Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Principios relativos al tratamiento de datos

El RGPD, en su artículo 5, establece los «Principios relativos al tratamiento» de datos personales. A continuación, los desarrollamos de manera concisa, aunque un estudio exhaustivo requeriría un análisis más detallado.

a) Licitud, lealtad y transparencia

El tratamiento será lícito si se cumple, al menos, una de las siguientes condiciones establecidas en el artículo 6 del RGPD:

  1. El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (más información aquí).
  2. Es necesario para la ejecución de un contrato en el que el interesado es parte, o para la aplicación a petición de este de medidas precontractuales (más información aquí).
  3. Es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (más información aquí).
  4. Es necesario para proteger intereses vitales del interesado o de otra persona física (más información aquí).
  5. Es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (más información aquí).
  6. Es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un menor de edad, salvo que el tratamiento sea realizado por las autoridades públicas en el ejercicio de sus funciones (más información aquí). 

El responsable del tratamiento no obtendrá ni tratará datos personales de fuentes ilegítimas, ni fuentes que no garanticen una procedencia legítima de los datos, ni de aquellas fuentes que hayan recabado los datos contraviniendo la ley.

El principio de lealtad requiere que el responsable del tratamiento informe al interesado sobre la existencia del tratamiento, sus fines, riesgos y salvaguardas para garantizar sus derechos. De acuerdo con el artículo 13.2 del RGPD, esta información debe incluir:

  • Identidad y datos de contacto del responsable del tratamiento y, en su caso, de su representante.
  • Datos de contacto del Delegado de Protección de Datos, si lo hubiere.
  • Base jurídica que legitima el tratamiento.
    • Si el tratamiento se basa en el consentimiento del interesado se le informará acerca de la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada. Será tan fácil retirar el consentimiento como darlo.
    • Si el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte, o para la aplicación a petición de este de medidas precontractuales, o es un requisito legal se informará al interesado de las consecuencias de no facilitar tales datos.
    • Si el tratamiento se fundamenta en el interés legítimo del responsable o de un tercero se informará al interesado acerca de dichos intereses.
  • Fines del tratamiento. Si se prevé un tratamiento ulterior para fines distintos, se informará al interesado con antelación.
  • Destinatarios o categorías de destinatarios. Si el interesado lo solicita, se proporcionará la identidad específica de los destinatarios. Solo cuando no sea posible identificarlos, el responsable del tratamiento puede limitarse a indicar las categorías de destinatarios (STJUE asunto C-154/21).
  • De la intención del responsable de transferir datos personales a un tercer país u organización internacional. Se informará al interesado de la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo se hará referencia a las garantías adecuadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
  • Plazo de conservación o los criterios utilizados para determinar dicho plazo.
  • La existencia del derecho a solicitar al responsable del tratamiento el acceso a la información personal relativa al interesado, a su rectificación o supresión, a la limitación de su tratamiento, a oponerse al mismo y a la portabilidad de los datos.
  • De la existencia de decisiones automatizadas, incluida la elaboración de perfiles, facilitando información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
  • De la posibilidad de presentar una reclamación ante la autoridad de control.

El principio de transparencia exige que toda información y comunicación sea concisa, transparente, inteligible, de fácil acceso y en lenguaje claro y sencillo. Preferentemente, se facilitará por escrito o medios electrónicos, con acuse de recibo para acreditar su entrega, ya que el responsable soporta la carga de la prueba en caso de disputa.

Cuando los datos personales no se hayan obtenido del interesado, por proceder de alguna cesión legítima o de fuentes de acceso público, el responsable del tratamiento facilitará a los interesadas la información antes referida, a la que se añade la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público, dentro de un plazo razonable y en cualquier caso:

  • En el plazo de un mes desde que se obtuvieron los datos personales.
  • En la primera comunicación con el interesado.
  • Si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

b) Limitación de la finalidad

Los datos se recogerán con fines determinados, explícitos y legítimos, y no se tratarán ulteriormente de manera incompatible con dichos fines, salvo fines de archivo en interés público, de investigación científica e histórica o fines estadísticos (considerados compatibles si se aplican salvaguardas adecuadas, como la anonimización).

