Navegaci贸n
RGPD > Art铆culo聽4. Definiciones
Descargar PDF

Art铆culo聽4 RGPD. Definiciones

Article 4 GDPR. Definitions

A efectos del presente Reglamento se entender谩 por:

For the purposes of this Regulation:

1) 芦datos personales禄: toda informaci贸n sobre una persona f铆sica identificada o identificable (芦el interesado禄); se considerar谩 persona f铆sica identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un n煤mero de identificaci贸n, datos de localizaci贸n, un identificador en l铆nea o uno o varios elementos propios de la identidad f铆sica, fisiol贸gica, gen茅tica, ps铆quica, econ贸mica, cultural o social de dicha persona;

(1)聽鈥榩ersonal data鈥 means any information relating to an identified or identifiable natural person (鈥榙ata subject鈥); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Comentario de expertos

(RU)

袣芯谐写邪 薪芯屑械褉 褌械谢械褎芯薪邪 鈥 锌械褉褋芯薪邪谢褜薪褘械 写邪薪薪褘械?

(1) 袙 薪邪褋褌芯褟褖械屑 泻芯屑屑械薪褌邪褉懈懈 褉邪褋褋屑邪褌褉懈胁邪械褌褋褟 袩芯蟹懈褑懈褟 WP29 4/2007 芯 泻芯薪褑械锌褑懈懈
锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏 芯褌 20 懈褞薪褟 2007 谐芯写邪 (写邪谢械械鈥斝熜拘沸秆喰秆 WP29).

袙 械胁褉芯锌械泄褋泻芯泄 写芯泻褌褉懈薪械 懈 蟹邪泻芯薪芯写邪褌械谢褜褋褌胁械 芯锌褉械写械谢械薪懈械 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏 褍屑褘褕谢械薪薪芯 写邪薪芯 褕懈褉芯泻芯, 薪械 懈屑械械褌 懈, 褋泻芯褉械械 胁褋械谐芯, 薪懈泻芯谐写邪 薪械 斜褍写械褌 懈屑械褌褜 褔械褌泻懈褏 懈 芯写薪芯蟹薪邪褔薪褘褏 泻褉懈褌械褉懈械胁. 袛谢褟 褔械谐芯 褝泻褋锌械褉褌褘 胁 芯斜谢邪褋褌懈 锌褉懈胁邪褌薪芯褋褌懈 胁 褋芯褋褌邪胁械 WP29, 邪 蟹邪褌械屑 懈 蟹邪泻芯薪芯写邪褌械谢懈 褝褌芯 褋写械谢邪谢懈?

袪邪蟹写械谢 III 袩芯蟹懈褑懈懈 WP29 胁褘写械谢褟械褌 胁 泻芯薪褋褌褉褍泻褑懈懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏 4 芦薪械褋褍褖懈褏禄 斜谢芯泻邪: 芦谢褞斜邪褟 懈薪褎芯褉屑邪褑懈褟禄, 芦芯褌薪芯褋褟褖邪褟褋褟 泻禄, 芦懈写械薪褌懈褎懈褑懈褉芯胁邪薪薪芯屑褍 懈谢懈 懈写械薪褌懈褎懈褑懈褉褍械屑芯屑褍禄, 芦褎懈蟹懈褔械褋泻芯屑褍 谢懈褑褍禄. 袛谢褟 褑械谢械泄 薪邪褕械谐芯 邪薪邪谢懈蟹邪 锌芯褌褉械斜褍褞褌褋褟 写胁邪 褑械薪褌褉邪谢褜薪褘褏 褝谢械屑械薪褌邪: 芦芯褌薪芯褋褟褖邪褟褋褟 泻禄 懈 芦懈写械薪褌懈褎懈褑懈褉芯胁邪薪薪芯屑褍 懈谢懈 懈写械薪褌懈褎懈褑懈褉褍械屑芯屑褍禄, 锌芯褋泻芯谢褜泻褍 芯薪懈 胁 薪邪懈斜芯谢褜褕械泄 褋褌械锌械薪懈 褏邪褉邪泻褌械褉懈蟹褍褞褌 褋褌芯褉芯薪褍 泻芯薪褌褉芯谢械褉邪 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏 泻邪泻 褍褔邪褋褌薪懈泻邪 锌褉邪胁芯芯褌薪芯褕械薪懈泄.

(2) 袛邪薪薪褘械, 芦芯褌薪芯褋褟褖懈械褋褟 泻禄 褋褍斜褗械泻褌褍, 胁泻谢褞褔邪褞褌 胁 褋械斜褟 薪械 褌芯谢褜泻芯 懈薪褎芯褉屑邪褑懈褞 芯 褋邪屑芯屑 褋褍斜褗械泻褌械, 薪芯 懈 芯 锌褉懈薪邪写谢械卸邪褖懈褏 械屑褍 懈谢懈 懈薪褘屑 芯斜褉邪蟹芯屑 褋胁褟蟹邪薪薪褘褏 褋 薪懈屑 芯斜褗械泻褌邪褏, 锌懈褌芯屑褑邪褏. 孝邪泻懈屑 芯斜褉邪蟹芯屑, 写邪薪薪褘屑懈, 芦芯褌薪芯褋褟褖懈屑懈褋褟 泻禄 褋褍斜褗械泻褌褍, 褟胁谢褟褞褌褋褟 薪械 褌芯谢褜泻芯 薪芯屑械褉 褌械谢械褎芯薪邪, 邪胁褌芯屑芯斜懈谢褟, 泻芯屑锌褜褞褌械褉邪, 斜邪薪泻芯胁褋泻芯泄 泻邪褉褌褘, 褎懈褌薪械褋 褌褉械泻械褉邪, 褔懈锌邪 锌懈褌芯屑褑邪, 薪芯 懈 懈薪褘械 褏邪褉邪泻褌械褉懈褋褌懈泻懈 褝褌懈褏 芯斜褗械泻褌芯胁 懈 卸懈胁芯褌薪褘褏: 褑械薪邪, 懈蟹薪芯褋, 褋械褉懈泄薪褘械 薪芯屑械褉邪, 锌芯谢芯屑泻懈, 写懈邪谐薪芯蟹褘, 褉械蟹褍谢褜褌邪褌褘 邪薪邪谢懈蟹芯胁 懈 褌.写.

袩芯蟹懈褑懈褟 WP29 褌邪泻卸械 胁褘写械谢褟械褌 褌褉懈 褝谢械屑械薪褌邪, 泻邪卸写褘泄 懈蟹 泻芯褌芯褉褘褏, 薪械蟹邪胁懈褋懈屑芯 芯褌 薪邪谢懈褔懈褟 写褉褍谐懈褏, 屑芯卸械褌 褋写械谢邪褌褜 谢褞斜褍褞 懈薪褎芯褉屑邪褑懈褞 芦芯褌薪芯褋褟褖械泄褋褟 泻禄 褋褍斜褗械泻褌褍 鈥 褝褌芯 褋芯写械褉卸邪薪懈械, 褑械谢褜 懈 褉械蟹褍谢褜褌邪褌.

袠薪褎芯褉屑邪褑懈褟 屑芯卸械褌 芯褌薪芯褋懈褌褜褋褟 泻 褋褍斜褗械泻褌褍 锌芯 褋胁芯械屑褍 褋芯写械褉卸邪薪懈褞, 械褋谢懈 芯薪邪 芯 泻芯薪泻褉械褌薪芯屑 褎懈蟹懈褔械褋泻芯屑 谢懈褑械, 薪邪锌褉懈屑械褉, 褉械蟹褍谢褜褌邪褌褘 褌械褋褌芯胁 薪邪 褝泻蟹邪屑械薪械, 薪芯屑械褉 褌械谢械褎芯薪邪 泻芯薪泻褉械褌薪芯谐芯 谢懈褑邪, 锌褉芯褎懈谢褜 芯锌褉械写械谢械薪薪芯谐芯 锌芯谢褜蟹芯胁邪褌械谢褟 胁 褋芯褑褋械褌褟褏.

