La OCDE viene desempeñando desde hace mucho tiempo una función esencial en la elaboración de políticas de protección de datos personales. Las Directrices de la OCDE que regulan la Protección de la Privacidad y el Flujo Transfronterizo de Datos Personales (1980) fueron los primeros principios de privacidad acordados internacionalmente. Se revisaron por última vez en 2013 y, a día de hoy, siguen siendo una referencia esencial, incluso para las normas y prácticas internas de la OCDE. En esta página se definen estas normas y prácticas, que se aplican también a las entidades y a los organismos incluidos en el marco de la OCDE, como la Agencia Internacional de la Energía (AIE), la Agencia de la OCDE para la Energía Nuclear (AEN), el Foro Internacional del Transporte (ITF) y la Red de Evaluación del Desempeño de las Organizaciones Multilaterales (MOPAN).
Protección de datos personales
Datos personales sujetos al tratamiento
Tanto la OCDE como las entidades y los organismos que se incluyen en el marco de la organización tratan datos personales para alcanzar los respectivos objetivos de interés público. Por ejemplo, la OCDE trata datos personales para tramitar y ofrecer prestaciones al personal, así como en los procesos de selección y Contratación pública. También trata los datos de quienes visitan los sitios web de la OCDE (lo cual se detalla en la Política de Privacidad) y la organización de forma presencial (que se detalla en el presente Aviso). Asimismo, las entidades y los organismos incluidos en el marco de la OCDE podrán tratar los datos tal y como se describe en las políticas de privacidad de sus respectivos sitios web.
De la misma forma, se podrán tratar los datos que resulten necesarios para poder participar en reuniones y actos, así como para acceder a los documentos y formular observaciones al respecto. Además, se podrán tratar datos personales para recabar pruebas que ayuden a formular políticas, por ejemplo, a través de encuestas a personas físicas como PISA y plataformas de evaluación como PILA. Según sea el caso, puede que el uso que se haga de los datos esté sujeto a otros avisos de protección de datos.
La Normativa de Protección de Datos de la OCDE
Todo el personal se compromete a poner en marcha medidas transparentes y adecuadas para proteger a las personas físicas durante el tratamiento de los datos personales. La Normativa de Protección de Datos de la OCDE se establece en la Decisión del Secretario General de la OCDE sobre la Protección de las Personas Físicas en relación con el Tratamiento de sus Datos Personales (la «Normativa»). La Normativa, que rige el tratamiento de datos personales por parte de la OCDE o en su nombre, se incluye en el Anexo XII del Reglamento y Estatuto del Personal de la OCDE.
De acuerdo con la Normativa, se exige que el personal trate los datos personales de forma transparente y con fines legítimos para cumplir con el cometido y el programa de trabajo que les corresponda. Los datos personales deben ser apropiados, pertinentes, actualizados, necesarios y conservados solo durante el tiempo que se precisen. Asimismo, en virtud de la Normativa, se requiere que el personal designado se asegure de que los contratistas que traten datos personales en nombre de la OCDE ofrezcan garantías de que se han puesto en marcha las medidas técnicas y organizativas necesarias. Existen limitaciones significativas relacionadas con el tratamiento de datos personales de categorías especiales y con el tratamiento de alto riesgo.
La evaluación de riesgos es un procedimiento obligatorio al que se incorpora la protección de datos de manera predeterminada. Los riesgos de seguridad se abordan mediante la puesta en marcha de medidas técnicas y organizativas que se ajusten al riesgo. En caso de violación de la seguridad de los datos personales, se iniciará el protocolo de los requisitos de notificación. Los datos personales solo pueden transferirse fuera de la organización siempre que se den todas las garantías, en particular, los derechos del interesado y las acciones legales.
Derechos subjetivos
En la Normativa se establecen los derechos que asisten a las personas físicas con respecto a sus datos personales. Además de la transparencia y el deber de información, estos derechos cubren el acceso, la rectificación, la supresión y la objeción; unos derechos que las personas físicas podrán reivindicar directamente ante el personal designado. Asimismo, se cuenta con un procedimiento para resolver las reclamaciones interpuestas por personas físicas.
Aplicación y supervisión
En calidad de organización responsable, la OCDE ha configurado un Programa de Gestión de la Privacidad para ofrecer una postura clara a la hora de aplicar la Normativa.
El Comisionado de Protección de Datos de la OCDE (DPC, por sus siglas en inglés) asegura el cumplimiento de la Normativa y ejerce las competencias de investigación y corrección con total independencia durante un período fijo de cinco años (renovable una sola vez). Como parte de sus funciones, el DPC también presenta un informe anual de actividades al Secretario General (2024, 2023, 2022, 2021, 2020, 2019).
El delegado de Protección de Datos (DPD) proporciona información y asesoramiento tanto al personal como a las personas físicas y, además, ejerce una función independiente de cumplimiento para dar soporte al DPC.
Las personas físicas pueden dirigirse al DPD para trasladarles consultas o reclamaciones relacionadas con el tratamiento de los datos personales. Si sigue necesitando ayuda para resolver alguna reclamación relacionada con la protección de datos personales, puede ponerse en contacto con el DPC.
Información de contacto
Delegado de Protección de Datos: Michael Donohue, DPO@oecd.org, +33 1 45 24 14 79
Comisionado de Protección de Datos: Billy Hawkes, DPC@oecd.org, +33 1 85 55 44 82