interactive GDPR 2016/0679 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- datos personales
- tratamiento
- limitación del tratamiento
- elaboración de perfiles
- seudonimización
- fichero
- responsable del tratamiento
- encargado del tratamiento
- destinatario
- tercero
- consentimiento del interesado
- violación de la seguridad de los datos personales
- datos genéticos
- datos biométricos
- datos relativos a la salud
- establecimiento principal
- representante
- empresa
- grupo empresarial
- normas corporativas vinculantes
- autoridad de control
- autoridad de control interesada
- tratamiento transfronterizo
- objeción pertinente y motivada
- servicio de la sociedad de la información
- organización internacional
- tratamiento 39
- evaluación 15
- protección 14
- responsable 14
- artículo 12
- unión 12
- datos 11
- datos_personales 11
- impacto 10
- interesados 9
- operaciones 9
- apartado 8
- relativa 7
- refiere 7
- para 7
- derechos 7
- el 7
- encargado 7
- presente 6
- la 6
- lugar 6
- derecho 5
- reglamento 5
- miembros 5
- autoridad_de_control 5
- como 5
- contexto 5
- actividades 5
- efectos 5
- personas 5
- estados 5
- particular 5
- conformidad 4
- cuando 4
- listas 4
- relación 4
- trabajo 4
- base 4
- laboral 4
- libertades 4
- físicas 4
- representante 4
- bienes 4
- relativos 3
- cumplimiento 3
- cuenta 3
- sistemática 3
- esas 3
- escala 3
- riesgos 3
Artículo 3
Ámbito territorial
1. El presente Reglamento se aplica al tratamiento de datos_personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
2. El presente Reglamento se aplica al tratamiento de datos_personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
| a) | la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o |
| b) | el control de su comportamiento, en la medida en que este tenga lugar en la Unión. |
3. El presente Reglamento se aplica al tratamiento de datos_personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.
Artículo 27
Representantes de responsables o encargados del tratamiento no establecidos en la Unión
1. Cuando sea de aplicación el artículo 3, apartado 2, el responsable o el encargado del tratamiento designará por escrito un representante en la Unión.
2. La obligación establecida en el apartado 1 del presente artículo no será aplicable:
| a) | al tratamiento que sea ocasional, que no incluyan el manejo a gran escala de categorías especiales de datos indicadas en el artículo 9, apartado 1, o de datos_personales relativos a condenas e infracciones penales a que se refiere el artículo 10, y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento, o |
| b) | a las autoridades u organismos públicos. |
3. El representante estará establecido en uno de los Estados miembros en que estén los interesados cuyos datos_personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado.
4. El responsable o el encargado del tratamiento encomendará al representante que atienda, junto al responsable o al encargado, o en su lugar, a las consultas, en particular, de las autoridades de control y de los interesados, sobre todos los asuntos relativos al tratamiento, a fin de garantizar el cumplimiento de lo dispuesto en el presente Reglamento.
5. La designación de un representante por el responsable o el encargado del tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado.
Artículo 35
Evaluación de impacto relativa a la protección de datos
1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos_personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
2. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:
| a) | evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración_de_perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar; |
| b) | tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos_personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o |
| c) | observación sistemática a gran escala de una zona de acceso público. |
4. La autoridad_de_control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1. La autoridad_de_control comunicará esas listas al Comité a que se refiere el artículo 68.
5. La autoridad_de_control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. La autoridad_de_control comunicará esas listas al Comité.
6. Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad_de_control competente aplicará el mecanismo de coherencia contemplado en el artículo 63 si esas listas incluyen actividades de tratamiento que guarden relación con la oferta de bienes o servicios a interesados o con la observación del comportamiento de estos en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulación de datos_personales en la Unión.
7. La evaluación deberá incluir como mínimo:
| a) | una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento; |
| b) | una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad; |
| c) | una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y |
| d) | las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos_personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas. |
8. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 por los responsables o encargados correspondientes se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos.
9. Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.
10. Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a las actividades de tratamiento.
11. En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.
Artículo 88
Tratamiento en el ámbito laboral
1. Los Estados miembros podrán, a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos_personales de los trabajadores en el ámbito laboral, en particular a efectos de contratación de personal, ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, gestión, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados o clientes, así como a efectos del ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral.
2. Dichas normas incluirán medidas adecuadas y específicas para preservar la dignidad humana de los interesados así como sus intereses legítimos y sus derechos fundamentales, prestando especial atención a la transparencia del tratamiento, a la transferencia de los datos_personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta y a los sistemas de supervisión en el lugar de trabajo.
3. Cada Estado miembro notificará a la Comisión las disposiciones legales que adopte de conformidad con el apartado 1 a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior de las mismas.
whereas
dal 2004 diritto e informatica