袠薪褎芯褉屑邪褑懈褟 屑芯卸械褌 芯褌薪芯褋懈褌褜褋褟 泻 褋褍斜褗械泻褌褍 褌邪泻卸械 锌芯 褑械谢懈, 械褋谢懈 芯薪邪 懈褋锌芯谢褜蟹褍械褌褋褟 懈谢懈, 胁械褉芯褟褌薪械械 胁褋械谐芯, 斜褍写械褌 懈褋锌芯谢褜蟹芯胁邪薪邪 胁 褑械谢褟褏 芯褑械薪泻懈, 胁谢懈褟薪懈褟 薪邪 褋褌邪褌褍褋 懈谢懈 锌芯胁械写械薪懈械 褋褍斜褗械泻褌邪, 锌褉芯褟胁谢械薪懈褟 芯锌褉械写械谢械薪薪芯谐芯 褉芯写邪 芯褌薪芯褕械薪懈褟 泻 褋褍斜褗械泻褌褍. 袧邪锌褉懈屑械褉, 褋锌懈褋芯泻 锌芯褋械褖械薪薪褘褏 褋芯褌褉褍写薪懈泻邪屑懈 泻芯屑锌邪薪懈懈 懈薪褌械褉薪械褌 褋褌褉邪薪懈褑 胁 泻芯褉锌芯褉邪褌懈胁薪芯泄 褋械褌懈, 屑芯卸械褌 斜褘褌褜 懈褋锌芯谢褜蟹芯胁邪薪 写谢褟 褑械谢械泄 屑芯薪懈褌芯褉懈薪谐邪 褝褎褎械泻褌懈胁薪芯褋褌懈 懈褋锌芯谢褜蟹芯胁邪薪懈褟 褉邪斜芯褔械谐芯 胁褉械屑械薪懈 泻邪卸写褘屑 褋芯褌褉褍写薪懈泻芯屑, 懈谢懈 写谢褟 斜谢芯泻懈褉芯胁泻懈 芯锌褉械写械谢械薪薪褘褏 褋褌褉邪薪懈褑 芯锌褉械写械谢械薪薪褘屑 褋芯褌褉褍写薪懈泻邪屑.

袠薪褎芯褉屑邪褑懈褟 屑芯卸械褌 芯褌薪芯褋懈褌褜褋褟 泻 褋褍斜褗械泻褌褍 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏, 写邪卸械 胁 芯褌褋褍褌褋褌胁懈械 锌褉懈蟹薪邪泻芯胁 芦褋芯写械褉卸邪薪懈褟禄 懈 芦褑械谢懈禄, 械褋谢懈 械褋褌褜 锌褉懈蟹薪邪泻 褉械蟹褍谢褜褌邪褌邪: 械褋谢懈 芯斜褉邪斜芯褌泻邪 写邪薪薪褘褏, 胁械褉芯褟褌薪械械 胁褋械谐芯, 锌芯胁谢懈褟械褌 薪邪 锌褉邪胁邪 懈 懈薪褌械褉械褋褘 褋褍斜褗械泻褌邪, 薪邪锌褉懈屑械褉, 写邪卸械 械褋谢懈 褋谢械谐泻邪 懈蟹屑械薪懈褌 芯褌薪芯褕械薪懈械 芯泻褉褍卸邪褞褖懈褏 泻 薪械屑褍, 蟹邪褋褌邪胁懈褌 胁褘写械谢褟褌褜 械谐芯 褋褉械写懈 芯褋褌邪谢褜薪褘褏 胁 褋芯芯斜褖械褋褌胁械. 袧邪锌褉懈屑械褉, 懈薪褎芯褉屑邪褑懈褟 芯 褌芯屑, 褔褌芯 写械写褍褕泻邪 褕泻芯谢褜薪懈泻邪 锌芯谢褍褔懈谢 锌褉械屑懈褞 袛邪褉胁懈薪邪, 屑芯卸械褌 胁褘蟹胁邪褌褜 薪邪褋屑械褕泻懈 懈 懈蟹写械胁邪褌械谢褜褋褌胁邪 褋芯 褋褌芯褉芯薪褘 褋胁械褉褋褌薪懈泻芯胁.

协褌懈 褌褉懈 褝谢械屑械薪褌邪 芯褌薪芯褋懈屑芯褋褌懈 写邪薪薪褘褏 泻 褋褍斜褗械泻褌褍 锌褉懈屑械薪褟褞褌褋褟 泻邪卸写褘泄 胁 芯褌写械谢褜薪芯褋褌懈, 薪芯, 械褋谢懈 锌褉懈褋褍褌褋褌胁褍械褌 褏芯褌褟 斜褘 芯写懈薪 褝谢械屑械薪褌, 薪械褌 薪邪写芯斜薪芯褋褌懈 胁褘褟胁谢褟褌褜 芯褋褌邪谢褜薪褘械 写胁邪 鈥 写邪薪薪褘械 褌芯褔薪芯 芯褌薪芯褋褟褌褋褟 泻 褋褍斜褗械泻褌褍.

(3) 孝褉械褌懈泄 斜谢芯泻 泻芯薪褋褌褉褍泻褑懈懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏: 芦懈写械薪褌懈褎懈褑懈褉芯胁邪薪薪芯屑褍 懈谢懈 懈写械薪褌懈褎懈褑懈褉褍械屑芯屑褍禄 鈥 懈屑械械褌 泻胁邪谢懈褎懈褑懈褉褍褞褖械械 蟹薪邪褔械薪懈械 写谢褟 薪芯屑械褉邪 褌械谢械褎芯薪邪 懈 锌褉芯褔懈褏 薪芯屑械褉芯胁, 褏邪褉邪泻褌械褉懈褋褌懈泻 芯斜褗械泻褌芯胁 懈 卸懈胁褘褏 褋褍褖械褋褌胁, 芯褌薪芯褋褟褖懈褏褋褟 泻 褋褍斜褗械泻褌邪屑.

袩芯蟹懈褑懈褟 WP29 芯锌褉械写械谢褟械褌 谢懈褑芯 泻邪泻 懈写械薪褌懈褎懈褑懈褉褍械屑芯械, 械褋谢懈 芯薪芯 械褖械 薪械 懈写械薪褌懈褎懈褑懈褉芯胁邪薪芯, 薪芯 械谐芯 胁芯蟹屑芯卸薪芯 懈写械薪褌懈褎懈褑懈褉芯胁邪褌褜 锌褉褟屑芯, 薪邪锌褉懈屑械褉, 锌芯 懈屑械薪懈 (械褋谢懈 芯薪芯 锌芯蟹胁芯谢褟械褌 胁褘写械谢懈褌褜 褋褍斜褗械泻褌邪 懈蟹 谐褉褍锌锌褘) 懈谢懈 泻芯褋胁械薪薪芯 鈥 锌芯 薪芯屑械褉褍 锌邪褋锌芯褉褌邪, 邪胁褌芯屑芯斜懈谢褟, 褌械谢械褎芯薪邪 懈谢懈 泻芯屑斜懈薪邪褑懈懈 褋褍褖械褋褌胁械薪薪褘褏 泻褉懈褌械褉懈械胁, 锌芯蟹胁芯谢褟褞褖懈褏 胁褘写械谢懈褌褜 褋褍斜褗械泻褌邪 懈蟹 谐褉褍锌锌褘 (褝褌芯 屑芯卸械褌 斜褘褌褜 胁芯蟹褉邪褋褌, 屑械褋褌芯 锌褉芯卸懈胁邪薪懈褟, 胁薪械褕薪懈泄 胁懈写 懈 褌.写.).

袨写薪邪泻芯 芯写薪邪 谢懈褕褜 谐懈锌芯褌械褌懈褔械褋泻邪褟 胁械褉芯褟褌薪芯褋褌褜 懈写械薪褌懈褎懈泻邪褑懈懈 褋褍斜褗械泻褌邪 薪械 写械谢邪械褌 懈薪褎芯褉屑邪褑懈褞 锌械褉褋芯薪邪谢褜薪褘屑懈 写邪薪薪褘屑懈. 袝褋谢懈 胁芯蟹屑芯卸薪芯褋褌褜 懈写械薪褌懈褎懈褑懈褉芯胁邪褌褜 褋褍斜褗械泻褌邪 芯褌褋褍褌褋褌胁褍械褌 懈谢懈 薪懈褔褌芯卸薪芯 屑邪谢邪, 写邪薪薪褘械 薪械 褋褔懈褌邪褞褌褋褟 锌械褉褋芯薪邪谢褜薪褘屑懈. 袙 褝褌芯屑 屑械褋褌械 薪械泻芯褌芯褉褘械 泻芯薪褌褉芯谢械褉褘 褋 褉邪写芯褋褌褜褞 胁芯褋泻谢懈泻薪褍褌, 褔褌芯 褍 薪懈褏 懈 胁 屑褘褋谢褟褏 薪械 斜褘谢芯 懈写械薪褌懈褎懈褑懈褉芯胁邪褌褜 泻芯谐芯 谢懈斜芯, 褔褌芯 芯薪懈 胁褋械谐芯 谢懈褕褜 褋芯斜懈褉邪褞褌 薪芯屑械褉邪 褌械谢械褎芯薪芯胁, 邪胁褌芯屑芯斜懈谢械泄 懈 薪械泻芯褌芯褉褘褏 泻邪褉褌, 锌褉懈薪邪写谢械卸邪褖懈褏 褋褍斜褗械泻褌邪屑. 袧芯 屑褘 锌芯薪懈屑邪械屑, 褔褌芯 懈写械薪褌懈褎懈泻邪褑懈褟 锌芯 褝褌懈屑 薪芯屑械褉邪屑 胁芯蟹屑芯卸薪邪 锌褉懈 褋芯锌芯褋褌邪胁谢械薪懈懈 褋 写褉褍谐芯泄 斜邪蟹芯泄 写邪薪薪褘褏, 薪邪锌褉懈屑械褉, 胁 褉邪屑泻邪褏 屑械卸胁械写芯屑褋褌胁械薪薪芯谐芯 芯斜屑械薪邪 写邪薪薪褘屑懈, 锌芯谢褍褔械薪懈褟 写邪薪薪褘褏 芯褌 褋芯褌芯胁褘褏 泻芯薪褌褉芯谢械褉芯胁, 褋 写芯褉芯卸薪褘褏 泻邪屑械褉 胁懈写械芯薪邪斜谢褞写械薪懈褟, 谢懈斜芯 胁 褉邪屑泻邪褏 懈薪褌械谐褉邪褑懈懈 褋懈褋褌械屑.

