GUÍA I.-NORMATIVA DE LA UE* SOBRE PROTECCIÓN DE DATOS PERSONALES

SUMARIO

&&&
I.-DISPOSICIONES GENERALES
Artículo 4 Definiciones -4) «elaboración de perfiles»-
Elaboración de su perfil intelectual para personalizar y aprovechar lo mejor posible su estudio del curso
El tratamiento de datos personales por Docuplay tiene por objeto la elaboración de perfiles con algunos de los fines señalados en la definición del Reglamento, y otros que no figuran en ella, como su conocimiento de la materia de un curso, su pericia en el uso de los recursos que le ofrece Docuplay, sus aptitudes colaborativas, personalizar los servicios de Docuplay, rentabilizar su estudio ante terceros (empresas privadas y públicas) etc.
Artículo 4 Definiciones -5) «seudonimización»-
Utilización de un seudónimo para proteger su identidad personal ante terceros
Docuplay garantiza la seudonimización de datos personales con los siguientes objetivos: garantizar la no identificabilidad de alumnos o exalumnos en páginas reproducidas en los Registros de Cursos en las que el titular del registro intervenga junto con otros alumnos del curso; poder hacer compatible la continuidad del tratamiento de datos personales con el derecho de los alumnos de retirar su consentimiento para dicho tratamiento, compatibilizar el derecho al anonimato con el aprovechamiento de sus colaboraciones en virtud del carácter colaborativo de Docuplay etc.
Artículo 4 Definiciones -11) «consentimiento del interesado»-
Su consentimiento a este tratamiento se expresa en el hecho de su suscripción
Docuplay garantiza que, aportando la información necesaria, el consentimiento del alumno respecto al tratamiento de sus datos personales se basará en un conocimiento exhaustivo de los fines y consecuencias del tratamiento de sus datos personales y que, por tanto, su acuerdo será inequívoco y fundado.
Artículo 4 Definiciones --14)«datos biométricos»-
Utilización de sus medidas biométricas para garantizar la fiabilidad de sus datos
Docuplay utilizará “medidas biométricas” tales como huellas dactilares, voz, iris ocular etc. para garantizar la fiabilidad de datos personales o, en otras palabras, para asegurarse de que los datos del rendimiento del alumno , como respuestas, tiempo dedicado, comentarios, aportaciones etc. , corresponden efectivamente al titular del registro de actividades del curso.
Artículo 4 Definiciones -20) «normas corporativas vinculantes»-
Complementación de las normas del GDPR con las del código de Docuplay
Docuplay presenta a continuación de este GDPR su propio código de conducta, de cumplimiento obligatorio para sus alumnos y empleados.

II.-PRINCIPIOS
Artículo 5 Principios relativos al tratamiento
Docuplay asume los principios del GDPR relativos al tratamiento de los datos personales de sus estudiantes, y en especial los siguientes:
El tratamiento de los datos personales de sus alumnos por Docuplay cumplirá con los principios del GDPR de esta manera:
a) facilitándoles toda la información sobre sus fines y haciendo que estos sean beneficiosos para los alumnos;
b) limitando el tiempo de tratamiento, pero continuando su aprovechamiento mediante los recursos de seudonimización y cifrado para no perjudicar por ello los fines de investigación científica e histórica y el beneficio de ulteriores promociones de estudiantes, de acuerdo con el espíritu colaborativo de Docuplay;
c)reduciendo el número de los datos personales a los más imprescindibles;
d) cuidando que sean exactos y verídicos, procurando para ello que sean revisados y actualizados periódicamente;
e) empleando medidas de seudonimización y cifrado para que sean posibles la conservación y el aprovechamiento por tiempo indefinido de los datos de valor didáctico, cultural o científico aportados por exalumnos , sin perjudicar con ello los intereses personales o profesionales de estos.
f) velando por la confidencialidad de los datos personales, reforzando con ello la seudonimización y cifrado de los mismos mediante el uso de dos tablas-ficheros, uno para los nombres cifrados y otro para los reales.
