interactive GDPR 2016/0679 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- datos personales
- tratamiento
- limitación del tratamiento
- elaboración de perfiles
- seudonimización
- fichero
- responsable del tratamiento
- encargado del tratamiento
- destinatario
- tercero
- consentimiento del interesado
- violación de la seguridad de los datos personales
- datos genéticos
- datos biométricos
- datos relativos a la salud
- establecimiento principal
- representante
- empresa
- grupo empresarial
- normas corporativas vinculantes
- autoridad de control
- autoridad de control interesada
- tratamiento transfronterizo
- objeción pertinente y motivada
- servicio de la sociedad de la información
- organización internacional
- tratamiento 32
- responsable 27
- encargado 23
- para 17
- datos_personales 15
- artículo 14
- otro 14
- apartado 12
- derecho 12
- presente 10
- apartados 8
- unión 7
- contrato 7
- jurídico 7
- estados 7
- miembros 7
- artículo 6
- cumplimiento 6
- acto 6
- obligaciones 6
- interesado 6
- refieren 6
- medidas 6
- este 5
- datos 5
- cuenta 5
- conformidad 5
- fines 5
- podrá 4
- protección 4
- reglamento 4
- el 4
- público 4
- arreglo 4
- interés 4
- dicho 4
- técnicas 4
- tipo 4
- naturaleza 4
- información 4
- obligación 4
- respecto 3
- dispuesto 3
- legal 3
- hayan 3
- aplique 3
- virtud 3
- artículos 3
- cualquier 3
- refiere 3
Artículo 17
Derecho de supresión («el derecho al olvido»)
1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos_personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos_personales cuando concurra alguna de las circunstancias siguientes:
| a) | los datos_personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo; |
| b) | el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico; |
| c) | el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2; |
| d) | los datos_personales hayan sido tratados ilícitamente; |
| e) | los datos_personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento; |
| f) | los datos_personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1. |
2. Cuando haya hecho públicos los datos_personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos_personales de la solicitud del interesado de supresión de cualquier enlace a esos datos_personales, o cualquier copia o réplica de los mismos.
3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:
| a) | para ejercer el derecho a la libertad de expresión e información; |
| b) | para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable; |
| c) | por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3; |
| d) | con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o |
| e) | para la formulación, el ejercicio o la defensa de reclamaciones. |
Artículo 28
Encargado del tratamiento
1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos_personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
| a) | tratará los datos_personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos_personales a un tercer país o una organización_internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público; |
| b) | garantizará que las personas autorizadas para tratar datos_personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria; |
| c) | tomará todas las medidas necesarias de conformidad con el artículo 32; |
| d) | respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento; |
| e) | asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III; |
| f) | ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado; |
| g) | a elección del responsable, suprimirá o devolverá todos los datos_personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos_personales en virtud del Derecho de la Unión o de los Estados miembros; |
| h) | pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable. |
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.
4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
5. La adhesión del encargado del tratamiento a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo.
6. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive cuando formen parte de una certificación concedida al responsable o encargado de conformidad con los artículos 42 y 43.
7. La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de examen a que se refiere el artículo 93, apartado 2.
8. Una autoridad_de_control podrá adoptar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el mecanismo de coherencia a que se refiere el artículo 63.
9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico.
10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.
whereas
dal 2004 diritto e informatica