeudos directos de la Zona Única de Pagos en Euros (SEPA).

Normas corporativas vinculantes Las normas corporativas vinculantes son un conjunto de normas internas que una empresa multinacional adopta para cumplir la legislación sobre protección de datos de la Unión Europea. Las normas son vinculantes para todas las filiales y sucursales de la empresa en la UE.

Reclamación Una reclamación GDPR es una reclamación presentada ante la autoridad de control en virtud del GDPR. Según el artículo 63, apartado 1, del Reglamento (UE) 2018/1725, "todo interesado tendrá derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos si considera que el tratamiento de los datos personales que le conciernen infringe el presente Reglamento".

Confidencialidad El principio de confidencialidad en virtud del GDPR establece que los datos personales deben tratarse de forma confidencial y no deben revelarse a terceros sin el consentimiento de la persona.

Consentimiento En el contexto del RGPD, el consentimiento se define como toda indicación libre, específica, informada e inequívoca de los deseos del interesado por la que este, mediante una declaración o una clara acción afirmativa, manifiesta su acuerdo con el tratamiento de los datos personales que le conciernen. (véase el artículo 4 sub 11 del Reglamento (UE) 2016/679 y el artículo 3 sub 15 del Reglamento (UE) 2018/1725).

Responsable del tratamiento Un responsable del tratamiento es una persona u organización que determina los fines y la forma en que se tratan los datos personales.

Cookies Las cookies son pequeños fragmentos de datos que se almacenan en el ordenador de un usuario cuando visita un sitio web. Suelen utilizarse para rastrear el comportamiento del usuario y recopilar información sobre sus hábitos de navegación. Según el RGPD, las cookies pueden considerarse datos personales si contienen información que pueda utilizarse para identificar a una persona concreta. En consecuencia, las empresas deben obtener el consentimiento explícito de los usuarios antes de instalar cookies o acceder a ellas en sus ordenadores.

Controlador de datos Un controlador de datos es una persona u organización que determina los fines para los que se procesan los datos personales y la forma en que se procesan. En virtud del Reglamento (UE) 2018/1725, así como del RGPD, el responsable del tratamiento es la parte que, sola o conjuntamente con otras, determina los fines y los medios del tratamiento de los datos personales.

Minimización de datos El principio de minimización de datos consiste en que las organizaciones sólo deben recopilar y utilizar la cantidad mínima de datos personales necesaria para lograr su finalidad específica. Esto significa que las organizaciones deben considerar cuidadosamente qué datos necesitan recopilar y eliminar cualquier dato que ya no sea necesario.

La minimización de datos es un elemento clave de la protección de datos y es especialmente importante cuando se trata de datos personales sensibles. Al recopilar y utilizar únicamente la cantidad mínima de datos necesaria, las organizaciones pueden reducir el riesgo de violación de datos y proteger la privacidad de sus clientes y empleados.

Véase el artículo 5, apartado 1, letra c), del RGPD y el artículo 4, apartado 1, letra c), del Reglamento (UE) 2018/1725.

Minería de datos La minería de datos es el proceso de extracción de información valiosa a partir de grandes conjuntos de datos. Consiste en clasificar grandes cantidades de datos para encontrar patrones y tendencias. La minería de datos puede utilizarse para encontrar relaciones entre distintos tipos de información, como los hábitos de compra de los clientes, o para predecir tendencias futuras, y se utiliza habitualmente en una amplia gama de prácticas de elaboración de perfiles, como el marketing, la vigilancia, la detección de fraudes y los descubrimientos científicos.

Autoridad de protección de datos La Autoridad de Protección de Datos es una autoridad independiente que vela por el respeto de los derechos de las personas en relación con sus datos personales.

El SEPD se establece como autoridad independiente de protección de datos a nivel de la UE en virtud del artículo 52 del Reglamento (UE) 2018/1725.

Coordinador de protección de datos Un coordinador de protección de datos es una persona responsable de garantizar el cumplimiento de las políticas de protección de datos de una organización. También puede ser responsable de la formación del personal en materia de protección de datos y de investigar cualquier violación de datos que se produzca.

Día de la Protección de Datos El 28 de enero de cada año se celebra el Día de la Protección de Datos.

Esta fecha marca el aniversario del Convenio 108 del Consejo de Europa, el primer instrumento internacional jurídicamente vinculante relacionado con la protección de datos.