Artículo 6 Licitud del tratamiento
Docuplay garantiza el cumplimiento de las condiciones indispensables, según el GDPR; para la licitud de su tratamiento de los datos personales de sus alumnos. En particular, las siguientes:
Docuplay garantiza el cumplimiento de las condiciones indispensables para la licitud de su tratamiento de los datos personales de sus alumnos. En particular, “a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos”; “b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte” (…); “c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”;”e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público” (…); “f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable (…) siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado (…), en particular cuando el interesado sea un niño”.
Artículo 6 Licitud del tratamiento
En el caso de un fin sobrevenido, o sea, no previsto aquí, Docuplay respetará lo dispuesto por el GDPR:
En el caso de un fin sobrevenido, Docuplay respetará lo dispuesto por el Reglamento: “4. (…) el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas: a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;(…); “d) las posibles consecuencias para los interesados del tratamiento ulterior previsto”; “e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización”.
Artículo 7 Condiciones para el consentimiento
Respecto a la constancia del consentimiento del alumno en el tratamiento de sus datos personales, Docuplay tendrá en cuenta estos criterios del GDPR:
Respecto a la constancia del consentimiento del alumno en el tratamiento de sus datos personales, Docuplay tendrá en cuenta estos criterios del Reglamento: “1.Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales”. “2. …, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo”. (…) “3.El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.” “4.Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato”.
Artículo 8 Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información
Respecto al consentimiento del niño o menor de edad (hasta los 16 años), Docuplay asume los criterios del GDPR:
Respecto al consentimiento del niño o menor de edad (hasta los 16 años), Docuplay asume los criterios del Reglamento:
“1. …, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.”
“2. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible”.
Artículo 9 Tratamiento de categorías especiales de datos personales
Respecto al tratamiento “de categorías especiales de datos personales”, Docuplay pide el consentimiento para el tratamiento de los mismos “cuando concurra una de las circunstancias siguientes”, y muy especialmente la del apartado j) del GDPR:
“Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual”),
Docuplay pide el consentimiento para el tratamiento de los mismos
“cuando concurra una de las circunstancias siguientes:
“a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados” (…); “b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado” (…); “c) el tratamiento es necesario para proteger intereses vitales del interesado” (…); “e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos”; “g) el tratamiento es necesario por razones de un interés público esencial” (…); “h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador” (…); “j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1” (…), fines que complementan los educativos de Docuplay.

III.-DERECHOS DEL INTERESADO
Sección 1
Transparencia y modalidades
Artículo 12 Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado
Respecto a lo dispuesto en el artículo 12 del Reglamento , Docuplay cumplirá con lo dispuesto en los apartados 1 al 4, pero advirtiendo al alumnado que “5. (…). GDPR
Respecto a lo dispuesto en el artículo 12 del Reglamento , Docuplay cumplirá con lo dispuesto en los apartados 1 al 4, pero advirtiendo al alumnado que
“5. (…). Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:
a) cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o
b) negarse a actuar respecto de la solicitud. El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud”.
Sección 2
Información y acceso a los datos personales
Artículo 13 Información que deberá facilitarse cuando los datos personales se obtengan del interesado
En cumplimiento de lo dispuesto por el Reglamento en su artículo 13, estas son las informaciones declaradas por Docuplay:
GDPR
En cumplimiento de lo dispuesto por el Reglamento en su artículo 13, estas son las informaciones declaradas por Docuplay:
Respecto al párrafo 1:
a+b) Responsable: Jesús González Bedoya, docuplay@docuplay.com ;
c) fines del tratamiento: enunciados en la Misión y el Lema de Docuplay, en la portada; base jurídica: el contrato entre Docuplay y el alumno, implícito en el hecho de su suscripción;
e) destinatarios inmediatos: los propios interesados suscritos a cursos de Docuplay; destinatarios próximos: los empleadores potenciales de los destinatarios inmediatos; destinatarios remotos: las sociedades a las que pertenecen los destinatarios inmediatos; f) Docuplay pretende transferir los datos personales, en una primera fase, a todos los países que compartan el mismo idioma y, posteriormente, a todo el mundo, en aplicación de su principio estratégico, el colaborativismo y dado el perfeccionamiento rápido de la traducción automática de cualquier texto a cualquier idioma.