袣邪泻 卸械 芯锌褉械写械谢懈褌褜 褋褌械锌械薪褜 懈 胁械褉芯褟褌薪芯褋褌褜 褌芯谐芯, 褔褌芯 泻芯薪褌褉芯谢械褉 懈谢懈 谢褞斜芯械 褌褉械褌褜械 谢懈褑芯, 蟹邪胁谢邪写械胁褕械械 懈薪褎芯褉屑邪褑懈械泄, 褉械褕懈褌 胁芯褋锌芯谢褜蟹芯胁邪褌褜褋褟 胁芯蟹屑芯卸薪芯褋褌褜褞 懈写械薪褌懈褎懈褑懈褉芯胁邪褌褜 褋褍斜褗械泻褌芯胁?

袛谢褟 褝褌芯谐芯 薪械芯斜褏芯写懈屑芯 芯锌褉械写械谢懈褌褜 泻邪泻懈械 褉邪蟹褍屑薪褘械 褍褋懈谢懈褟 泻芯薪褌褉芯谢械褉 懈谢懈 谢褞斜芯械 褌褉械褌褜械 谢懈褑芯 写芯谢卸薪褘 斜褍写褍褌 锌褉懈谢芯卸懈褌褜 写谢褟 懈写械薪褌懈褎懈泻邪褑懈懈 泻芯薪泻褉械褌薪褘褏 褋褍斜褗械泻褌芯胁: 蟹邪褌褉邪褌褘 写械薪械卸薪褘褏 褋褉械写褋褌胁 薪邪 褌邪泻懈械 褍褋懈谢懈褟; 胁褉械屑械薪薪褘械 懈 褔械谢芯胁械褔械褋泻懈械 褉械褋褍褉褋褘; 薪邪谢懈褔懈械 褌械褏薪芯谢芯谐懈懈, 锌芯蟹胁芯谢褟褞褖械泄 胁褘锌芯谢薪懈褌褜 懈写械薪褌懈褎懈泻邪褑懈褞 斜械蟹 芯褋芯斜褘褏 褍褋懈谢懈泄 懈 蟹邪褌褉邪褌; 锌芯写褉邪蟹褍屑械胁邪械屑邪褟 (邪 薪械 写械泻谢邪褉懈褉褍械屑邪褟 褑械谢褜) 懈 锌芯褋褌褉芯械薪懈械 芯斜褉邪斜芯褌泻懈; 泻邪泻懈械 胁褘谐芯写褘 屑芯卸械褌 懈蟹胁谢械褔褜 泻芯薪褌褉芯谢械褉 懈谢懈 谢褞斜芯械 写褉褍谐芯械 褌褉械褌褜械 谢懈褑芯; 锌褉芯写芯谢卸懈褌械谢褜薪芯褋褌褜 褏褉邪薪械薪懈褟 写邪薪薪褘褏 懈 锌芯褌械薪褑懈邪谢褜薪芯械 褉邪蟹胁懈褌懈械 褌械褏薪芯谢芯谐懈泄 写谢褟 懈写械薪褌懈褎懈泻邪褑懈懈 胁 褝褌芯褌 锌械褉懈芯写.

袙 泻邪卸写芯屑 泻芯薪泻褉械褌薪芯屑 褋谢褍褔邪械 薪械芯斜褏芯写懈屑芯 芯锌褉械写械谢褟褌褜 薪邪谢懈褔懈械 胁芯蟹屑芯卸薪芯褋褌懈 懈 锌褉懈谢邪谐邪械屑褘械 褉械褋褍褉褋褘 泻芯薪褌褉芯谢械褉邪 写谢褟 懈写械薪褌懈褎懈泻邪褑懈懈 褋褍斜褗械泻褌芯胁 锌芯 薪芯屑械褉褍 褌械谢械褎芯薪邪. 袝褋谢懈 胁芯蟹屑芯卸薪芯褋褌褜 械褋褌褜, 懈谢懈 褑械谢褜 懈 泻芯薪褌械泻褋褌 芯斜褉邪斜芯褌泻懈 锌褉械写锌芯谢邪谐邪械褌 懈写械薪褌懈褎懈泻邪褑懈褞 褋褍斜褗械泻褌邪, 褌芯 薪芯屑械褉 褌械谢械褎芯薪邪 褟胁谢褟械褌褋褟 锌械褉褋芯薪邪谢褜薪褘屑懈 写邪薪薪褘屑懈.

袧芯屑械褉 褌械谢械褎芯薪邪 鈥 褟胁谢褟械褌褋褟 锌械褉褋芯薪邪谢褜薪褘屑懈 写邪薪薪褘屑懈, 褌邪泻 泻邪泻 芯薪 胁 蟹邪胁懈褋懈屑芯褋褌懈 芯褌 褋懈褌褍邪褑懈懈 谢懈斜芯 褋谢褍卸懈褌 懈写械薪褌懈褎懈泻邪褌芯褉芯屑 谢懈褔薪芯褋褌懈, 谢懈斜芯 锌褉械写褋褌邪胁谢褟械褌 褋芯斜芯泄 懈薪褎芯褉屑邪褑懈褞, 芯褌薪芯褋褟褖褍褞褋褟 泻 懈写械薪褌懈褎懈褑懈褉芯胁邪薪薪芯屑褍 懈谢懈 懈写械薪褌懈褎懈褑懈褉褍械屑芯屑褍 褎懈蟹懈褔械褋泻芯屑褍 谢懈褑褍. 袙褋械 锌褉芯褔懈械 薪芯屑械褉邪 懈 褏邪褉邪泻褌械褉懈褋褌懈泻懈 锌褉懈薪邪写谢械卸邪褖懈褏 褋褍斜褗械泻褌褍 芯斜褗械泻褌芯胁 懈 卸懈胁褘褏 褋褍褖械褋褌胁, 胁 褌芯屑 懈谢懈 懈薪芯屑 泻芯薪褌械泻褋褌械 芯斜褉邪斜芯褌泻懈, 褌邪泻卸械 屑芯谐褍褌 泻胁邪谢懈褎懈褑懈褉芯胁邪褌褜褋褟 胁 泻邪褔械褋褌胁械 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏.

(4) 袛邪卸械 锌褉懈 芯褌褋褍褌褋褌胁懈懈 肖袠袨 褋褍斜褗械泻褌邪 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏 褍 泻芯薪褌褉芯谢械褉邪 懈 谢褞斜芯谐芯 褌褉械褌褜械谐芯 谢懈褑邪, 懈 写邪卸械 锌褉懈 芯褌褋褍褌褋褌胁懈懈 褍 薪懈褏 胁芯蟹屑芯卸薪芯褋褌懈 懈写械薪褌懈褎懈褑懈褉芯胁邪褌褜 褋褍斜褗械泻褌邪, 芯薪懈 胁褋械 卸械 懈屑械褞褌 胁芯蟹屑芯卸薪芯褋褌褜 芯褔械薪褜 褋械褉褜械蟹薪芯 锌芯胁谢懈褟褌褜 薪邪 锌芯胁械写械薪懈械 褋褍斜褗械泻褌邪, 薪邪褉褍褕懈褌褜 械谐芯 锌褉邪胁邪 懈 懈薪褌械褉械褋褘.

袙械写褜 薪芯屑械褉 褌械谢械褎芯薪邪, 褋褍褖械褋褌胁械薪薪芯 芯褌谢懈褔邪械褌褋褟 芯褌 芯褋褌邪谢褜薪褘褏 薪芯屑械褉芯胁 胁械褖械泄 锌褉懈薪邪写谢械卸薪芯褋褌械泄 械褖械 懈 褌械屑, 褔褌芯 锌芯 薪械屑褍 屑芯卸薪芯 薪械锌芯褋褉械写褋褌胁械薪薪芯 褋胁褟蟹邪褌褜褋褟 褋 褋褍斜褗械泻褌芯屑 懈 胁屑械褕邪褌褜褋褟 胁 械谐芯 褔邪褋褌薪褍褞 卸懈蟹薪褜, 锌褉懈褔懈薪懈褌褜 械屑褍 斜械褋锌芯泻芯泄褋褌胁芯. 袙芯蟹屑芯卸薪褘: 屑芯褕械薪薪懈褔械褋褌胁芯, 锌褉邪薪泻, 蟹胁芯薪泻懈 薪芯褔褜褞 懈谢懈 褉邪薪薪懈屑 褍褌褉芯屑 胁 胁褘褏芯写薪褘械, 薪械卸械谢邪褌械谢褜薪褘械 褋屑褋, 蟹胁芯薪泻懈, 褋锌邪屑. 袙褋械 褝褌芯 屑芯卸械褌 薪械 褌芯谢褜泻芯 锌褉懈褔懈薪懈褌褜 胁褉械写 蟹写芯褉芯胁褜褞 褋褍斜褗械泻褌邪, 薪邪薪械褋褌懈 褍褖械褉斜 械谐芯 屑邪褌械褉懈邪谢褜薪芯屑褍 斜谢邪谐芯褋芯褋褌芯褟薪懈褞, 薪芯 懈 蟹邪褋褌邪胁懈褌褜 褋褍斜褗械泻褌邪 褋屑械薪懈褌褜 薪芯屑械褉 褌械谢械褎芯薪邪, 懈 写邪卸械 锌芯屑械薪褟褌褜 泻芯薪褌褉芯谢械褉邪, 锌芯 胁懈薪械 泻芯褌芯褉芯谐芯 锌褉芯懈蟹芯褕谢芯 薪邪褉褍褕械薪懈械 械谐芯 锌褉邪胁.