Evaluación del impacto sobre la protección de datos (EIPD) Una Evaluación de Impacto sobre la Protección de Datos (EIPD) es un proceso que ayuda a las organizaciones a identificar y evaluar los riesgos para la protección de datos asociados a un proyecto o iniciativa específicos. El Reglamento General de Protección de Datos (RGPD) de la UE exige una EIPD cuando es probable que el tratamiento de datos suponga un alto riesgo para los derechos y libertades de las personas.

La EIPD es una herramienta que puede utilizarse para ayudar a las organizaciones a identificar y evaluar los riesgos asociados a un proyecto o iniciativa concretos. Es importante señalar que una EIPD no es un documento estático, sino un documento vivo que debe actualizarse a medida que evoluciona el proyecto o la iniciativa.

La EIPD debe llevarse a cabo al inicio de un proyecto o iniciativa y revisarse periódicamente. Debe considerarse un proceso continuo, no un ejercicio puntual.

El RGPD exige que se lleve a cabo una EIPD cuando sea probable que el tratamiento de datos suponga un alto riesgo para los derechos y libertades de las personas. Esto incluye el tratamiento que pueda dar lugar a un riesgo de daño físico o psicológico, o a un riesgo de discriminación, exclusión u otras consecuencias adversas.

Responsable de protección de datos Un responsable de protección de datos es una persona encargada de garantizar que los datos de una organización estén protegidos contra el acceso o la divulgación no autorizados. Suele ser responsable de desarrollar y aplicar políticas y procedimientos para salvaguardar los datos, así como de supervisar el cumplimiento por parte de la organización de las leyes y reglamentos de protección de datos (RPD).

Calidad de los datos La calidad de los datos GDPR es el proceso de garantizar que los datos recopilados por una organización sean precisos, completos y actualizados. Este proceso se puede utilizar para mejorar la calidad de los datos de los clientes, los datos de contacto, los datos financieros y otros tipos de datos. (Artículo 4 del Reglamento (UE) 2018/1725)

  • Legalidad, equidad y transparencia
  • Limitación de la finalidad
  • Minimización de datos
  • Precisión
  • Limitación de almacenamiento
  • Integridad y confidencialidad
  • Conservación de datos
  • La conservación de datos se refiere a todas las obligaciones de los responsables del tratamiento de conservar los datos personales para determinados fines.

Directiva de conservación de datos La Directiva de conservación de datos es una directiva de la Unión Europea que obliga a los Estados miembros a conservar datos con fines policiales y de seguridad nacional. La Directiva se introdujo por primera vez en 2006 y se modificó posteriormente en 2009. Obliga a los Estados miembros a conservar los datos durante un mínimo de seis meses y un máximo de dos años. Los datos que deben conservarse incluyen datos de comunicaciones, datos de tráfico y datos de localización.

Sujeto de los datos El interesado es la persona en cuestión cuyos datos personales se recogen, conservan o tratan.

Transferencia de datos La transferencia de datos en el GDPR se refiere al proceso de transferir datos de una parte a otra. Puede hacerse por medios electrónicos o físicos, y puede realizarse dentro o fuera de la UE.

Eurodac Eurodac es un sistema de la Unión Europea para la toma de huellas dactilares de solicitantes de asilo e inmigrantes ilegales. Se creó en 2000 para ayudar a los Estados miembros de la UE a identificar y devolver a las personas que habían entrado ilegalmente en la UE.

EDPB EDPB es el Consejo Europeo de Protección de Datos. Es un organismo independiente que fomenta la cooperación entre las autoridades de protección de datos de la Unión Europea.

Conferencia Europea La Conferencia Europea de autoridades de protección de datos de los Estados miembros de la UE y otros países europeos se reúne cada año en primavera.

SEPD El Supervisor Europeo de Protección de Datos (SEPD) es una autoridad de control independiente creada por la Unión Europea (UE) en 2004. Su objetivo es garantizar que la UE trate los datos personales de manera justa y proteja la intimidad de las personas.

El SEPD es responsable de supervisar el tratamiento de los datos personales por parte de la UE, incluida la garantía de que la UE cumple las disposiciones del Reglamento General de Protección de Datos (RGPD). El SEPD también proporciona orientación sobre cuestiones de protección de datos y promueve la sensibilización del público sobre los derechos y obligaciones en materia de protección de datos.

