iubenda ha creado un sistema que te permite aplicar distintos derechos a distintos grupos de usuarios cuyos datos personales recopilas y tratas como “responsable del tratamiento” (este es el término empleado por el RGPD para cualquiera que determine los fines y medios del tratamiento de datos personales).
En particular:
💡 Si te diriges a usuarios de EE. UU., puede que se te aplique la Ley de Privacidad de los Consumidores de California (CCPA). Puedes consultar todo sobre la CCPA y hacer nuestra evaluación gratuita aquí.
Puedes elegir “Aplicar los estándares de protección más altos del RGPD a”
Puedes encontrar el botón aquí:
Una vez que hayas elegido qué derechos ofrecer a cada tipo de usuario, puedes continuar.
Entonces debes aplicar los estándares de protección más elevados a todos tus usuarios, porque todas tus actividades de tratamiento de datos están sometidas al RGPD. Esto también incluye a tus usuarios fuera de la UE.
Entonces, en principio, puedes elegir entre aplicar los estándares de protección más elevados a todos tus usuarios o aplicarlos tan solo en aquellos casos en los que el tratamiento de datos personales esté sometido al RGPD. Ten en cuenta que debes aplicar estándares de protección más elevados cuando el tratamiento
Si eres responsable del tratamiento de datos personales y tienes tu sede en EE. UU., puedes optar por aplicar los derechos básicos a tus usuarios, tal y como exige la legislación estadounidense. Sin embargo, si parte de tus actividades de tratamiento de datos consiste en la oferta de bienes o servicios (de pago o gratuitos) a usuarios de la UE, o en supervisar el comportamiento de usuarios de la UE, entonces estás obligado a aplicar estándares de protección más elevados a dichos usuarios.
La aplicación de estándares de protección de datos más exigentes puede tener una serie de implicaciones adicionales, descritas a continuación.
Si recopilas datos personales en la UE, puedes transferirlos libremente a otros países pertenecientes a la UE o al EEE. Sin embargo, si estás planeando transferir dichos datos a otros países, como Suiza o EE. UU., necesitarás una base jurídica válida para poder hacerlo.
Servicios que podrías añadir:
Cuando trabajas con socios o añades servicios procedentes del exterior de la UE/EEE (como por ejemplo Google Analytics), estás transfiriendo datos personales fuera de la UE. Los servicios incluidos en nuestro generador incluyen una estimación de la sede del servicio.
Cuando añades un servicio personalizado (es decir, un servicio redactado por ti mismo), asegúrate de indicar la base jurídica que estás utilizando para la transferencia de datos..
Si eres responsable del tratamiento de datos y tienes tu sede fuera de la UE, estarás transfiriendo datos personales fuera de la UE cuando recopiles datos de usuarios radicados en la UE. Asegúrate de hacerlo de acuerdo con una de las bases jurídicas para la transferencia.
El RGPD proporciona una serie de bases jurídicas válidas para la transferencia de datos personales fuera de la UE. Las más importantes son:
Cuando la Comisión Europea considera que un país determinado tiene unos estándares de protección de datos personales comparables a los aplicables en la UE, emite una decisión de adecuación. Si estás planeando transferir datos a uno de estos países, puedes hacerlo: simplemente tendrás que informar a tus usuarios a través de tu política de privacidad.
Por el momento, se han adoptado decisiones de adecuación sobre Andorra, Argentina, Canadá (organizaciones comerciales), Islas Feroe, Guernsey, Israel, Isla de Man, Jersey, Nueva Zelanda, Suiza, Uruguay y Japón.
En este caso, debes añadir el servicio: “Transferencia de datos a países que garantizan los estándares europeos“.
Si el país al que planeas exportar o transferir datos no garantiza un nivel adecuado de protección de los mismos, puedes asegurarte de que el importador específico de los datos (es decir, la empresa o individuo a quien estás transfiriendo los datos) cumple con normas más estrictas. Para ello, tendrás que firmar un contrato con el importador de los datos que incluya cláusulas contractuales tipo elaboradas por la Comisión Europea. En la mayoría de los casos, utilizarás las cláusulas contractuales tipo para responsables del tratamiento con sede en la UE que exporten datos a encargados con sede fuera de la UE.
Una vez más: si has firmado un contrato de este tipo con el importador, puedes transferir datos personales fuera de la UE, pero tendrás que mencionarlo en tu política de privacidad.
En este caso, debes añadir el servicio: “Transferencia de datos al extranjero basada en cláusulas contractuales tipo“.
Finalmente, si ninguna de las opciones mencionadas anteriormente es viable, puedes recopilar el consentimiento de tus usuarios para transferir sus datos fuera de la UE.Esta es la situación más complicada, porque tendrás que asegurarte de que su consentimiento sea (entre otros aspectos) “informado”. ¿Sabes realmente lo que sucederá con los datos del usuario una vez que se exporten fuera de la UE? ¿Sabes qué tipo de medidas de seguridad están siendo provistas por la legislación local o adoptadas por iniciativa del importador de datos para garantizar la protección de los datos personales?