袣芯薪褌邪泻褌薪褘械 写邪薪薪褘械 胁 褑械谢芯屑 (薪芯屑械褉 褌械谢械褎芯薪邪, email, 邪写褉械褋 懈 褌.写.) 锌芯蟹胁芯谢褟褞褌 蟹谢芯褍屑褘褕谢械薪薪懈泻邪屑 胁褋褌褍锌懈褌褜 胁 薪械锌芯褋褉械写褋褌胁械薪薪褘泄 泻芯薪褌邪泻褌 褋 褋褍斜褗械泻褌芯屑 锌褉芯褌懈胁 械谐芯 胁芯谢懈, 褔褌芯斜褘, 锌褉械写锌芯谢芯卸懈屑, 褍谐褉芯卸邪褌褜 械谐芯 卸懈蟹薪懈 懈 斜械蟹芯锌邪褋薪芯褋褌懈, 屑邪薪懈锌褍谢懈褉芯胁邪褌褜 懈屑, 薪邪蟹芯泄谢懈胁芯 蟹邪胁谢邪写械褌褜 械谐芯 胁薪懈屑邪薪懈械屑, 屑械褕邪褌褜 褉邪斜芯褌械 懈 谢懈褔薪芯泄 卸懈蟹薪懈 (胁褌芯褉卸械薪懈械 褋芯谐谢邪褋薪芯 孝邪泻褋芯薪芯屑懈懈 锌褉懈胁邪褌薪芯褋褌懈). 袛芯锌芯谢薪械薪懈械屑 泻 屑械褉邪屑 蟹邪褖懈褌褘 褌邪泻懈褏 写邪薪薪褘褏 写芯谢卸薪邪 斜褘褌褜 褉邪蟹褍屑薪邪褟 芯褋屑芯褌褉懈褌械谢褜薪芯褋褌褜 褋邪屑芯谐芯 褋褍斜褗械泻褌邪 锌褉懈 褉邪褋泻褉褘褌懈懈 褋胁芯懈褏 泻芯薪褌邪泻褌薪褘褏 写邪薪薪褘褏 褌褉械褌褜懈屑 谢懈褑邪屑, 锌芯褋泻芯谢褜泻褍 懈褏 泻芯屑锌褉芯屑械褌邪褑懈褟 屑芯卸械褌 蟹邪褋褌邪胁懈褌褜 褋褍斜褗械泻褌邪 褋屑械薪懈褌褜 薪芯屑械褉 懈谢懈 锌械褉械械褏邪褌褜, 邪 褌邪泻卸械 薪邪褉褍褕懈褌褜 懈薪褌械褉械褋褘 褌褉械褌褜懈褏 谢懈褑, 薪邪锌褉懈屑械褉 褋械屑褜懈 褋褍斜褗械泻褌邪.

袣邪泻 锌芯泻邪蟹邪薪芯 胁褘褕械, 写邪卸械 斜械蟹 锌芯谢薪芯泄 懈写械薪褌懈褎懈泻邪褑懈懈 褋褍斜褗械泻褌邪 锌芯 泻芯薪褌邪泻褌薪褘屑 写邪薪薪褘屑 胁芯蟹屑芯卸薪芯 薪邪褉褍褕械薪懈械 械谐芯 锌褉邪胁. 袣芯薪褎懈写械薪褑懈邪谢褜薪芯褋褌褜 褝褌懈褏 写邪薪薪褘褏 芯斜械褋锌械褔懈胁邪械褌 斜械蟹芯锌邪褋薪芯褋褌褜 卸懈蟹薪懈 懈 蟹写芯褉芯胁褜褟 褋褍斜褗械泻褌邪, 械谐芯 斜谢懈蟹泻懈褏, 锌芯蟹胁芯谢褟械褌 写械褉卸邪褌褜 锌芯写 泻芯薪褌褉芯谢械屑 褋胁芯懈 胁薪械褕薪懈械 泻芯屑屑褍薪懈泻邪褑懈懈, 褋薪懈卸邪械褌 械谐芯 写芯褋褌褍锌薪芯褋褌褜 写谢褟 胁薪械褕薪械谐芯 屑懈褉邪, 胁褘褋褌褉邪懈胁邪械褌 谢懈褔薪褘械 谐褉邪薪懈褑褘 褋褍斜褗械泻褌邪, 芯斜械褉械谐邪械褌 械谐芯 谢懈褔薪芯械 锌褉芯褋褌褉邪薪褋褌胁芯, 褔褌芯 写邪械褌 褋褍斜褗械泻褌褍 泻芯屑褎芯褉褌 懈 褍胁械褉械薪薪芯褋褌褜.


para acceder al texto completo

(EN) Author
(EN) Elena Sebjakina CIPP/E, Privacy by design
(EN) Data Protection Officer, GDPR Consultant
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
Ley de Directrices y caso Considerandos

(26) Los principios de la protecci贸n de datos deben aplicarse a toda la informaci贸n relativa a una persona f铆sica identificada o identificable. Los datos personales seudonimizados, que cabr铆a atribuir a una persona f铆sica mediante la utilizaci贸n de informaci贸n adicional, deben considerarse informaci贸n sobre una persona f铆sica identificable. Para determinar si una persona f铆sica es identificable, deben tenerse en cuenta todos los medios, como la singularizaci贸n, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona f铆sica. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona f铆sica, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificaci贸n, teniendo en cuenta tanto la tecnolog铆a disponible en el momento del tratamiento como los avances tecnol贸gicos. Por lo tanto los principios de protecci贸n de datos no deben aplicarse a la informaci贸n an贸nima, es decir informaci贸n que no guarda relaci贸n con una persona f铆sica identificada o identificable, ni a los datos convertidos en an贸nimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha informaci贸n an贸nima, inclusive con fines estad铆sticos o de investigaci贸n.

(26) The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.

2) 芦tratamiento禄: cualquier operaci贸n o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organizaci贸n, estructuraci贸n, conservaci贸n, adaptaci贸n o modificaci贸n, extracci贸n, consulta, utilizaci贸n, comunicaci贸n por transmisi贸n, difusi贸n o cualquier otra forma de habilitaci贸n de acceso, cotejo o interconexi贸n, limitaci贸n, supresi贸n o destrucci贸n;

(2)聽鈥榩rocessing鈥 means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;

Comentario de expertos

(EN) Though GDPR Art.4(2) does not mention 芦purpose禄, a 芦processing禄 should actually be understood as an operation or set of operations united by one purpose. The purpose determines the role of data controller, legal ground for processing, defines the exception allowing for the processing of special categories of data, it limits processing to one purpose (purpose limitation principle), serves as a criteria for data minimisation, and determines a risk level and scope of data subject rights.

Some operations may serve multiple purposes, for instance, storage of email addresses allows a company to provide login to its website (purpose 1) and to send marketing communications (purpose 2). In that case this operation (storage) is聽 a part of two processing activities at the same time. Stopping one of them (for example as a result of a withdrawal of consent for marketing emails) does not prevent company from continuing the another one (allowing the user to login).


para acceder al texto completo

(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
Ley de Directrices y caso

3) 芦limitaci贸n del tratamiento禄: el marcado de los datos de car谩cter personal conservados con el fin de limitar su tratamiento en el futuro;

(3)聽鈥榬estriction of processing鈥 means the marking of stored personal data with the aim of limiting their processing in the future;

4) 芦elaboraci贸n de perfiles禄: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona f铆sica, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situaci贸n econ贸mica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicaci贸n o movimientos de dicha persona f铆sica;

(4)聽鈥榩rofiling鈥 means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;

Ley de Directrices y caso

5) 芦seudonimizaci贸n禄: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar informaci贸n adicional, siempre que dicha informaci贸n adicional figure por separado y est茅 sujeta a medidas t茅cnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona f铆sica identificada o identificable;

(5)聽鈥榩seudonymisation鈥 means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;

Comentario de expertos
(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
Ley de Directrices y caso Considerandos

(26) Los principios de la protecci贸n de datos deben aplicarse a toda la informaci贸n relativa a una persona f铆sica identificada o identificable. Los datos personales seudonimizados, que cabr铆a atribuir a una persona f铆sica mediante la utilizaci贸n de informaci贸n adicional, deben considerarse informaci贸n sobre una persona f铆sica identificable. Para determinar si una persona f铆sica es identificable, deben tenerse en cuenta todos los medios, como la singularizaci贸n, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona f铆sica. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona f铆sica, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificaci贸n, teniendo en cuenta tanto la tecnolog铆a disponible en el momento del tratamiento como los avances tecnol贸gicos. Por lo tanto los principios de protecci贸n de datos no deben aplicarse a la informaci贸n an贸nima, es decir informaci贸n que no guarda relaci贸n con una persona f铆sica identificada o identificable, ni a los datos convertidos en an贸nimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha informaci贸n an贸nima, inclusive con fines estad铆sticos o de investigaci贸n.

