Glosario

El Sistema de Cumplimiento es el conjunto de elementos, interrelacionados, que garantizan el cumplimiento legal de lo previsto en todas las normas de protección de datos en los procesos de una organización.

Son elementos del sistema:

• Un registro de operaciones de tratamiento
• Una descripción del ciclo de vida del dato
• Un registro de activos de apoyo
• Un registro de encargados del tratamiento
• Un análisis de riesgos
• Un Plan de Tratamiento de Riesgos
• Un registro de incidencias, o brechas de seguridad
• Un conjunto de recursos legales (cláusulas, contratos), técnicos (medidas de seguridad) y organizativos (políticas, procesos, procedimientos, instrucciones).
• Los puntos de control
• Las auditorías periódicas

Estos son los tipos de datos por cada categoría:

Datos identificativos y de contacto:

• Nombre y apellidos
• Teléfonos
• E-mail
• DNI
• Dirección
• nºSS
• Imagen
• Voz
• Marcas físicas
• Firma electrónica

Características personales:

• Estado civil
• Datos de familia
• Fecha de nacimiento
• Edad
• Sexo
• Nacionalidad
• Lengua materna
• Características físicas o antropométricas

De circunstancias sociales:

• Características de alojamiento
• Vivienda
• Situación militar
• Propiedades
• Posesiones
• Aficiones y estilo de vida
• Pertenencia a clubes y asociaciones
• Licencias, permisos, autorizaciones

Datos académicos y profesionales:

• Formación y titulaciones
• Historial del estudiante
• Experiencia profesional
• Pertenencia a colegios o a asociaciones profesionales

Detalles de empleo:

• Profesión
• Puestos de trabajo
• Datos no económicos de nómina
• Historial del trabajador

Información comercial:

• Atividades y negocios
• Licencias comerciales
• Suscripciones a publicaciones/medios de comunicación
• Creaciones artísticas, literarias, científicas o técnicas

Económicos, financieros y de seguros:

• Ingresos y rentas
• Inversiones
• Bienes patrimoniales
• Créditos
• Préstamos, avales
• Datos bancarios (c/c)
• Planes de pensiones; jubilación
• Datos económicos de nómina
• Datos de deducciones impositivas/impuestos
• Seguros, hipotecas, subsidios, beneficios
• Historial de créditos
• Tarjetas de crédito

Transacciones de bienes y servicios:

• Bienes y servicios suministrados por el afectado
• Bienes y servicios recibidos por el afectado
• Transacciones financieras
• Compensaciones/indemnizaciones

Datos especialmente protegidos (categorías especiales de datos):

• Ideología
• Afiliación sindical
• Religión
• Creencias
• Origen racial o étnico
• Salud
• Vida sexual

Autoridad pública independiente responsable de supervisar la aplicación de la normativa de protección de datos, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión Europea. (En España es la Agencia Española de Protección de Datos)

Técnica o tipo de ataque en el que alguien suplanta a una entidad/servicio mediante un correo electrónico o mensaje instantáneo para conseguir las credenciales o información de la tarjeta de crédito de un usuario. Ese correo/mensaje suele tener un enlace (o fichero que contiene ese enlace) a un sitio web que suplanta al legítimo y que usan para engañarlo.

La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento 

Conjunto de acciones y tareas programadas dentro de la organización, para reducir, eliminar o asumir de forma controlada los riesgos identificados en el tratamiento de datos personales que lleva a cabo.

El objetivo es reducir el potencial perjuicio disminuyendo, bien la probabilidad de que estos se materialicen, bien el impacto que representan.

Como parte de la gestión del riesgo, estas acciones o tareas se han de realizar con independencia de que se trate de tratamientos de alto riesgo o no.

Esta definición está basada en el apartado sobre la gestión del riesgo, en la guía de la Agencia Española de Protección de Datos para la <Gestión del riesgo y evaluación de impacto en tratamientos de datos personales>

Sistema, plan o guía para la prevención de cumplimiento penal, también conocido como “compliance management system”, “corporate compliance”, “corporate defense” o “plan de prevención de delitos”.

Se trata de:

“(…) procedimientos y buenas prácticas adoptados por las empresas que les permita identificar y clasificar los riesgos legales a los que se enfrentan en el desarrollo de su actividad, y que les permita adoptar mecanismos internos de respuesta con el fin de prevenir y detectar el delito, así como medidas de gestión y de formación mediante las cuáles sea posible la detección dichos riesgos y así se minimicen las posibilidades de comisión de infracciones penales obteniendo un efectivo control de las mismas.”

