DOCUMENTO LEGAL DE PROTECCIÓN DE DATOS
Base Jurídica del Tratamiento
Artículo 6 RGPD – Licitud del Tratamiento:
Consentimiento: Para newsletter y cookies no técnicas
Ejecución de contrato: Para procesamiento de pedidos
Obligación legal: Para facturación y conservación fiscal
Interés legítimo: Para seguridad y prevención de fraude
Especificaciones por Categoría de Datos:
Datos Identificativos:
Base legal: Artículo 6.1.b RGPD (contrato)
Finalidad: Facturación y envío
Conservación: 6 años artículo 30 Código Comercio
Datos de Contacto:
Base legal: Artículo 6.1.f RGPD (interés legítimo)
Finalidad: Comunicación comercial
Conservación: Hasta revocación del consentimiento
Datos de Navegación:
Base legal: Artículo 6.1.a RGPD (consentimiento)
Finalidad: Análisis estadístico
Conservación: 26 meses desde última interacción
Responsable del Tratamiento
Obligaciones del Responsable:
Mantener registro de actividades de tratamiento
Implementar medidas de seguridad adecuadas
Notificar brechas de seguridad en 72 horas
Realizar evaluaciones de impacto cuando proceda
Cooperar con la autoridad de control
Derechos de los Interesados
Ejercicio de Derechos ARSULPO:
1. Derecho de Acceso (Artículo 15 RGPD):
Plazo de respuesta: 1 mes
Formato: Electrónico o papel a elección del interesado
Gratuidad: Ejercicio gratuito salvo peticiones manifiestamente infundadas
2. Derecho de Rectificación (Artículo 16 RGPD):
Procedimiento: Formulario específico disponible
Verificación: Confirmación de identidad obligatoria
Notificación: A todos los destinatarios de los datos
3. Derecho de Supresión (Artículo 17 RGPD):
Causas: Datos innecesarios, retirada de consentimiento, oposición legítima
Límites: Obligaciones legales de conservación
Proceso: Eliminación segura con certificado de destrucción
4. Derecho de Limitación (Artículo 18 RGPD):
Supuestos: Contestación de exactitud, tratamiento ilícito
Efectos: Marcación para no procesamiento
Duración: Mientras se verifica la reclamación
5. Derecho de Portabilidad (Artículo 20 RGPD):
Alcance: Datos proporcionados y derivados del contrato
Formato: Estructurado, de uso común y lectura mecánica
Transmisión: Directa a otro responsable si es técnicamente posible
6. Derecho de Oposición (Artículo 21 RGPD):
Marketing directo: Oposición absoluta e inmediata
Otros tratamientos: Por motivos relacionados con situación particular
Análisis: Estudio de motivos vs. intereses legítimos del responsable
Transferencias Internacionales
Garantías Aplicables:
Decisiones de adecuación de la Comisión Europea
Cláusulas contractuales tipo aprobadas
Normas corporativas vinculantes
Excepciones específicas del artículo 49 RGPD
Países con Transferencias Habituales:
Estados Unidos (con Privacy Shield invalidado): Cláusulas contractuales tipo reforzadas
Reino Unido (post-Brexit): Decisión de adecuación en vigor
Suiza: Decisión de adecuación confirmada
Medidas de Seguridad – Nivel Alto
Medidas Organizativas:
Política de seguridad documentada
Funciones y responsabilidades definidas
Control de accesos basado en roles
Procedimiento de gestión de incidentes
Medidas Técnicas:
Seudonimización (Artículo 32 RGPD)
Encriptación de datos en reposo y tránsito
Capacidad de restauración de disponibilidad
Proceso de verificación periódica de efectividad
Auditoría y Cumplimiento
Auditorías Obligatorias:
Anual: Auditoría interna de seguridad
Bienal: Auditoría externa independiente
Aleatoria: Inspecciones de la AEPD
Documentación a Mantener:
Registro de actividades de tratamiento
Evaluaciones de impacto de protección de datos
Registro de violaciones de seguridad
Contratos con encargados del tratamiento
Sanciones y Responsabilidades
Infracciones Muy Graves:
Tratamiento sin base legal: Hasta 20 millones € o 4% facturación
Vulneración de seguridad: Hasta 10 millones € o 2% facturación
Incumplimiento de órdenes de la autoridad: Hasta 20 millones € o 4% facturación
Responsabilidad Civil:
Derecho a indemnización por daños materiales o morales
Responsabilidad solidaria con encargados del tratamiento
Seguro de responsabilidad civil profesional
Procedimiento de Reclamación
Vía Administrativa:
Primera instancia: Agencia Española de Protección de Datos
Plazo: 1 año desde conocimiento de los hechos
Gratuidad: Sin coste para el reclamante
Vía Judicial:
Competencia: Juzgados de lo mercantil
Plazo: 1 año desde ejercicio de derechos
Medidas cautelares: Posibilidad de solicitar medidas urgentes