(26) The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.

(28) La aplicaci贸n de la seudonimizaci贸n a los datos personales puede reducir los riesgos para los interesados afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protecci贸n de los datos. As铆 pues, la introducci贸n expl铆cita de la 芦seudonimizaci贸n禄 en el presente Reglamento no pretende excluir ninguna otra medida relativa a la protecci贸n de los datos.

(28) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of 鈥榩seudonymisation鈥 in this Regulation is not intended to preclude any other measures of data protection.

(29) Para incentivar la aplicaci贸n de la seudonimizaci贸n en el tratamiento de datos personales, debe ser posible establecer medidas de seudonimizaci贸n, permitiendo al mismo tiempo un an谩lisis general, por parte del mismo responsable del tratamiento, cuando este haya adoptado las medidas t茅cnicas y organizativas necesarias para garantizar que se aplique el presente Reglamento al tratamiento correspondiente y que se mantenga por separado la informaci贸n adicional para la atribuci贸n de los datos personales a una persona concreta. El responsable que trate datos personales debe indicar cu谩les son sus personas autorizadas.

(29) In order to create incentives to apply pseudonymisation when processing personal data, measures of pseudonymisation should, whilst allowing general analysis, be possible within the same controller when that controller has taken technical and organisational measures necessary to ensure, for the processing concerned, that this Regulation is implemented, and that additional information for attributing the personal data to a specific data subject is kept separately. The controller processing the personal data should indicate the authorised persons within the same controller.

6) 芦fichero禄: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geogr谩fica;

(6)聽鈥榝iling system鈥 means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;

Comentario de expertos
Ley de Directrices y caso Textos enlazados

7) 芦responsable del tratamiento禄 o 芦responsable禄: la persona f铆sica o jur铆dica, autoridad p煤blica, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Uni贸n o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios espec铆ficos para su nombramiento podr谩 establecerlos el Derecho de la Uni贸n o de los Estados miembros;

(7)聽鈥榗ontroller鈥 means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member聽State law;

Comentario de expertos
Ley de Directrices y caso

8) 芦encargado del tratamiento禄 o 芦encargado禄: la persona f铆sica o jur铆dica, autoridad p煤blica, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

(8)聽鈥榩rocessor鈥 means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;

Ley de Directrices y caso

9) 芦destinatario禄: la persona f铆sica o jur铆dica, autoridad p煤blica, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerar谩n destinatarios las autoridades p煤blicas que puedan recibir datos personales en el marco de una investigaci贸n concreta de conformidad con el Derecho de la Uni贸n o de los Estados miembros; el tratamiento de tales datos por dichas autoridades p煤blicas ser谩 conforme con las normas en materia de protecci贸n de datos aplicables a los fines del tratamiento;

(9)聽鈥榬ecipient鈥 means a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with Union or Member State law聽shall not be regarded as recipients; the processing of those data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing;

Considerandos

(31) Las autoridades p煤blicas a las que se comunican datos personales en virtud de una obligaci贸n legal para el ejercicio de su misi贸n oficial, como las autoridades fiscales y aduaneras, las unidades de investigaci贸n financiera, las autoridades administrativas independientes o los organismos de supervisi贸n de los mercados financieros encargados de la reglamentaci贸n y supervisi贸n de los mercados de valores, no deben considerarse destinatarios de datos si reciben datos personales que son necesarios para llevar a cabo una investigaci贸n concreta de inter茅s general, de conformidad con el Derecho de la Uni贸n o de los Estados miembros. Las solicitudes de comunicaci贸n de las autoridades p煤blicas siempre deben presentarse por escrito, de forma motivada y con car谩cter ocasional, y no deben referirse a la totalidad de un fichero ni dar lugar a la interconexi贸n de varios ficheros. El tratamiento de datos personales por dichas autoridades p煤blicas debe ser conforme con la normativa en materia de protecci贸n de datos que sea de aplicaci贸n en funci贸n de la finalidad del tratamiento.

(31) Public authorities to which personal data are disclosed in accordance with a legal obligation for the exercise of their official mission, such as tax and customs authorities, financial investigation units, independent administrative authorities, or financial market authorities responsible for the regulation and supervision of securities markets should not be regarded as recipients if they receive personal data which are necessary to carry out a particular inquiry in the general interest, in accordance with Union or Member State law. The requests聽for disclosure sent by the public authorities should always be in writing, reasoned and occasional and should not concern the entirety of a filing system or lead to the interconnection of filing systems. The processing of personal data by those public authorities should comply with the applicable data-protection rules according to the purposes of the processing.

10) 芦tercero禄: persona f铆sica o jur铆dica, autoridad p煤blica, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado;

(10)聽鈥榯hird party鈥 means a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorised to process personal data;

11) 芦consentimiento del interesado禄: toda manifestaci贸n de voluntad libre, espec铆fica, informada e inequ铆voca por la que el interesado acepta, ya sea mediante una declaraci贸n o una clara acci贸n afirmativa, el tratamiento de datos personales que le conciernen;

(11)聽鈥榗onsent鈥 of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

Ley de Directrices y caso Considerandos

(32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestaci贸n de voluntad libre, espec铆fica, informada, e inequ铆voca del interesado de aceptar el tratamiento de datos de car谩cter personal que le conciernen, como una declaraci贸n por escrito, inclusive por medios electr贸nicos, o una declaraci贸n verbal. Esto podr铆a incluir marcar una casilla de un sitio web en internet, escoger par谩metros t茅cnicos para la utilizaci贸n de servicios de la sociedad de la informaci贸n, o cualquier otra declaraci贸n o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacci贸n no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a ra铆z de una solicitud por medios electr贸nicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

(32) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

(33) Con frecuencia no es posible determinar totalmente la finalidad del tratamiento de los datos personales con fines de investigaci贸n cient铆fica en el momento de su recogida. Por consiguiente, debe permitirse a los interesados dar su consentimiento para determinados 谩mbitos de investigaci贸n cient铆fica que respeten las normas 茅ticas reconocidas para la investigaci贸n cient铆fica. Los interesados deben tener la oportunidad de dar su consentimiento solamente para determinadas 谩reas de investigaci贸n o partes de proyectos de investigaci贸n, en la medida en que lo permita la finalidad perseguida.

(33) It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose.

Textos enlazados

12) 芦violaci贸n de la seguridad de los datos personales禄: toda violaci贸n de la seguridad que ocasione la destrucci贸n, p茅rdida o alteraci贸n accidental o il铆cita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicaci贸n o acceso no autorizados a dichos datos;

(12)聽鈥榩ersonal data breach鈥 means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;

Ley de Directrices y caso

13) 芦datos gen茅ticos禄: datos personales relativos a las caracter铆sticas gen茅ticas heredadas o adquiridas de una persona f铆sica que proporcionen una informaci贸n 煤nica sobre la fisiolog铆a o la salud de esa persona, obtenidos en particular del an谩lisis de una muestra biol贸gica de tal persona;

(13)聽鈥榞enetic data鈥 means personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question;

Ley de Directrices y caso Considerandos

(34) Debe entenderse por datos gen茅ticos los datos personales relacionados con caracter铆sticas gen茅ticas, heredadas o adquiridas, de una persona f铆sica, provenientes del an谩lisis de una muestra biol贸gica de la persona f铆sica en cuesti贸n, en particular a trav茅s de un an谩lisis cromos贸mico, un an谩lisis del 谩cido desoxirribonucleico (ADN) o del 谩cido ribonucleico (ARN), o del an谩lisis de cualquier otro elemento que permita obtener informaci贸n equivalente.

(34) Genetic data should be defined as personal data relating to the inherited or acquired genetic characteristics of a natural person which result from the analysis of a biological sample from the natural person in question, in particular chromosomal, deoxyribonucleic acid (DNA) or ribonucleic acid (RNA) analysis, or from the analysis of another element enabling equivalent information to be obtained.

