A continuación, se detallan algunos aspectos que una organización debe tener en cuenta para el cumplimiento de la normativa 60 :
APLICACIÓN DEL REGLAMENTO
1. Tratamiento de datos personales como parte de las actividades de una de sus sucursales establecidas en la Unión Europea (UE), independientemente del lugar donde sean tratados los datos.
2. La organización está establecida fuera de la UE y ofrece productos o servicios (de pago o gratuitos) u observa el comportamiento de las personas en la UE.
3. No depende del tamaño de la empresa, sino de la naturaleza de sus actividades.
4. Las normas se aplican únicamente a los datos de personas, no rigen los datos sobre empresas ni ninguna otra persona jurídica.
Tabla 12 – Aplicación del Reglamento
PRINCIPIOS DEL REGLAMENTO
1. El tipo y la cantidad de datos personales que pueden tratar dependen de las razones del tratamiento (razón jurídica usada) y lo que se quiera hacer con ellos:
60 https://ec.europa.eu/info/law/ law-topic/data-protection/reform/ rules-business-and-organisations_es
los datos personales deben tratarse de forma lícita y transparente se deben tener fines específicos para el tratamiento de los datos e indicar dichos fines a las personas al recopilar sus datos personales solo se deben recopilar y tratar los datos personales que sean necesarios para cumplir esa finalidad se debe garantizar que los datos personales sean exactos y estén actualizados se debe garantizar que los datos personales no se conserven más tiempo del necesario para los fines para los que fueron recopilados se deben establecer garantías técnicas y organizativas apropiadas que garanticen la seguridad de los datos personales.
2. Principio de la limitación de la finalidad, se debe saber para qué fin se quiere tratar los datos personales e informar a las personas de las que se traten datos.
3. Se pueden utilizar los datos para otros fines distintos de los inicialmente definidos,
aunque sólo en los casos en los que se hayan recopilado datos basándose en un interés legítimo, un contrato o intereses vitales, y sólo después de comprobar que el nuevo fin sea compatible con el fin original: la relación entre el fin inicial y el nuevo o futuro fin, el contexto en que se recopilaron los datos (¿cuál es la relación entre la empresa y la persona?), el tipo y la naturaleza de los datos (¿son sensibles?), las posibles consecuencias del tratamiento ulterior (¿cómo afectará a la persona?), la existencia de garantías adecuadas (como cifrado o seudonimización).
4. Los datos personales deben ser tratados únicamente cuando no sea razonablemente posible realizar el tratamiento de otra forma.
5. Los datos deben conservarse durante el menor tiempo posible.
84
Anexo III: Legislación aplicable
Made with FlippingBook - Online Brochure Maker