Si eres capaz de proporcionar esta información, puedes pedirle a tus usuarios su consentimiento para transferir sus datos personales; pero si no eres capaz de responder a estas preguntas, ten cuidado: el consentimiento que recopiles no se considerará “informado” y será, por lo tanto, inválido.
En este caso, debes añadir el servicio: “Transferencia de datos al extranjero basada en el consentimiento“.
Finalmente, cabe destacar que el RGPD menciona otras (aunque menos relevantes) para transferir datos fuera de la UE. Si basas tus transferencias de datos en cualquiera de estas opciones, deberías elegir el servicio “Otras bases jurídicas para transferencias de datos al extranjero” y especificar o añadir los detalles relevantes mediante una cláusula personalizada.
Si estás transfiriendo datos personales desde Suiza a otro país, debes hacerlo en virtud de una de las bases jurídicas válidas según la legislación suiza.
Puedes encontrar más información sobre las reglas de protección de datos a nivel federal en Suiza aquí.
La elaboración de perfiles hace referencia a cualquier tratamiento automatizado de datos personales con el fin de evaluar determinados aspectos relacionados con una persona física, en particular para analizar o predecir aspectos relacionados con su desempeño en el trabajo, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos.
Si elaboras perfiles de tus usuarios, tienes que informarles. Por lo tanto, debes elegir la cláusula correspondiente en nuestro generador de políticas de privacidad.
Servicios que podrías añadir:
Si vendes productos y mantienes un registro de las elecciones de tus usuarios con fines de marketing, dividiéndolos en categorías significativas, como por edad, sexo, origen geográfico, etc., estás elaborando perfiles.
La toma de decisiones automatizada (o ADM por sus siglas en inglés), es un proceso que te permite tomar decisiones que pueden tener efectos legales o similares sobre los usuarios de forma totalmente automatizada, es decir, sin intervención humana. Este proceso de ADM puede estar basado en la elaboración de perfiles (explicada anteriormente).
Si estás implementando un proceso de ADM, tienes que informar a tus usuarios. Por lo tanto, debes elegir la cláusula correspondiente en nuestro generador de políticas de privacidad. Ten en cuenta que nuestros usuarios tienen un derecho específico de oposición a los procesos de ADM, que se encuentra especificado en la sección sobre la toma de decisiones automatizada de tu política de privacidad.
Servicios que podrías añadir:
Eres un banco. Para decidir si los usuarios son elegibles para recibir un préstamo, deben completar sus datos personales en un formulario. Un algoritmo evalúa estos datos de forma totalmente automática y se toma la decisión.
Si no estás recopilando directamente los datos personales del usuario, sino que los estás obteniendo de un tercero, debes informar al usuario sobre este tercero, además de respetar el resto de tus obligaciones de información. Elige la cláusula correspondiente en nuestro generador de políticas de privacidad.
Se debe proporcionar esta información al usuario en el plazo de un mes desde que se recopilaron los datos y
Servicios que podrías añadir:
Eres cazatalentos. Encuentras un perfil interesante en LinkedIn. Tan pronto como te pongas en contacto con el candidato en cuestión o transfieras sus datos al potencial empleador, o bien en el plazo máximo de un mes, tienes que proporcionar al candidato toda la información obligatoria, incluyendo la mención de LinkedIn como fuente de sus datos.
Si eres responsable del tratamiento de datos personales y tienes tu sede fuera de la UE, tienes que nombrar como representante en la UE a una persona física o jurídica radicada en uno de los países de la UE en los que se encuentren tus usuarios. Este nombramiento debe hacerse por escrito y tu política de privacidad debe mencionar al representante elegido.
Por lo tanto, tienes que añadir los detalles del representante (como su nombre e información de contacto) en la sección donde se incluye la información de tu empresa.
En ciertas condiciones, debes designar a una persona física o jurídica como delegado de protección de datos (DPD) y mencionarla en tu política de privacidad.
En particular, debes nombrar un DPD cuando:
Si te afecta alguna de las condiciones mencionadas anteriormente, tienes que añadir los detalles de tu DPD (es decir, la información de contacto de tu delegado de protección de datos) en la sección donde se incluye la información de tu empresa.
Ten en cuenta que el RGPD permite a los Estados miembros de la UE añadir condiciones adicionales que pueden obligarte a nombrar un DPD. Por lo tanto, tienes que comprobar si estás sujeto a alguna disposición nacional de un Estado miembro de la UE además del RGPD y si tales disposiciones requieren que designes un DPD.
Puedes encontrar más información sobre el delegado de protección de datos y otros temas en nuestra Guía del RGPD.