Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Principios relativos al tratamiento de datos

El RGPD nos habla en su artículo 5 de los «Principios relativos al tratamiento». Vamos a desarrollarlos a continuación, si bien advierto que su estudio exigiría mayor detalle:

a) Licitud: El tratamiento será lícito si se cumple, al menos, una de las siguientes condiciones en base al artículo 6 del RGPD:

  1. El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (más información aquí).
  2. Que sea necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (más información aquí).
  3. Que sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (más información aquí).
  4. Que sea necesario para proteger intereses vitales del interesado o de otra persona física (más información aquí).
  5. Que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (más información aquí).
  6. Que sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un menor de edad, salvo que el tratamiento sea realizado por las autoridades públicas en el ejercicio de sus funciones (más información aquí). 

El responsable del tratamiento no obtendrá ni adquirirá datos personales de fuentes ilegítimas, ni fuentes que no garanticen una procedencia legítima de los datos, ni de aquellas fuentes que hayan recabado los datos contraviniendo la ley.

b) Lealtad y transparencia: El principio de lealtad implica que el responsable del tratamiento debe informar al interesado acerca de la existencia del tratamiento, fines, riesgos y salvaguardas adoptadas para garantizar sus derechos. Por mandato del artículo 13.2 del RGPD esta información se traduce en los siguientes extremos:

  • Identidad y datos de contacto del responsable del tratamiento y de su representante.
  • Datos de contacto del Delegado de Protección de Datos, si lo hubiere.
  • Base jurídica que legitima el tratamiento.
    • Si el tratamiento de datos personales se basa en el consentimiento del interesado se le informará acerca de la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada. Será tan fácil retirar el consentimiento como darlo.
    • Si el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales o es un requisito legal se informará al interesado de las consecuencias de no facilitar tales datos.
    • Si el tratamiento se fundamenta en el interés legítimo del responsable o de un tercero se informará al interesado acerca de dichos intereses.
  • Fines del tratamiento. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin. 
  • Destinatarios o categorías de destinatarios. Si el interesado lo solicita se le facilitará la identidad de esos destinatarios. Solo cuando no sea posible identificarlos, el responsable del tratamiento puede limitarse a indicar las categorías de destinatarios (STJUE asunto C-154/21).
  • De la intención del responsable de transferir datos personales a un tercer país u organización internacional. Se informará al interesado de la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49 apartado 1 párrafo segundo se hará referencia a las garantías adecuadas y a los medios para obtener una copia de éstas o al hecho de que se hayan prestado.
  • Plazo de conservación o los criterios utilizados para determinar dicho plazo.
  • La existencia del derecho a solicitar al responsable del tratamiento el acceso a la información personal relativa al interesado, a su rectificación o supresión, a la limitación de su tratamiento, a oponerse al mismo y a la portabilidad de los datos.
  • De la existencia de decisiones automatizadas, incluida la elaboración de perfiles, facilitando información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
  • De la posibilidad de presentar una reclamación ante la autoridad de control.

El principio de transparencia exige que la información y las comunicaciones que se realicen por el responsable del tratamiento sean concisas, transparentes, inteligibles, de fácil acceso, con un lenguaje claro y sencillo.

La información puede facilitarse por escrito, incluidos los medios electrónicos, o verbalmente cuando lo solicite el interesado, si bien no es aconsejable, dado que la carga de la prueba, en caso de negativa del interesado, la soportará el responsable del tratamiento, así que mejor por escrito y con acuse de recibo.

Cuando los datos personales no se hayan obtenido del interesado, por proceder de alguna cesión legítima o de fuentes de acceso público, el responsable del tratamiento facilitará a los interesadas la información antes referida, a la que se añade la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público, dentro de un plazo razonable y en cualquier caso:

  • En el plazo de un mes desde que se obtuvieron los datos personales.
  • En la primera comunicación con el interesado.
  • Si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

c) Limitación de la finalidad: Los datos se recogerán con fines determinados, explícitos y legítimos y no serán tratados ulteriormente de manera incompatible con dichos fines, salvo fines de archivo en interés público, de investigación científica e histórica o fines estadísticos.

El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las siguientes condiciones:

  • El interesado ha ejercido el derecho de rectificación por inexactitud de sus datos o se opone a su tratamiento, mientras se verifican los motivos de la supuesta inexactitud, o si los motivos legítimos del responsable prevalecen sobre los del interesado.
  • El tratamiento es ilícito, lo que determinaría la supresión de los datos, pero el interesado se opone a ello, solicitando en su lugar la limitación de su uso para conservar prueba de ello.
  • Los datos ya no son necesarios para el tratamiento, lo que determinaría su supresión, pero el interesado los necesita para la formulación, el ejercicio o la defensa de reclamaciones.

d) Minimización de datos: El RGPD exige que el tratamiento se limite a los datos estrictamente necesarios para cumplir la finalidad perseguida, así, los datos recabados han de resultar necesarios, adecuados y no excesivos en relación con el ámbito y finalidades legítimas para las que se hayan obtenido.

e) Exactitud: Los datos deben ser exactos y estarán permanentemente actualizados. Si los datos son inexactos o incompletos serán cancelados y sustituidos, de inmediato, por aquellos que resulten ser los correctos y completos. 