Directiva 2009/136/CE sobre la privacidad y las comunicaciones electrónicas

La Directiva sobre privacidad electrónica abarca el tratamiento de datos personales y la protección de la intimidad e incluye disposiciones sobre:

  • la seguridad de las redes y los servicios;
  • la confidencialidad de las comunicaciones;
  • acceso a los datos almacenados;
  • tratamiento de datos de tráfico y localización;
  • identificación de la línea llamante;
  • guías públicas de abonados; y
  • comunicaciones comerciales no solicitadas ("spam")

IWGDPT es el acrónimo de Grupo Internacional de Trabajo sobre Protección de Datos en las Telecomunicaciones.

Autoridades de Supervisión Conjuntas Una Autoridad de Supervisión Conjunta (ASC) es una autoridad de supervisión corresponsable de la supervisión de un determinado sector o actividad.

Es habitual que el SEPD supervise la unidad central de los sistemas informáticos a scale escala, mientras que el uso que hacen de ellos las autoridades de los Estados miembros es supervisado por las autoridades nacionales de protección de datos.

Sistemas informáticos a scale escala Los sistemas informáticos a scale escala son sistemas informatizados que dan soporte a grandes organizaciones y gestionan grandes cantidades de datos. Suelen utilizar ordenadores centrales y grandes bases de datos.

Datos personales Los datos personales son información que puede utilizarse para identificar a una persona. Esto incluye información como su nombre, dirección, número de teléfono y dirección de correo electrónico. Según el artículo 3, apartado 1, del Reglamento (UE) 2018/1725: ""datos personales": toda información sobre una persona física identificada o identificable ("interesado"); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular mediante un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos específicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona física;".

Las tecnologías de mejora de la privacidad (PET ) son herramientas informáticas que ayudan a proteger la privacidad de los usuarios cuando están en línea. Las PET pueden ayudar a evitar el rastreo en línea, proporcionar anonimato y cifrar las comunicaciones.

Privacidad desde el diseño La privacidad desde el diseño es un enfoque de la privacidad de los datos que hace hincapié en la necesidad de tener en cuenta la privacidad de los datos a lo largo del proceso de diseño de productos y servicios, en lugar de hacerlo a posteriori. El término fue acuñado por primera vez por Ann Cavoukian, Comisaria de Información y Privacidad de Ontario (Canadá), en la década de 1990.

Tratamiento (de datos personales) Acto de recopilar, almacenar, utilizar o compartir datos sobre una persona. Según el artículo 3, apartado 3, del Reglamento (UE) 2018/1725: "cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales o a conjuntos de datos personales, como la recogida, registro, organización, estructuración, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción."

Acuerdo de encargado del tratamiento Un acuerdo de encargado del tratamiento es un contrato entre una empresa y un encargado del tratamiento en el que se describen las responsabilidades de este último en el tratamiento de los datos de la empresa. El acuerdo debe especificar los tipos de datos que tratará el encargado del tratamiento, las obligaciones del encargado para proteger los datos y las consecuencias de cualquier incumplimiento del acuerdo.

Tratado de Prüm El Tratado de Prüm es un tratado firmado en 2005 por Alemania, Bélgica, España, Francia, Luxemburgo y los Países Bajos. El tratado permite la cooperación policial y judicial entre los Estados firmantes para combatir el terrorismo, la delincuencia transfronteriza y la inmigración ilegal.

Destinatario Según el artículo 3, apartado 13, del Reglamento (UE) 2018/1725 ""destinatario": una persona física o jurídica, autoridad pública, agencia u otro organismo, al que se comuniquen los datos personales, ya sea un tercero o no. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de dichos datos por dichas autoridades públicas se ajustará a las normas de protección de datos aplicables en función de los fines del tratamiento; "

Registros Para demostrar el cumplimiento del Reglamento (UE) 2018/1725, los responsables deben mantener registros de las actividades de tratamiento bajo su responsabilidad y los encargados deben mantener registros de las categorías de actividades de tratamiento bajo su responsabilidad.

Reglamento (CE) nº 45/2001 El Reglamento (CE) nº 45/2001 es un reglamento de la Unión Europea que establece la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios. El Reglamento se aplica a todo tratamiento de datos personales por parte de instituciones y organismos comunitarios, incluidos el Parlamento Europeo, el Consejo de la Unión Europea, la Comisión Europea, el Tribunal de Justicia de la Unión Europea, el Tribunal de Primera Instancia, el Comité Económico y Social Europeo, el Comité de las Regiones, el Defensor del Pueblo Europeo, el Supervisor Europeo de Protección de Datos y el Banco Europeo de Inversiones.