Respecto al párrafo 2, para que su tratamiento de datos sea “leal y transparente”, el responsable de Docuplay garantiza:
a) que desde el inicio los datos personales identificativos del alumno serán ocultados mediante la seudonimización y el cifrado y conservados en ficheros diferentes, lo que permitirá su conservación indefinida sin perjuicio de los intereses personales;
“b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos”;
“c) …, la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada”;
“d) el derecho a presentar una reclamación ante una autoridad de control”;
“e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos”;
“f) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado”
“3.Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2”
Artículo 14 Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado
En este supuesto del GDPR , Docuplay considera que sirven los mismos datos aportados en el artículo 13.
En este supuesto del GDPR , Docuplay considera que sirven los mismos datos aportados en el artículo 13.
Artículo 15 Derecho de acceso del interesado
Respecto al artículo 15, Docuplay declara lo siguiente sobre cada apartado de GDPR:
Respecto al artículo 15, Docuplay declara sobre cada apartado:
“1.El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información”: El tratamiento de los datos personales empieza desde el momento mismo de la suscripción a un curso; el alumno puede acceder a sus datos personales en el formulario que ha rellenado al suscribirse, subservicio 1.2. y Docuplay pone a su disposición los dos ficheros de datos seudonimizados y de datos cifrados.
“a) los fines del tratamiento;”: ver artículo 13, 1.c)
“b) las categorías de datos personales de que se trate;”: v. art. 13, 1.e)
“c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales (…);”: v. art. 13, 1. e)
“d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;”: v. art. 13, 2. a)
“e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;”: v. art. 13, 2. b)
“f) el derecho a presentar una reclamación ante una autoridad de control;” v. art. 13, 2. d)
“g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;”:
“h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.” v. art. 13, 2. f)
“2.Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.”: ver art. 13, 1.f) y art. 46
3.El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.”: Como ya se ha dicho, el alumno dispone de sus datos personales en el formulario que rellena al suscribirse a cada curso (en el 1.Servicio educativo, subservicio 1.2.) ; además, Docuplay pone a su disposición dos ficheros de datos, el de los seudonimizados y el de los cifrados.
Sección 3
Rectificación y supresión
Artículo 16 Derecho de rectificación
Derecho asumido por Docuplay en los mismos términos del GDPR
Derecho asumido por Docuplay en los mismos términos del GDPR.
Artículo 18 Derecho a la limitación del tratamiento
Docuplay asume lo dispuesto en el artículo 18 del GDPR, especialmente cuando se produzca la primera de las condiciones citadas:
Docuplay asume lo dispuesto en el artículo 18 del Reglamento, especialmente cuando se produzca la primera de las condiciones citadas: “1.El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes: a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos”;
Dada tal circunstancia, Docuplay se compromete también a que: “3.Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por el responsable antes del levantamiento de dicha limitación”.
Artículo 20 Derecho a la portabilidad de los datos
El responsable del tratamiento de datos personales en Docuplay atenderá el derecho a la portabilidad de sus alumnos en las condiciones indicadas en los párrafos 1 y 2.del GDPR:
El responsable del tratamiento de datos personales en Docuplay atenderá el derecho a la portabilidad de sus alumnos en las condiciones indicadas en los párrafos 1 y 2.:
“1.El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado” (…)
“2.Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible”.
Sección 4
Derecho de oposición y decisiones individuales automatizadas
Artículo 21 Derecho de oposición
Docuplay considera que sus alumnos no podrán oponerse al tratamiento de sus datos personales aduciendo los párrafos 2 y 3 del artículo 21 del Reglamento GDPR, dado que nunca empleará la “mercadotecnia directa”:
Docuplay considera que sus alumnos no podrán oponerse al tratamiento de sus datos personales aduciendo los párrafos 2 y 3 del artículo 21 del Reglamento, dado que nunca empleará la “mercadotecnia directa”:
“2.Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia”. “3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines”. De acuerdo con el párrafo 6 de este artículo, el tratamiento de los datos personales tendrán siempre por objetivo “el cumplimiento de una misión realizada por razones de interés público”, misión declarada en la portada de Docuplay.
Artículo 22 Decisiones individuales automatizadas, incluida la elaboración de perfiles
Respecto a este artículo del Reglamento, Docuplay declara que se considera legitimado por los párrafos 2 y 4 del GDPR para efectuar “decisiones individuales automatizadas, incluida la elaboración de perfiles”
Respecto a este artículo del Reglamento, Docuplay declara que se considera legitimado para efectuar “decisiones individuales automatizadas, incluida la elaboración de perfiles” por los párrafos 2 y 4 del GDPR.
