Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Principios relativos al tratamiento de datos

El RGPD nos habla en su artículo 5 de los «Principios relativos al tratamiento». Vamos a desarrollarlos a continuación, si bien advierto que su estudio exigiría mayor detalle:

a) Licitud: El tratamiento será lícito si se cumple, al menos, una de las siguientes condiciones en base al artículo 6 del RGPD:

  1. El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (más información aquí).
  2. Que sea necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (más información aquí).
  3. Que sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (más información aquí).
  4. Que sea necesario para proteger intereses vitales del interesado o de otra persona física (más información aquí).
  5. Que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (más información aquí).
  6. Que sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un menor de edad, salvo que el tratamiento sea realizado por las autoridades públicas en el ejercicio de sus funciones (más información aquí). 

El responsable del tratamiento no obtendrá ni adquirirá datos personales de fuentes ilegítimas, ni fuentes que no garanticen una procedencia legítima de los datos, ni de aquellas fuentes que hayan recabado los datos contraviniendo la ley.

b) Lealtad y transparencia: El principio de lealtad implica que el responsable del tratamiento debe informar al interesado acerca de la existencia del tratamiento, fines, riesgos y salvaguardas adoptadas para garantizar sus derechos. Por mandato del artículo 13.2 del RGPD esta información se traduce en los siguientes extremos:

  • Identidad y datos de contacto del responsable del tratamiento y de su representante.
  • Datos de contacto del Delegado de Protección de Datos, si lo hubiere.
  • Base jurídica que legitima el tratamiento.
    • Si el tratamiento se basa en el consentimiento del interesado se le informará acerca de la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
    • Si el tratamiento se basa en el cumplimiento de un contracto o relación precontractual, y el interesado está obligado a facilitar los datos personales, se le informará acerca de las posibles consecuencias de no facilitar tales datos.
    • Si el tratamiento se fundamenta en el interés legítimo del responsable o de un tercero se informará al interesado acerca de los mismos.
  • Fines del tratamiento. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin. 
  • Destinatarios o categorías de destinatarios. Si el interesado lo solicita se le facilitará la identidad de esos destinatarios. Solo cuando no sea posible identificarlos, el responsable del tratamiento puede limitarse a indicar las categorías de destinatarios (STJUE asunto C-154/21).
  • De la intención del responsable de transferir datos personales a un tercer país u organización internacional.
  • Plazo de conservación o los criterios utilizados para determinar dicho plazo.
  • La existencia del derecho a solicitar al responsable del tratamiento el acceso a la información personal relativa al interesado, a su rectificación o supresión, a la limitación de su tratamiento, a oponerse al mismo y a la portabilidad de los datos.
  • De la existencia de decisiones automatizadas o elaboración de perfiles.
  • De la posibilidad de presentar una reclamación ante la autoridad de control en caso de que el interesado entienda que se están vulnerando sus derechos.

El principio de transparencia exige que la información y las comunicaciones que se realicen por el responsable del tratamiento sean concisas, transparentes, inteligibles, de fácil acceso, con un lenguaje claro y sencillo.

La información puede facilitarse por escrito, incluidos los medios electrónicos, o verbalmente cuando lo solicite el interesado, si bien no es aconsejable, dado que la carga de la prueba, en caso de negativa del interesado, la soportará el responsable del tratamiento, así que mejor por escrito y con acuse de recibo.

La solicitud de información no supondrá ningún desembolso económico para el interesado, salvo en los casos de solicitudes manifiestamente infundadas o excesivas, especialmente por repetitivas (más de una ocasión durante el plazo de seis meses). En dichos casos, el responsable del tratamiento podrá cobrar un canon en función de los costes administrativos afrontados para facilitar la información. También se puede negar a atender la solicitud, pero el responsable del tratamiento deberá demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

c) Limitación de la finalidad: Los datos se recogerán con fines determinados, explícitos y legítimos y no serán tratados ulteriormente de manera incompatible con dichos fines, salvo fines de archivo en interés público, de investigación científica e histórica o fines estadísticos.