El responsable del tratamiento quedará exonerado de responsabilidad por inexactitud de los datos cuando los datos personales:

  • Hubiesen sido facilitados por el interesado.
  • Hubiesen sido obtenidos por el responsable del tratamiento de un intermediario y su sector de actividad permita dicha intermediación.
  • Hubiesen sido obtenidos con ocasión de una portabilidad ejercitada por el interesado.
  • Hubiesen sido obtenidos por el responsable de un registro público.   

f) Limitación de la conservación: Los datos personales se mantendrán por no más tiempo del estrictamente necesario para el fin que se persigue con el tratamiento.

Los datos no serán usados para fines diferentes a aquellos para los que fueron recabados, salvo fines de archivo en interés público, fines de investigación, científica o histórica o fines estadísticos, siempre y cuando el responsable asegure que no se puede identificar a los interesados (por ejemplo, mediante la seudonimización de los datos) o en el ejercicio de reclamaciones. 

Si quieren saber más sobre los plazos de conservación de la información personal hagan clic aquí.

g) Integridad y confidencialidad: El tratamiento garantizará una seguridad adecuada de los datos, incluida la protección contra el tratamiento no autorizado o ilícito o la pérdida, destrucción o daño accidental del soporte en el que se almacenen los mismos.

El responsable del tratamiento adoptará las medidas necesarias para evitar que una brecha de seguridad ponga en riesgo la integridad de la información. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.

El deber de confidencialidad no cesa con la finalización del tratamiento o de la relación profesional o comercial, sino que debe proyectarse en el tiempo de manera permanente. 

h) Responsabilidad proactiva o “accountability”: El responsable del tratamiento tendrá una actitud diligente y responsable. No solo aplicará medidas eficaces para asegurar la integridad, disponibilidad y confidencialidad de la información, además ha de poder demostrar que las actividades de tratamiento se acomodan a la legalidad, por ejemplo, mediante su adhesión a un código de conducta.

Algunas medidas de responsabilidad, entre las que se puede materialmente concretar el principio de responsabilidad proactiva, siguiendo al Grupo de Trabajo del Artículo 29, son:

  • Establecimiento de procedimientos internos previos a la creación de nuevas operaciones de tratamiento de datos personales (revisión interna, evaluación, etc.)
  • Establecimiento de políticas escritas y vinculantes de protección de datos que deben ponerse a disposición de los interesados.
  • Creación y mantenimiento de un registro de las actividades de tratamiento que estará a disposición de la autoridad de control.
  • Designación de un Delegado de Protección de Datos. 
  • Realización de evaluaciones de impacto relativas a la protección de datos, antes de comenzar actividades de tratamiento, con respecto a tipos de tratamiento que puedan entrañar un riesgo alto para los derechos y libertades de las personas físicas.
  • Realización de una consulta previa a la autoridad de control competente cuando la evaluación de impacto indica que el tratamiento presenta riesgos que no se pueden mitigar.
  • Establecimiento de medidas dirigidas a velar por la protección de los datos desde el diseño y por defecto.
  • Adopción de medidas de seguridad adecuadas al riesgo.
  • Establecimiento de procedimientos internos de gestión y notificación en caso de violaciones de seguridad.
  • Realización de auditorías para verificar que las medidas propuestas se aplican y funcionan.
  • Implantación de protocolos para el ejercicio de los derechos de los interesados.
  • Formación de todos los integrantes de la organización en protección de datos.
  • Adhesión a códigos de conducta.
  • Adhesión a mecanismos de certificación, sellos y marcas. 
  • Asignación de recursos suficientes para la gestión de la privacidad en la organización.

Al responsable del tratamiento se le atribuye una responsabilidad «proactiva» en lugar de «reactiva», por la que debe, con carácter previo al inicio de las actividades de tratamiento, extremar de forma sistemática la diligencia con el objetivo de respetar los derechos e intereses de los ciudadanos en el ámbito de su privacidad.

Conclusión

En materia de protección de datos, la primera lección debería versar sobre los principios relativos al tratamiento, pues son los pilares sobre los que se construye todo.

Dichos principios son más que meros fundamentos, ya que tienen fuerza normativa para establecer soluciones concretas en aquellos casos en los que la normativa no establece una regulación, por ello es importante su conocimiento.

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).