“2. a) y c) 2.El apartado 1 no se aplicará si la decisión: a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento; (…)c) se basa en el consentimiento explícito del interesado.”
“4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado”. Respecto a las “medidas adecuadas” a que se refiere este párrafo, Docuplay cuenta con las de seudonimización y cifrado de los datos personales desde que el alumno se suscribe a un curso y el empleo de ficheros diferentes en ambos casos.

IV.-RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO
Sección 1
Obligaciones Generales
Artículo 24 Responsabilidad del responsable del tratamiento
Docuplay actúa de acuerdo con el párrafo 1 de este artículo del GDPR al aplicar desde el inicio de la suscripción a un curso “medidas técnicas y organizativas”:
Docuplay actúa de acuerdo con el párrafo 1 de este artículo al aplicar desde el inicio de la suscripción a un curso “medidas técnicas y organizativas”:
“1.Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.” Entre tales medidas están las ya citadas seudonimización y cifrado de los datos personales desde que el alumno se suscribe a un curso y el empleo de ficheros diferentes en ambos casos.
Artículo 25 Protección de datos desde el diseño y por defecto
Docuplay desarrollará y perfeccionará sus “medidas técnicas y organizativas”, como las ya operativas seudonimización, encriptación y duplicación de ficheros, para el objetivo de este artículo 25 del GDPR (“protección de datos desde el diseño y por defecto”):
Docuplay desarrollará y perfeccionará sus medidas técnicas y organizativas, como las ya operativas seudonimización, encriptación y duplicación de ficheros, para el objetivo de este artículo 25 (“protección de datos desde el diseño y por defecto”):
“1. …, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.”
“2.El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas”.
Artículo 26 Corresponsables del tratamiento
Docuplay notificará a sus alumnos el nombramiento, cuando se produzca, de “corresponsables del tratamiento” (art. 26 del GDPR), junto con los datos necesarios para que puedan contactar con ellos.
Docuplay notificará a sus alumnos el nombramiento, cuando se produzca, de “corresponsables del tratamiento” (art. 26 del GDPR), junto con los datos necesarios para que puedan contactar con ellos.
Artículo 27 Representantes de responsables o encargados del tratamiento no establecidos en la Unión
Al igual que con el nombramiento de corresponsables, Docuplay notificará a sus alumnos, de acuerdo con el GDPR, los nombramientos de representantes de los responsables del tratamiento de datos personales (artículo 27) y de encargados (art. 28).
Al igual que con el nombramiento de corresponsables, Docuplay notificará a sus alumnos los nombramientos de representantes de los responsables del tratamiento de datos personales (artículo 27) y de encargados (art. 28). Todos ellos “solo podrán tratar dichos datos siguiendo instrucciones del responsable” (art. 29). Exigencia repetida en el art. 32, párrafo 4. .”El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable” (…)
Artículo 30 Registro de las actividades de tratamiento
En cuanto al “registro de las actividades de tratamiento” que exige este artículo 30 del Reglamento, Docuplay lo efectuará cuando sobrepase los 250 empleados, según establece el párrafo 5 del GDPR:
En cuanto al “registro de las actividades de tratamiento” que exige este artículo 30 del Reglamento, Docuplay lo efectuará cuando sobrepase los 250 empleados, según establece el párrafo 5 del GDPR: “Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas” (…,)
Sección 2
Seguridad de los datos personales
Artículo 32 Seguridad del tratamiento
En este artículo 32 sobre la “seguridad del tratamiento” de datos personales se vuelve a incidir sobre las “medidas técnicas y organizativas” que ya figuran en anteriores artículos del GDPR
En este artículo 32 sobre la “seguridad del tratamiento” de datos personales se vuelve a incidir sobre las “medidas técnicas y organizativas” que ya figuran en anteriores artículos del En cuanto al “registro de las actividades de tratamiento” que exige este artículo 30 del Reglamento, Docuplay lo efectuará cuando sobrepase los 250 empleados, según establece el párrafo 5 del GDPR:.
“1. el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.”