14) 芦datos biom茅tricos禄: datos personales obtenidos a partir de un tratamiento t茅cnico espec铆fico, relativos a las caracter铆sticas f铆sicas, fisiol贸gicas o conductuales de una persona f铆sica que permitan o confirmen la identificaci贸n 煤nica de dicha persona, como im谩genes faciales o datos dactilosc贸picos;

(14)聽鈥榖iometric data鈥 means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data;

Ley de Directrices y caso

15) 芦datos relativos a la salud禄: datos personales relativos a la salud f铆sica o mental de una persona f铆sica, incluida la prestaci贸n de servicios de atenci贸n sanitaria, que revelen informaci贸n sobre su estado de salud;

(15)聽鈥榙ata concerning health鈥 means personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status;

Ley de Directrices y caso Considerandos

(35) Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan informaci贸n sobre su estado de salud f铆sica o mental pasado, presente o futuro. Se incluye la informaci贸n sobre la persona f铆sica recogida con ocasi贸n de su inscripci贸n a efectos de asistencia sanitaria, o con ocasi贸n de la prestaci贸n de tal asistencia, de conformidad con la Directiva 2011/24/UE del Parlamento Europeo y del Consejo [9]; todo n煤mero, s铆mbolo o dato asignado a una persona f铆sica que la identifique de manera un铆voca a efectos sanitarios; la informaci贸n obtenida de pruebas o ex谩menes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos gen茅ticos y muestras biol贸gicas, y cualquier informaci贸n relativa, a t铆tulo de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial m茅dico, el tratamiento cl铆nico o el estado fisiol贸gico o biom茅dico del interesado, independientemente de su fuente, por ejemplo un m茅dico u otro profesional sanitario, un hospital, un dispositivo m茅dico, o una prueba diagn贸stica in vitro.

(35) Personal data concerning health should include all data pertaining to the health status of a data subject which reveal information relating to the past, current or future physical or mental health status of the data subject. This includes information about the natural person collected in the course of the registration for, or the provision of, health care services as referred to in Directive聽2011/24/EU of the European Parliament and of the Council聽[9]聽to that natural person; a number, symbol or particular assigned to a natural person to uniquely identify the natural person for health purposes; information derived from the testing or examination of a body part or bodily substance, including from genetic data and biological samples; and any information on, for example, a disease, disability, disease risk, medical history, clinical treatment or the physiological or biomedical state of the data subject independent of its source, for example from a physician or other health professional, a hospital, a medical device or an in vitro diagnostic test.

[9] Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicaci贸n de los derechos de los pacientes en la asistencia sanitaria transfronteriza (DO L 88 de 4.4.2011, p. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

[9] Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of patients' rights in cross-border healthcare (OJ L 88, 4.4.2011, p. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

16) 芦establecimiento principal禄:

(16)聽鈥榤ain establishment鈥 means:

Considerandos

(36) El establecimiento principal de un responsable del tratamiento en la Uni贸n debe ser el lugar de su administraci贸n central en la Uni贸n, salvo que las decisiones relativas a los fines y medios del tratamiento de los datos personales se tomen en otro establecimiento del responsable en la Uni贸n, en cuyo caso, ese otro establecimiento debe considerarse el establecimiento principal. El establecimiento principal de un responsable en la Uni贸n debe determinarse en funci贸n de criterios objetivos y debe implicar el ejercicio efectivo y real de actividades de gesti贸n que determinen las principales decisiones en cuanto a los fines y medios del tratamiento a trav茅s de modalidades estables. Dicho criterio no debe depender de si el tratamiento de los datos personales se realiza en dicho lugar. La presencia y utilizaci贸n de medios t茅cnicos y tecnolog铆as para el tratamiento de datos personales o las actividades de tratamiento no constituyen, en s铆 mismas, establecimiento principal y no son, por lo tanto, criterios determinantes de un establecimiento principal. El establecimiento principal del encargado del tratamiento debe ser el lugar de su administraci贸n central en la Uni贸n o, si careciese de administraci贸n central en la Uni贸n, el lugar en el que se llevan a cabo las principales actividades de tratamiento en la Uni贸n. En los casos que impliquen tanto al responsable como al encargado, la autoridad de control principal competente debe seguir siendo la autoridad de control del Estado miembro en el que el responsable tenga su establecimiento principal, pero la autoridad de control del encargado debe considerarse autoridad de control interesada y participar en el procedimiento de cooperaci贸n establecido en el presente Reglamento. En cualquier caso, las autoridades de control del Estado miembro o los Estados miembros en los que el encargado tenga uno o varios establecimientos no deben considerarse autoridades de control interesadas cuando el proyecto de decisi贸n afecte 煤nicamente al responsable. Cuando el tratamiento lo realice un grupo empresarial, el establecimiento principal de la empresa que ejerce el control debe considerarse el establecimiento principal del grupo empresarial, excepto cuando los fines y medios del tratamiento los determine otra empresa.

(36) The main establishment of a controller in the Union should be the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union, in which case that other establishment should be considered to be the main establishment. The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes and means of processing through stable arrangements. That criterion should not depend on whether the processing of personal data is carried out at that location. The presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union or, if it has no central administration in the Union, the place where the main processing activities take place in the Union. In cases involving both the controller and the processor, the competent lead supervisory authority should remain the supervisory authority of the Member State where the controller has its main establishment, but the supervisory authority of the processor should be considered to be a supervisory authority concerned and that supervisory authority should participate in the cooperation procedure provided for by this Regulation. In any case, the supervisory authorities of the Member State or Member聽States where the processor has one or more establishments should not be considered to be supervisory authorities concerned where the draft decision concerns only the controller. Where the processing is carried out by a group of undertakings, the main establishment of the controlling undertaking should be considered to be the main establishment of the group of undertakings, except where the purposes and means of processing are determined by another undertaking.

a) en lo que se refiere a un responsable del tratamiento con establecimientos en m谩s de un Estado miembro, el lugar de su administraci贸n central en la Uni贸n, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Uni贸n y este 煤ltimo establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerar谩 establecimiento principal;

(a)聽as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment;

b) en lo que se refiere a un encargado del tratamiento con establecimientos en m谩s de un Estado miembro, el lugar de su administraci贸n central en la Uni贸n o, si careciera de esta, el establecimiento del encargado en la Uni贸n en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado est茅 sujeto a obligaciones espec铆ficas con arreglo al presente Reglamento;

(b)聽as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation;

Textos enlazados

17) 芦representante禄: persona f铆sica o jur铆dica establecida en la Uni贸n que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al art铆culo聽27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento;

(17)聽鈥榬epresentative鈥 means a natural or legal person established in the Union who, designated by the controller or processor in writing pursuant to Article聽27, represents the controller or processor with regard to their respective obligations under this Regulation;

Textos enlazados

18) 芦empresa禄: persona f铆sica o jur铆dica dedicada a una actividad econ贸mica, independientemente de su forma jur铆dica, incluidas las sociedades o asociaciones que desempe帽en regularmente una actividad econ贸mica;

(18)聽鈥榚nterprise鈥 means a natural or legal person engaged in an economic activity, irrespective of its legal form, including partnerships or associations regularly engaged in an economic activity;

19) 芦grupo empresarial禄: grupo constituido por una empresa que ejerce el control y sus empresas controladas;

(19)聽鈥榞roup of undertakings鈥 means a controlling undertaking and its controlled undertakings;

Comentario de expertos
Considerandos

(37) Un grupo empresarial debe estar constituido por una empresa que ejerce el control y las empresas controladas, debiendo ser la empresa que ejerce el control la que pueda ejercer una influencia dominante en las otras empresas, por razones, por ejemplo, de propiedad, participaci贸n financiera, normas por las que se rige, o poder de hacer cumplir las normas de protecci贸n de datos personales. Una empresa que controle el tratamiento de los datos personales en las empresas que est茅n afiliadas debe considerarse, junto con dichas empresas, 芦grupo empresarial禄.

(37) A group of undertakings should cover a controlling undertaking and its controlled undertakings, whereby the controlling undertaking should be the undertaking which can exert a dominant influence over the other undertakings by virtue, for example, of ownership, financial participation or the rules which govern it or the power to have personal data protection rules implemented. An undertaking which controls the processing of personal data in undertakings affiliated to it should be regarded, together with those undertakings, as a group of undertakings.