El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las siguientes condiciones:

  • El interesado ha ejercido el derecho de rectificación por inexactitud de sus datos o se opone a su tratamiento, mientras se verifican los motivos de la supuesta inexactitud, o si los motivos legítimos del responsable prevalecen sobre los del interesado.
  • El tratamiento es ilícito, lo que determinaría la supresión de los datos, pero el interesado se opone a ello, solicitando en su lugar la limitación de su uso para conservar prueba de ello.
  • Los datos ya no son necesarios para el tratamiento, lo que determinaría su supresión, pero el interesado los necesita para la formulación, el ejercicio o la defensa de reclamaciones.

d) Minimización de datos: El RGPD exige que el tratamiento se limite a los datos estrictamente necesarios para cumplir la finalidad perseguida, así, los datos recabados han de resultar necesarios, adecuados y no excesivos en relación con el ámbito y finalidades legítimas para las que se hayan obtenido.

e) Exactitud: Los datos deben ser exactos y estarán permanentemente actualizados. Si los datos son inexactos o incompletos serán cancelados y sustituidos, de inmediato, por aquellos que resulten ser los correctos y completos. 

El responsable del tratamiento quedará exonerado de responsabilidad por inexactitud de los datos cuando los datos personales:

  • Hubiesen sido facilitados por el interesado.
  • Hubiesen sido obtenidos por el responsable del tratamiento de un intermediario y su sector de actividad permita dicha intermediación.
  • Hubiesen sido obtenidos con ocasión de una portabilidad ejercitada por el interesado.
  • Hubiesen sido obtenidos por el responsable de un registro público.   

f) Limitación de la conservación: Los datos personales se mantendrán por no más tiempo del estrictamente necesario para el fin que se persigue con el tratamiento.

Los datos no serán usados para fines diferentes a aquellos para los que fueron recabados, salvo fines de archivo en interés público, fines de investigación, científica o histórica o fines estadísticos, siempre y cuando el responsable asegure que no se puede identificar a los interesados (por ejemplo, mediante la seudonimización de los datos) o en el ejercicio de reclamaciones. 

Si quieren saber más sobre los plazos de conservación de la información personal hagan clic aquí.

g) Integridad y confidencialidad: El tratamiento garantizará una seguridad adecuada de los datos, incluida la protección contra el tratamiento no autorizado o ilícito o la pérdida, destrucción o daño accidental del soporte en el que se almacenen los mismos.

El responsable del tratamiento adoptará las medidas necesarias para evitar que una brecha de seguridad ponga en riesgo la integridad de la información. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.

El deber de confidencialidad no cesa con la finalización del tratamiento o de la relación profesional o comercial, sino que debe proyectarse en el tiempo de manera permanente. 

h) Responsabilidad proactiva o «accountability»: Este principio rector requiere que el responsable del tratamiento tenga una actitud diligente y responsable. No solo ha de aplicar medidas eficaces para asegurar la integridad y la confidencialidad de la información, además, ha de poder demostrar que las actividades de tratamiento se acomodan a las previsiones legales (por ejemplo, mediante su adhesión a códigos de conducta).

De modo que, corresponde al responsable del tratamiento determinar cuál es la mejor estrategia para proteger los derechos y libertades de los interesados. Se le atribuye una responsabilidad «proactiva» en lugar de «reactiva», por la que debe, con carácter previo al inicio de las actividades de tratamiento, extremar de forma sistemática la diligencia con el objetivo de respetar los intereses de los ciudadanos en el ámbito de su privacidad.

Conclusión

En materia de protección de datos, la primera lección debería versar sobre los principios relativos al tratamiento, pues son los pilares sobre los que se construye todo.

Dichos principios son más que meros fundamentos, ya que tienen fuerza normativa para establecer soluciones concretas en aquellos casos en los que la normativa no establece una regulación, por ello es importante su conocimiento.

EuskaraCatalàGalegoPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).