Marco Normativo

Cataluña

• Artículo 31 del Estatuto de autonomía de Cataluña, de 20 de julio de 2006, sobre derecho a la protección de los datos personales.
• Ley 32/2010, del 1 de octubre de 2010, de la Autoridad Catalana de Protección de Datos.
   

Estado Español

• Artículo 18.4 de la Constitución española, de 29 de diciembre de 1978.
• Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
   

Unión Europea

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento de datos personales y a la libre circulación de estos datos, y por el cual se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
• Artículos 7 y 8 de la Carta de derechos fundamentales de la Unión Europea, de 30 de marzo de 2010.
   

Otros

• Autoridad Catalana de Protección de Datos (APDCAT).
• Agencia Española de Protección de Datos (AEPD).

---

Glosario

Términos extraídos del Reglamento europeo 2016/679, de 27 de abril, general de protección de datos (RGPD) y del resto de la normativa vigente en materia de protección de datos.

Violación de la seguridad de los datos personales: Cualquier violación de la seguridad que ocasiona la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o el acceso no autorizados a estos datos.

• Afectado o interesado: Persona física titular de los datos objeto de tratamiento.
• Autoridad de control interesada: Autoridad a la que afecta el tratamiento de datos personales por los siguientes motivos:

1. El responsable o encargado del tratamiento está establecido en el territorio del Estado miembro de esta autoridad de control.
2. Los interesados ​​que residen en el Estado miembro de esta autoridad de control se ven sustancialmente afectados o es probable que se vean.
3. Se ha presentado una reclamación ante esa autoridad de control.

• Autoridad de control: Autoridad pública independiente establecida por un Estado miembro de acuerdo con lo que dispone el artículo 51 del RGPD.
• Consentimiento del interesado: Cualquier manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado o afectado acepta, mediante declaración o clara acción afirmativa, el tratamiento de sus datos personales.
• Datos biométricos: Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de esa persona, tales como imágenes faciales o datos dactiloscópicos.
• Datos genéticos: Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionan una información única sobre la fisiología o la salud de esta persona, obtenidas en particular del análisis de una muestra biológica.
• Datos personales: Cualquier información sobre una persona física identificada o identificable (el afectado o interesado). Se considera persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular con un identificador, tales como un nombre, un número de identificación, datos de localización, un identificador online o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social.
• Datos relativos a la salud: Datos personales relativos a la salud física o mental de una persona física, incluyendo la prestación de servicios de atención sanitaria, que revelan información sobre su estado de salud.
• Delegado de protección de datos (DPD): Conocido popularmente como DPO (en inglés, data protection officer), constituye uno de los elementos clave del RGPD, puesto que garantiza el cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las autoridades de control. Actúa de forma independiente y tiene las siguientes funciones: informar, asesorar y supervisar el cumplimiento del RGPD por parte del responsable o encargado del tratamiento, y especialmente acompañar al afectado o interesado en caso de reclamación, ejercicio de derecho y resolución de consultas.
• Destinatario: Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo al que se le comunican datos personales, ya sea un tercero o no. No obstante, las autoridades públicas que pueden recibir datos personales en el marco de una investigación concreta no deben considerarse destinatarios, de conformidad con el derecho de la Unión o de los Estados miembros. El tratamiento de los datos por parte de las autoridades públicas debe realizarse de acuerdo con las normas en materia de protección de datos aplicables a las finalidades del tratamiento.
• Elaboración de perfiles: Cualquier forma de tratamiento automatizado de datos personales consistente en utilizar estos datos para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos.
• Empresa: Persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluyendo a las sociedades o asociaciones que ejercen regularmente una actividad económica.
• Encargado del tratamiento: Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trata datos personales por cuenta del responsable del tratamiento.
• Establecimiento principal:

1. En cuanto a un responsable del tratamiento con establecimientos en más de un estado miembro: el lugar de su administración central en la UE, salvo que las decisiones sobre los fines y medios del tratamiento se tomen en otro establecimiento del responsable en la UE y este último establecimiento tenga el poder de hacer aplicar las decisiones; si esto ocurre, el establecimiento que las haya adoptado se considerará el establecimiento principal.
2. En cuanto a un encargado del tratamiento con establecimientos en más de un estado miembro: el puesto de su administración central en la UE o, en su defecto, el establecimiento del encargado en la UE en el que se desarrollan las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado, en la medida en que el encargado está sujeto a obligaciones específicas de acuerdo con el mismo.

• Archivo: Cualquier conjunto estructurado de datos personales, accesibles de acuerdo con criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.
• Grupo empresarial: Grupo constituido por una empresa que ejerce el control y empresas que controla.
• Limitación del tratamiento: Marcaje de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro.
• Normas corporativas vinculantes: Políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o para un conjunto de transferencias de datos personales a un responsable o encargado en un país tercero o más, dentro de un grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta.
• Objeción pertinente y motivada: Objeción a una propuesta de decisión sobre la existencia o no de infracción del RGPD, o sobre la conformidad con este reglamento de acciones previstas en relación con el responsable o encargado del tratamiento, que demuestre claramente la importancia de los riesgos que comporta la propuesta para los derechos y libertades fundamentales de los afectados y, en su caso, para la libre circulación.
• Organización internacional: Organización internacional y sus entes subordinados de derecho internacional público o cualquier otro organismo creado mediante acuerdo entre dos o más países o en virtud del RGPD.
• Pseudonimización: Tratamiento de datos personales de forma que ya no se puedan atribuir a un interesado sin utilizar información adicional, siempre que esta información conste por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyen a una persona física identificada o identificable.
• Representante: Persona física o jurídica establecida en la UE que, habiendo sido designada por escrito por el responsable o encargado del tratamiento, de acuerdo con el artículo 27 del RGPD (representantes de responsables o encargados del tratamiento no establecidos en la UE), representa al responsable o encargado del tratamiento en las obligaciones respectivas en virtud del RGPD.
• Responsable del tratamiento: Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o junto a otros, determina las finalidades y medios del tratamiento. Si el derecho de la UE o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para nombrarlo podrá establecerlos el derecho de la UE o el de los Estados miembros.
• Servicio de la sociedad de la información: Cualquier servicio de acuerdo con la definición del artículo 1, apartado 1, letra b de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo.
• Tercero: Persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o el encargado.
• Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, tales como la recogida, el registro, la organización, la estructuración, la conservación, la adaptación o la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, la limitación, la difusión o cualquier otra forma de habilitación, destrucción.
• Tratamiento transfronterizo:

1. El tratamiento de datos personales efectuado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o encargado del tratamiento en la UE, si el responsable o encargado está establecido en más de un Estado miembro.
2. El tratamiento de datos personales efectuado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la UE, pero que afecta o puede afectar sustancialmente a personas interesadas en más de un estado miembro.

• Violación de la seguridad de los datos personales: Cualquier violación de la seguridad que ocasiona la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o el acceso no autorizados a estos datos.