20) 芦normas corporativas vinculantes禄: las pol铆ticas de protecci贸n de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o m谩s pa铆ses terceros, dentro de un grupo empresarial o una uni贸n de empresas dedicadas a una actividad econ贸mica conjunta;

(20)聽鈥榖inding corporate rules鈥 means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity;

21) 芦autoridad de control禄: la autoridad p煤blica independiente establecida por un Estado miembro con arreglo a lo dispuesto en el art铆culo聽51;

(21)聽鈥榮upervisory authority鈥 means an independent public authority which is established by a Member State pursuant to Article聽51;

22) 芦autoridad de control interesada禄: la autoridad de control a la que afecta el tratamiento de datos personales debido a que:

(22)聽鈥榮upervisory authority concerned鈥 means a supervisory authority which is concerned by the processing of personal data because:

Considerandos

(36) El establecimiento principal de un responsable del tratamiento en la Uni贸n debe ser el lugar de su administraci贸n central en la Uni贸n, salvo que las decisiones relativas a los fines y medios del tratamiento de los datos personales se tomen en otro establecimiento del responsable en la Uni贸n, en cuyo caso, ese otro establecimiento debe considerarse el establecimiento principal. El establecimiento principal de un responsable en la Uni贸n debe determinarse en funci贸n de criterios objetivos y debe implicar el ejercicio efectivo y real de actividades de gesti贸n que determinen las principales decisiones en cuanto a los fines y medios del tratamiento a trav茅s de modalidades estables. Dicho criterio no debe depender de si el tratamiento de los datos personales se realiza en dicho lugar. La presencia y utilizaci贸n de medios t茅cnicos y tecnolog铆as para el tratamiento de datos personales o las actividades de tratamiento no constituyen, en s铆 mismas, establecimiento principal y no son, por lo tanto, criterios determinantes de un establecimiento principal. El establecimiento principal del encargado del tratamiento debe ser el lugar de su administraci贸n central en la Uni贸n o, si careciese de administraci贸n central en la Uni贸n, el lugar en el que se llevan a cabo las principales actividades de tratamiento en la Uni贸n. En los casos que impliquen tanto al responsable como al encargado, la autoridad de control principal competente debe seguir siendo la autoridad de control del Estado miembro en el que el responsable tenga su establecimiento principal, pero la autoridad de control del encargado debe considerarse autoridad de control interesada y participar en el procedimiento de cooperaci贸n establecido en el presente Reglamento. En cualquier caso, las autoridades de control del Estado miembro o los Estados miembros en los que el encargado tenga uno o varios establecimientos no deben considerarse autoridades de control interesadas cuando el proyecto de decisi贸n afecte 煤nicamente al responsable. Cuando el tratamiento lo realice un grupo empresarial, el establecimiento principal de la empresa que ejerce el control debe considerarse el establecimiento principal del grupo empresarial, excepto cuando los fines y medios del tratamiento los determine otra empresa.

(36) The main establishment of a controller in the Union should be the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union, in which case that other establishment should be considered to be the main establishment. The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes and means of processing through stable arrangements. That criterion should not depend on whether the processing of personal data is carried out at that location. The presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union or, if it has no central administration in the Union, the place where the main processing activities take place in the Union. In cases involving both the controller and the processor, the competent lead supervisory authority should remain the supervisory authority of the Member State where the controller has its main establishment, but the supervisory authority of the processor should be considered to be a supervisory authority concerned and that supervisory authority should participate in the cooperation procedure provided for by this Regulation. In any case, the supervisory authorities of the Member State or Member聽States where the processor has one or more establishments should not be considered to be supervisory authorities concerned where the draft decision concerns only the controller. Where the processing is carried out by a group of undertakings, the main establishment of the controlling undertaking should be considered to be the main establishment of the group of undertakings, except where the purposes and means of processing are determined by another undertaking.

a) el responsable o el encargado del tratamiento est谩 establecido en el territorio del Estado miembro de esa autoridad de control;

(a)聽the controller or processor is established on the territory of the Member聽State of that supervisory authority;

b) los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento,聽o

(b)聽data subjects residing in the Member聽State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or

c) se ha presentado una reclamaci贸n ante esa autoridad de control;

(c)聽a complaint has been lodged with that supervisory authority;

23) 芦tratamiento transfronterizo禄:

(23)聽鈥榗ross-border processing鈥 means either:

a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en m谩s de un Estado miembro de un responsable o un encargado del tratamiento en la Uni贸n, si el responsable o el encargado est谩 establecido en m谩s de un Estado miembro,聽o

(a)聽processing of personal data which takes place in the context of the activities of establishments in more than one Member聽State of a controller or processor in the Union where the controller or processor is established in more than one Member聽State; or

b) el tratamiento de datos personales realizado en el contexto de las actividades de un 煤nico establecimiento de un responsable o un encargado del tratamiento en la Uni贸n, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en m谩s de un Estado miembro;

(b)聽processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member聽State.

Textos enlazados

24) 芦objeci贸n pertinente y motivada禄: la objeci贸n a una propuesta de decisi贸n sobre la existencia o no de infracci贸n del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relaci贸n con el responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entra帽a el proyecto de decisi贸n para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre circulaci贸n de datos personales dentro de la Uni贸n;

(24)聽鈥榬elevant and reasoned objection鈥 means an objection to a draft decision as to whether there is an infringement of this Regulation, or whether envisaged action in relation to the controller or processor complies with this Regulation, which clearly demonstrates the significance of the risks posed by the draft decision as regards the fundamental rights and freedoms of data subjects and, where applicable, the free flow of personal data within the Union;

25) 芦servicio de la sociedad de la informaci贸n禄: todo servicio conforme a la definici贸n del art铆culo聽1, apartado聽1, letra聽b), de la Directiva (UE)聽2015/1535 del Parlamento Europeo y del Consejo聽[19];

(25)聽鈥榠nformation society service鈥 means a service as defined in point聽(b) of Article聽1(1) of Directive (EU) 2015/1535 of the European Parliament and of the Council聽[19];

Textos enlazados

[19] Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de informaci贸n en materia de reglamentaciones t茅cnicas y de reglas relativas a los servicios de la sociedad de la informaci贸n (DO L 241 de 17.9.2015, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2015:241:TOC

[19] Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services (OJ L 241, 17.9.2015, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2015:241:TOC

26) 芦organizaci贸n internacional禄: una organizaci贸n internacional y sus entes subordinados de Derecho internacional p煤blico o cualquier otro organismo creado mediante un acuerdo entre dos o m谩s pa铆ses o en virtud de tal acuerdo.

(26)聽鈥榠nternational organisation鈥 means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries.

Considerandos Deja un comentario
Considerandos

(26) Los principios de la protecci贸n de datos deben aplicarse a toda la informaci贸n relativa a una persona f铆sica identificada o identificable. Los datos personales seudonimizados, que cabr铆a atribuir a una persona f铆sica mediante la utilizaci贸n de informaci贸n adicional, deben considerarse informaci贸n sobre una persona f铆sica identificable. Para determinar si una persona f铆sica es identificable, deben tenerse en cuenta todos los medios, como la singularizaci贸n, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona f铆sica. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona f铆sica, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificaci贸n, teniendo en cuenta tanto la tecnolog铆a disponible en el momento del tratamiento como los avances tecnol贸gicos. Por lo tanto los principios de protecci贸n de datos no deben aplicarse a la informaci贸n an贸nima, es decir informaci贸n que no guarda relaci贸n con una persona f铆sica identificada o identificable, ni a los datos convertidos en an贸nimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha informaci贸n an贸nima, inclusive con fines estad铆sticos o de investigaci贸n.

(26) The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.

(27) El presente Reglamento no se aplica a la protecci贸n de datos personales de personas fallecidas. Los Estados miembros son competentes para establecer normas relativas al tratamiento de los datos personales de estas.

(27) This Regulation does not apply to the personal data of deceased persons. Member聽States may provide for rules regarding the processing of personal data of deceased persons.

(28) La aplicaci贸n de la seudonimizaci贸n a los datos personales puede reducir los riesgos para los interesados afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protecci贸n de los datos. As铆 pues, la introducci贸n expl铆cita de la 芦seudonimizaci贸n禄 en el presente Reglamento no pretende excluir ninguna otra medida relativa a la protecci贸n de los datos.

(28) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of 鈥榩seudonymisation鈥 in this Regulation is not intended to preclude any other measures of data protection.

(29) Para incentivar la aplicaci贸n de la seudonimizaci贸n en el tratamiento de datos personales, debe ser posible establecer medidas de seudonimizaci贸n, permitiendo al mismo tiempo un an谩lisis general, por parte del mismo responsable del tratamiento, cuando este haya adoptado las medidas t茅cnicas y organizativas necesarias para garantizar que se aplique el presente Reglamento al tratamiento correspondiente y que se mantenga por separado la informaci贸n adicional para la atribuci贸n de los datos personales a una persona concreta. El responsable que trate datos personales debe indicar cu谩les son sus personas autorizadas.

(29) In order to create incentives to apply pseudonymisation when processing personal data, measures of pseudonymisation should, whilst allowing general analysis, be possible within the same controller when that controller has taken technical and organisational measures necessary to ensure, for the processing concerned, that this Regulation is implemented, and that additional information for attributing the personal data to a specific data subject is kept separately. The controller processing the personal data should indicate the authorised persons within the same controller.

(30) Las personas f铆sicas pueden ser asociadas a identificadores en l铆nea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesi贸n en forma de 芦cookies禄 u otros identificadores, como etiquetas de identificaci贸n por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores 煤nicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas f铆sicas e identificarlas.