Artículo 33 Notificación de una violación de la seguridad de los datos personales a la autoridad de control
Docuplay cumplirá celosamente lo que exige este artículo 33 del GDPR en el párrafo 3 y sus cuatro apartados y el párrafo 5.
Docuplay cumplirá celosamente lo que exige este artículo 33 del Reglamento en el párrafo 3 y sus cuatro apartados y el párrafo 5 del GDPR.
“3.La notificación contemplada en el apartado 1 deberá, como mínimo: a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; c) describir las posibles consecuencias de la violación de la seguridad de los datos personales; d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.”
“5.El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.”
Artículo 34 Comunicación de una violación de la seguridad de los datos personales al interesado
En cuanto a la notificación a los alumnos interesados de “una violación de la seguridad de los datos personales” establecida en este artículo del GDPR. Docuplay procurará que no sea necesaria por cumplir con las condiciones del párrafo 3 :
En cuanto a la notificación a los alumnos interesados de “una violación de la seguridad de los datos personales” establecida en este artículo del GDPR. Docuplay procurará que no sea necesaria por cumplir con las condiciones del párrafo 3 :
“3.La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes: a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado; b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;” (…)
Sección 3
Evaluación del impacto relativa a la protección de datos y consulta previa
Artículo 35 Evaluación de impacto relativa a la protección de datos
Respecto a la “Evaluación de impacto relativa a la protección de datos”, exigida por este artículo 35 del GDPR en el párrafo 7:
Respecto a la “Evaluación de impacto relativa a la protección de datos”, exigida por este artículo 35 del GDPR en el párrafo 7:
“7.La evaluación deberá incluir como mínimo: a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento; b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad; c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.”
Docuplay invita a sus alumnos a que consultan en los sectores 5. CLAVES Y SUBCLAVES y 8. REGISTROS DE CURSOS las operaciones de tratamiento que realiza (apartados a) y b) y sector 5 de la Central de Estudio) con la finalidad de generar registros de las actividades de cada alumno, tales que reflejen fielmente los conocimientos adquiridos y resulten así valiosos para ellos mismos, para sus potenciales empleadores y ante la sociedad. En el sector 8 de la Central de Estudio se tienen en cuenta los posibles riesgos de dichos tratamientos (apartados c) y d)) “para los derechos y libertades de los interesados” , riesgos que se previenen con medidas técnicas de seudonimización, encriptación y duplicación de ficheros.
Sección 5
Códigos de conducta y certificación
Artículo 40 Códigos de conducta
Docuplay se adherirá a todos los códigos de conducta para el tratamiento de datos personales que vayan surgiendo en los países miembros de la Unión Europea, en cumplimiento de este artículo del GDPR. Docuplay tiene su propio código de conducta que complementa este del GDPR.
Docuplay se adherirá a todos los códigos de conducta para el tratamiento de datos personales que vayan surgiendo en los países miembros de la Unión Europea, en cumplimiento de este artículo del GDPR. Docuplay tiene su propio código de conducta que complementa este del GDPR.

V.-TRANSFERENCIAS DE DATOS PERSONALES A TERCEROS PAÍSES U ORGANIZACIONES INTERNACIONALES
Artículo 44 Principio general de las transferencias
Docuplay garantiza fundamentalmente lo dispuesto en este artículo del GDPR,
“Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo” (…),
Artículo 89 Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos
Docuplay asegura su respeto por las “garantías y excepciones aplicables al tratamiento” de datos personales de sus estudiantes, ya que sus “fines” educativos han de contar con los señalados en este artículo del GDPR:
Docuplay asegura su respeto por las “garantías y excepciones aplicables al tratamiento” de datos personales de sus estudiantes, ya que sus “fines” educativos han de contar con los señalados en este artículo del GDPR:
“1.El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al presente Reglamento, para los derechos y las libertades de los interesados. Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo. 2.Cuando se traten datos personales con fines de investigación científica o histórica o estadísticos el Derecho de la Unión o de los Estados miembros podrá establecer excepciones a los derechos contemplados en los artículos 15, 16, 18 y 21, sujetas a las condiciones y garantías indicadas en el apartado 1 del presente artículo, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines científicos y cuanto esas excepciones sean necesarias para alcanzar esos fines (…)”
© Jesús González Bedoya, 1989-2019