Adicionalmente, el interesado tiene derecho a obtener del responsable del tratamiento, la limitación del tratamiento cuando:

  • Impugne la exactitud de sus datos personales, durante la verificación.
  • Se oponga al tratamiento, mientras se evalúa si los motivos legítimos del responsable prevalecen.
  • El tratamiento sea ilícito, pero el interesado se oponga a la supresión y solicite en su lugar la limitación (por ejemplo, para preservar pruebas).
  • Los datos ya no sean necesarios para los fines originales, pero el interesado los requiera para formular, ejercer o defender reclamaciones.

c) Minimización de datos

El RGPD exige que el tratamiento se limite a los datos estrictamente necesarios para cumplir la finalidad perseguida, así, los datos recabados han de resultar necesarios, adecuados y no excesivos en relación con el ámbito y finalidades legítimas para las que se hayan obtenido.

d) Exactitud 

Los datos deben ser exactos y estarán permanentemente actualizados. Si los datos son inexactos o incompletos serán cancelados y sustituidos, de inmediato, por aquellos que resulten ser los correctos y completos. 

El responsable del tratamiento quedará exonerado de responsabilidad por inexactitud de los datos cuando:

  • Fueron facilitados directamente por el interesado.
  • Proceden de un intermediario autorizado por el sector de actividad.
  • Se obtuvieron mediante un ejercicio de portabilidad por el interesado.
  • Proceden de un registro público.

e) Limitación del plazo de conservación

Los datos personales se mantendrán por no más tiempo del estrictamente necesario para el fin que se persigue con el tratamiento. Una vez cumplidos, se suprimirán o anonimizarán, salvo para archivo en interés público, investigación científica, histórica o fines estadísticos (con salvaguardas para no identificar a los interesados). También se permite la conservación para el ejercicio o defensa de reclamaciones.

Si quieren saber más sobre los plazos de conservación de la información, hagan clic aquí.

f) Integridad y confidencialidad

El tratamiento garantizará una seguridad adecuada de los datos, incluida la protección contra el tratamiento no autorizado o ilícito o la pérdida, destrucción o daño accidental del soporte en el que se almacenen los mismos.

El responsable del tratamiento adoptará las medidas necesarias para evitar que una brecha de seguridad ponga en riesgo la integridad de la información. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.

El deber de confidencialidad no cesa con la finalización del tratamiento o de la relación profesional o comercial, sino que debe proyectarse en el tiempo de manera permanente. 

g) Responsabilidad proactiva o «accountability»

El responsable del tratamiento tendrá una actitud diligente y responsable. No solo aplicará medidas eficaces para asegurar la integridad, disponibilidad y confidencialidad de la información, además ha de poder demostrar que las actividades de tratamiento se acomodan a la legalidad, por ejemplo, mediante su adhesión a un código de conducta.

Algunas medidas de responsabilidad, entre las que se puede materialmente concretar el principio de responsabilidad proactiva, siguiendo al Comité Europeo de Protección de Datos (sucesor del Grupo de Trabajo del Artículo 29), incluyen:

  • Procedimientos internos previos a nuevas operaciones de tratamiento (evaluaciones, revisiones, etc.)
  • Políticas escritas y vinculantes de protección de datos, accesibles a los interesados.
  • Mantenimiento de un registro de actividades de tratamiento, disponible para la autoridad de control.
  • Designación de un Delegado de Protección de Datos, cuando sea obligatorio o recomendable.
  • Evaluaciones de impacto en la protección de datos (EIPD) para tratamientos de alto riesgo.
  • Consulta previa a la autoridad de control si la EIPD identifica riesgos no mitigables.
  • Protección de datos por diseño y por defecto.
  • Medidas de seguridad adaptadas al riesgo.
  • Procedimientos para gestionar y notificar brechas de seguridad.
  • Auditorías periódicas para verificar el cumplimiento.
  • Protocolos para el ejercicio de derechos de los interesados.
  • Formación continua en protección de datos para el personal.
  • Adhesión a códigos de conducta.
  • Participación en mecanismos de certificación, sellos y marcas.
  • Asignación de recursos adecuados para la gestión de la privacidad.

Al responsable del tratamiento se le atribuye una responsabilidad «proactiva» en lugar de «reactiva», por la que debe, con carácter previo al inicio de las actividades de tratamiento, extremar de forma sistemática la diligencia con el objetivo de respetar los derechos e intereses de los ciudadanos en el ámbito de su privacidad.

Conclusión

En materia de protección de datos, la primera lección debería versar sobre los principios relativos al tratamiento, pues son los pilares sobre los que se construye todo.

Dichos principios son más que meros fundamentos, ya que tienen fuerza normativa para establecer soluciones concretas en aquellos casos en los que la normativa no establece una regulación, por ello es importante su conocimiento.

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es