(30) Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

(31) Las autoridades p煤blicas a las que se comunican datos personales en virtud de una obligaci贸n legal para el ejercicio de su misi贸n oficial, como las autoridades fiscales y aduaneras, las unidades de investigaci贸n financiera, las autoridades administrativas independientes o los organismos de supervisi贸n de los mercados financieros encargados de la reglamentaci贸n y supervisi贸n de los mercados de valores, no deben considerarse destinatarios de datos si reciben datos personales que son necesarios para llevar a cabo una investigaci贸n concreta de inter茅s general, de conformidad con el Derecho de la Uni贸n o de los Estados miembros. Las solicitudes de comunicaci贸n de las autoridades p煤blicas siempre deben presentarse por escrito, de forma motivada y con car谩cter ocasional, y no deben referirse a la totalidad de un fichero ni dar lugar a la interconexi贸n de varios ficheros. El tratamiento de datos personales por dichas autoridades p煤blicas debe ser conforme con la normativa en materia de protecci贸n de datos que sea de aplicaci贸n en funci贸n de la finalidad del tratamiento.

(31) Public authorities to which personal data are disclosed in accordance with a legal obligation for the exercise of their official mission, such as tax and customs authorities, financial investigation units, independent administrative authorities, or financial market authorities responsible for the regulation and supervision of securities markets should not be regarded as recipients if they receive personal data which are necessary to carry out a particular inquiry in the general interest, in accordance with Union or Member State law. The requests聽for disclosure sent by the public authorities should always be in writing, reasoned and occasional and should not concern the entirety of a filing system or lead to the interconnection of filing systems. The processing of personal data by those public authorities should comply with the applicable data-protection rules according to the purposes of the processing.

(32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestaci贸n de voluntad libre, espec铆fica, informada, e inequ铆voca del interesado de aceptar el tratamiento de datos de car谩cter personal que le conciernen, como una declaraci贸n por escrito, inclusive por medios electr贸nicos, o una declaraci贸n verbal. Esto podr铆a incluir marcar una casilla de un sitio web en internet, escoger par谩metros t茅cnicos para la utilizaci贸n de servicios de la sociedad de la informaci贸n, o cualquier otra declaraci贸n o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacci贸n no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a ra铆z de una solicitud por medios electr贸nicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

(32) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

(33) Con frecuencia no es posible determinar totalmente la finalidad del tratamiento de los datos personales con fines de investigaci贸n cient铆fica en el momento de su recogida. Por consiguiente, debe permitirse a los interesados dar su consentimiento para determinados 谩mbitos de investigaci贸n cient铆fica que respeten las normas 茅ticas reconocidas para la investigaci贸n cient铆fica. Los interesados deben tener la oportunidad de dar su consentimiento solamente para determinadas 谩reas de investigaci贸n o partes de proyectos de investigaci贸n, en la medida en que lo permita la finalidad perseguida.

(33) It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose.

(34) Debe entenderse por datos gen茅ticos los datos personales relacionados con caracter铆sticas gen茅ticas, heredadas o adquiridas, de una persona f铆sica, provenientes del an谩lisis de una muestra biol贸gica de la persona f铆sica en cuesti贸n, en particular a trav茅s de un an谩lisis cromos贸mico, un an谩lisis del 谩cido desoxirribonucleico (ADN) o del 谩cido ribonucleico (ARN), o del an谩lisis de cualquier otro elemento que permita obtener informaci贸n equivalente.

(34) Genetic data should be defined as personal data relating to the inherited or acquired genetic characteristics of a natural person which result from the analysis of a biological sample from the natural person in question, in particular chromosomal, deoxyribonucleic acid (DNA) or ribonucleic acid (RNA) analysis, or from the analysis of another element enabling equivalent information to be obtained.

(35) Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan informaci贸n sobre su estado de salud f铆sica o mental pasado, presente o futuro. Se incluye la informaci贸n sobre la persona f铆sica recogida con ocasi贸n de su inscripci贸n a efectos de asistencia sanitaria, o con ocasi贸n de la prestaci贸n de tal asistencia, de conformidad con la Directiva 2011/24/UE del Parlamento Europeo y del Consejo [9]; todo n煤mero, s铆mbolo o dato asignado a una persona f铆sica que la identifique de manera un铆voca a efectos sanitarios; la informaci贸n obtenida de pruebas o ex谩menes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos gen茅ticos y muestras biol贸gicas, y cualquier informaci贸n relativa, a t铆tulo de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial m茅dico, el tratamiento cl铆nico o el estado fisiol贸gico o biom茅dico del interesado, independientemente de su fuente, por ejemplo un m茅dico u otro profesional sanitario, un hospital, un dispositivo m茅dico, o una prueba diagn贸stica in vitro.

(35) Personal data concerning health should include all data pertaining to the health status of a data subject which reveal information relating to the past, current or future physical or mental health status of the data subject. This includes information about the natural person collected in the course of the registration for, or the provision of, health care services as referred to in Directive聽2011/24/EU of the European Parliament and of the Council聽[9]聽to that natural person; a number, symbol or particular assigned to a natural person to uniquely identify the natural person for health purposes; information derived from the testing or examination of a body part or bodily substance, including from genetic data and biological samples; and any information on, for example, a disease, disability, disease risk, medical history, clinical treatment or the physiological or biomedical state of the data subject independent of its source, for example from a physician or other health professional, a hospital, a medical device or an in vitro diagnostic test.

[9] Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicaci贸n de los derechos de los pacientes en la asistencia sanitaria transfronteriza (DO L 88 de 4.4.2011, p. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

[9] Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of patients' rights in cross-border healthcare (OJ L 88, 4.4.2011, p. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

(36) El establecimiento principal de un responsable del tratamiento en la Uni贸n debe ser el lugar de su administraci贸n central en la Uni贸n, salvo que las decisiones relativas a los fines y medios del tratamiento de los datos personales se tomen en otro establecimiento del responsable en la Uni贸n, en cuyo caso, ese otro establecimiento debe considerarse el establecimiento principal. El establecimiento principal de un responsable en la Uni贸n debe determinarse en funci贸n de criterios objetivos y debe implicar el ejercicio efectivo y real de actividades de gesti贸n que determinen las principales decisiones en cuanto a los fines y medios del tratamiento a trav茅s de modalidades estables. Dicho criterio no debe depender de si el tratamiento de los datos personales se realiza en dicho lugar. La presencia y utilizaci贸n de medios t茅cnicos y tecnolog铆as para el tratamiento de datos personales o las actividades de tratamiento no constituyen, en s铆 mismas, establecimiento principal y no son, por lo tanto, criterios determinantes de un establecimiento principal. El establecimiento principal del encargado del tratamiento debe ser el lugar de su administraci贸n central en la Uni贸n o, si careciese de administraci贸n central en la Uni贸n, el lugar en el que se llevan a cabo las principales actividades de tratamiento en la Uni贸n. En los casos que impliquen tanto al responsable como al encargado, la autoridad de control principal competente debe seguir siendo la autoridad de control del Estado miembro en el que el responsable tenga su establecimiento principal, pero la autoridad de control del encargado debe considerarse autoridad de control interesada y participar en el procedimiento de cooperaci贸n establecido en el presente Reglamento. En cualquier caso, las autoridades de control del Estado miembro o los Estados miembros en los que el encargado tenga uno o varios establecimientos no deben considerarse autoridades de control interesadas cuando el proyecto de decisi贸n afecte 煤nicamente al responsable. Cuando el tratamiento lo realice un grupo empresarial, el establecimiento principal de la empresa que ejerce el control debe considerarse el establecimiento principal del grupo empresarial, excepto cuando los fines y medios del tratamiento los determine otra empresa.

(36) The main establishment of a controller in the Union should be the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union, in which case that other establishment should be considered to be the main establishment. The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes and means of processing through stable arrangements. That criterion should not depend on whether the processing of personal data is carried out at that location. The presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union or, if it has no central administration in the Union, the place where the main processing activities take place in the Union. In cases involving both the controller and the processor, the competent lead supervisory authority should remain the supervisory authority of the Member State where the controller has its main establishment, but the supervisory authority of the processor should be considered to be a supervisory authority concerned and that supervisory authority should participate in the cooperation procedure provided for by this Regulation. In any case, the supervisory authorities of the Member State or Member聽States where the processor has one or more establishments should not be considered to be supervisory authorities concerned where the draft decision concerns only the controller. Where the processing is carried out by a group of undertakings, the main establishment of the controlling undertaking should be considered to be the main establishment of the group of undertakings, except where the purposes and means of processing are determined by another undertaking.

(37) Un grupo empresarial debe estar constituido por una empresa que ejerce el control y las empresas controladas, debiendo ser la empresa que ejerce el control la que pueda ejercer una influencia dominante en las otras empresas, por razones, por ejemplo, de propiedad, participaci贸n financiera, normas por las que se rige, o poder de hacer cumplir las normas de protecci贸n de datos personales. Una empresa que controle el tratamiento de los datos personales en las empresas que est茅n afiliadas debe considerarse, junto con dichas empresas, 芦grupo empresarial禄.

(37) A group of undertakings should cover a controlling undertaking and its controlled undertakings, whereby the controlling undertaking should be the undertaking which can exert a dominant influence over the other undertakings by virtue, for example, of ownership, financial participation or the rules which govern it or the power to have personal data protection rules implemented. An undertaking which controls the processing of personal data in undertakings affiliated to it should be regarded, together with those undertakings, as a group of undertakings.

Deja un comentario
[js-disqus]