Periodos de conservación de datos El periodo de conservación de datos es el tiempo que se mantienen los datos antes de ser eliminados.

Derecho de acceso El derecho de acceso, también conocido como acceso del interesado, es un componente clave del RGPD. Concede a las personas el derecho a obtener confirmación de las organizaciones sobre si se están procesando o no sus datos personales, así como el acceso a dichos datos. Las personas también tienen derecho a conocer los fines para los que se tratan sus datos, los destinatarios de los mismos y el tiempo que se almacenarán.

Derecho a la información El derecho a la información es el derecho de una persona a acceder a la información que las organizaciones o el gobierno tienen sobre ella. Esta información puede incluir datos personales, historiales médicos o información financiera. El derecho a la información suele considerarse parte del derecho a la intimidad, y en muchos países está protegido por leyes de protección de datos.

Derecho de rectificación El derecho de rectificación es el derecho a que se corrijan los datos personales inexactos o incompletos.

Derecho de oposición El derecho de oposición es un derecho fundamental en virtud del Reglamento General de Protección de Datos (RGPD) de la UE. Concede a las personas físicas el derecho a oponerse al tratamiento de sus datos personales para determinados fines, incluida la mercadotecnia directa.

Según el Reglamento (UE) 2018/1725 "El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, al tratamiento de los datos personales que le conciernan, basado en el artículo 5, apartado 1, letra a), incluida la elaboración de perfiles basada en dicha disposición. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado o para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial."

Derecho a la restricción del tratamiento En virtud del RGPD, las personas tienen derecho a restringir el tratamiento de sus datos personales en determinadas circunstancias. Este derecho está pensado principalmente para permitir a las personas suspender temporalmente el uso de sus datos mientras se resuelve cualquier cuestión relacionada con la exactitud o el tratamiento de dichos datos.

Seguridad del tratamiento La seguridad del tratamiento es la capacidad de una empresa para proteger los datos del acceso, uso o divulgación no autorizados. Es responsabilidad de la empresa garantizar que los datos estén protegidos de estas amenazas. Hay muchas formas de proteger los datos, como la seguridad física, la seguridad lógica y el cifrado de datos.

Principio de puerto seguro El principio de puerto seguro es un principio jurídico que establece un proceso para que las empresas transfieran datos de la Unión Europea a Estados Unidos cumpliendo la legislación de protección de datos de la Unión Europea.

Categorías especiales de datos personales Las categorías especiales de datos personales incluyen los datos que revelan "el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, los datos genéticos, los datos biométricos destinados a identificar de manera unívoca a una persona física, los datos relativos a la salud o los datos relativos a la vida sexual o a la orientación sexual de una persona física" (artículo 10 del Reglamento (UE) 2018/1725; artículo 9 del GDPR).

Sistema de Información de Schengen (SIS) El Sistema de Información de Schengen (SIS) es un sistema a escala de la Unión Europea para el intercambio de información sobre personas y bienes. Lo utilizan la policía y otras autoridades para localizar a personas buscadas en relación con actividades delictivas e identificar bienes robados.

Violación de la seguridad Una violación de la seguridad del GDPR es cualquier acceso no autorizado o divulgación de datos personales. Esto incluye tanto los datos físicos como los electrónicos. También puede producirse una violación de la seguridad si los datos personales se pierden o son robados.

Tercer país Un tercer país es un país que no está sujeto al Reglamento General de Protección de Datos (RGPD).

Tercero Persona física o jurídica, autoridad pública, agencia u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas que, bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento, están autorizadas a tratar los datos.

Datos de tráfico Los datos de tráfico, generados por los proveedores de comunicaciones electrónicas y/o tratados por ellos, entran en el ámbito de aplicación del RGPD. Estos datos pueden incluir, entre otros, direcciones IP, actividad de navegación en sitios web y metadatos relativos a las comunicaciones. En virtud del RGPD, cualquier organización que procese datos personales de ciudadanos de la UE debe tomar medidas para proteger esos datos del acceso accidental o no autorizado, la destrucción, la alteración o el uso no autorizado. También deben garantizar que los datos son exactos y están actualizados, y que sólo se utilizan para los fines para los que fueron recogidos. Por último, deben tomar medidas para garantizar que las personas tengan derecho a acceder a sus propios datos personales y a ejercer los derechos que les confiere el RGPD.