El Delegado de Protección de Datos (DPD) es una figura prevista en el Reglamento General de Protección de Datos (RGPD), en su artículo 37, y en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), en su artículo 34. Es responsable de supervisar el cumplimiento de la normativa de protección de datos dentro de una organización. Sus funciones incluyen asesorar al responsable o encargado del tratamiento, supervisar la correcta aplicación de las políticas de protección de datos y actuar como punto de contacto con la Agencia Española de Protección de Datos (AEPD). Su designación es obligatoria en algunos casos, como en organismos públicos o cuando se tratan datos a gran escala o de categorías sensibles. La LOPDGDD refuerza este papel y detalla las obligaciones del DPD en el contexto español.

Instituto Nacional de Ciberseguridad es ciberseguridad. INCIBE trabaja para afianzar la confianza digital, elevar la ciberseguridad y la resiliencia y contribuir al mercado digital de manera que se impulse el uso seguro del ciberespacio en España

El consentimiento informado es un requisito esencial para el tratamiento de datos personales según el artículo 6 del RGPD y el artículo 6 de la LOPDGDD. Este consentimiento debe ser libre, específico, informado y explícito, lo que implica que el interesado ha sido claramente informado sobre el tratamiento de sus datos, los fines para los cuales se utilizarán y los derechos que tiene sobre ellos, como el acceso, rectificación o supresión. Además, el consentimiento debe darse mediante una manifestación afirmativa clara, como una acción positiva, y puede ser retirado en cualquier momento. No puede haber ambigüedad, y debe evitarse el uso de casillas pre-marcadas u otros métodos que no garanticen la plena comprensión y voluntariedad del interesado. 

El Acuerdo de Encargo del Tratamiento o Adenda de Procesamiento de Datos es un contrato regulado en el artículo 28 del RGPD . Establece las condiciones bajo las cuales un responsable del tratamiento (quien decide los fines y medios del tratamiento de datos) encarga a un tercero, el encargado del tratamiento, el manejo de los datos personales. Este acuerdo debe especificar las obligaciones y responsabilidades del encargado, incluyendo medidas de seguridad, confidencialidad, y la prohibición de subcontratar sin autorización previa. También debe garantizar que el encargado solo procese los datos bajo las instrucciones del responsable, asegurando la conformidad con la normativa de protección de datos.

La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (Ley Orgánica 3/2018, de 5 de diciembre). Adapta al derecho español al modelo establecido por el Reglamento General de Protección de Datos (RGPD).

Reglamento General de Protección de Datos o Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, es el marco normativo europeo que regula el tratamiento que realizan personas, empresas u organizaciones de los datos personales relacionados con personas en la Unión Europea (UE), de obligado cumplimiento.  

Un punto de control es una acción dentro del plan de tratamiento de riesgos que pretende verificar la existencia y/o correcta aplicación de una medida de seguridad prevista en dicho plan, o en la valoración periódica de un riesgo que pueda afectar a los datos de carácter personal.  

Una de las partes plantea sus términos sin posibilidad de negociar y la otra, si está conforme, se adhiere, es decir, no hay posibilidad de negociar el contrato.

Cuando las partes establecen los términos y pueden ser negociado hasta que ambas estén de acuerdo con los derechos y obligaciones regulados.

  Buscar activamente información sobre uno mismo en Internet.

Artículo 32 de la Ley Orgánica de Protección de Datos.

1. El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión.
2. El bloqueo de los datos consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.

Transcurrido ese plazo deberá procederse a la destrucción de los datos.

1. Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior.
2. Cuando para el cumplimiento de esta obligación, la configuración del sistema de información no permita el bloqueo o se requiera una adaptación que implique un esfuerzo desproporcionado, se procederá a un copiado seguro de la información de modo que conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de la misma, la fecha del bloqueo y la no manipulación de los datos durante el mismo.
3. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus respectivas competencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo, en los supuestos en que, atendida la naturaleza de los datos o el hecho de que se refieran a un número particularmente elevado de afectados, su mera conservación, incluso bloqueados, pudiera generar un riesgo elevado para los derechos de los afectados, así como en aquellos casos en los que la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento.

La persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento.

Un conjunto de supuestos que facilitan o permiten el tratamiento de los datos de carácter personal, en caso de reunirse los requisitos previstos en la normativa. Es por lo tanto una condición necesaria para que el tratamiento de datos sea lícito. Los más importantes en el ámbito de Recursos Humanos es la ejecución de un contrato, la ley, el interés legítimo y el consentimiento. 

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Persona física titular de los datos que sean objeto del tratamiento.