Protección Data

BLOG

PARA ESTAR AL TANTO DE LA REGULACIÓN Y NOVEDADES EN PROTECCIÓN DE DATOS

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Principios relativos al tratamiento

Para este artículo voy a desempolvar una ponencia sobre los principios rectores del tratamiento de protección de datos que hice tras la publicación del RGPD en mayo de 2016.

El RGPD nos habla en su artículo 5 de los “Principios relativos al tratamiento” que vamos a desarrollar a continuación:

a) Licitud: El tratamiento será lícito si se cumple, al menos, una de las siguientes condiciones:

1ª) El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.

Sobre el consentimiento como base legal para el tratamiento de datos publiqué un artículo que dejo enlazado aquí.

2ª) Que sea necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación a petición de este de medidas precontractuales.

3ª) Que sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. 

4ª) Que sea necesario para proteger intereses vitales del interesado o de otra persona física.

5ª) Que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

6ª) Que sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un menor, salvo que el tratamiento sea realizado por las autoridades públicas en el ejercicio de sus funciones. 

El responsable del tratamiento no obtendrá ni adquirirá datos personales de fuentes ilegítimas, ni fuentes que no garanticen una procedencia legítima de los datos, ni de aquellas fuentes que hayan recabado los datos contraviniendo la ley.

b) Lealtad y transparencia: El responsable del tratamiento debe informar al interesado, con lealtad y transparencia, acerca de la existencia del tratamiento y de sus fines. Por mandato del artículo 13.2 del RGPD esta información se traduce en los siguientes extremos:

  • El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar dicho plazo.
  • La existencia del derecho del interesado a ejercitar cuantos derechos le otorgue la normativa.
  • El derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
  • El derecho a presentar una reclamación ante una autoridad de control.
  • Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos.
  • La existencia de decisiones automatizas, incluida la elaboración de perfiles.

c) Limitación de la finalidad: Los datos se recogerán con fines determinados, explícitos y legítimos y no serán tratados ulteriormente de manera incompatible con dichos fines, salvo fines de archivo en interés público, de investigación científica e histórica o fines estadísticos.

d) Minimización de datos: Los datos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

e) Exactitud: Los datos deben ser exactos y estarán permanentemente actualizados. Si los datos son inexactos o incompletos serán cancelados y sustituidos, de inmediato, por aquellos que resulten ser los correctos y completos. 

El responsable del tratamiento quedará exonerado de responsabilidad por inexactitud cuando:

  • Los datos hubiesen sido facilitados por el interesado.
  • Los datos hubiesen sido obtenidos por el responsable de un intermediario y el sector de actividad del responsable permita esta intermediación.
  • El responsable haya obtenido los datos con ocasión de una portabilidad ejercitada por el interesado.
  • El origen de los datos recabados por el responsable sea un registro público.   

f) Limitación de la conservación:  Los datos se mantendrán de forma que se permita la identificación del interesado y por no más tiempo del estrictamente necesario para el fin que se persigue con el tratamiento. Se contempla, además, que los datos no serán accesibles o usados para fines diferentes a aquellos para los que fueron recabados, a excepción de fines de archivo en interés público, fines de investigación, científica o histórica o fines estadísticos o cuando exista un mandato judicial que habilite la conservación durante más tiempo del diseñado al afecto. 

g) Integridad y confidencialidad: El tratamiento garantizará una seguridad adecuada de los datos, incluida la protección contra el tratamiento no autorizado o ilícito o la pérdida, destrucción o daño accidental del soporte en el que se almacenen los mismos.

El responsable del tratamiento adoptará las medidas técnicas y organizativas necesarias para evitar una brecha de seguridad que ponga en riesgo la integridad de la información. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.

El deber de confidencialidad no cesa con la finalización del tratamiento o de la relación profesional o comercial, sino que debe proyectarse en el tiempo de manera permanente. 

h) Responsabilidad proactiva o accountability. Este principio rector requiere que el responsable del tratamiento tenga una actitud diligente y responsable. No solo ha de aplicar medidas eficaces para asegurar la integridad y confidencialidad de la información, además ha de poder demostrar que las actividades de tratamiento se acomodan a las previsiones legales (por ejemplo, mediante su adhesión a códigos de conducta).

De modo que corresponde al responsable del tratamiento determinar cuál es la mejor estrategia para proteger los derechos y libertades de los interesados. Se le atribuye una responsabilidad “proactiva” en lugar de “reactiva”, por la que debe, con carácter previo al inicio de las actividades de tratamiento, extremar de forma sistemática la diligencia con el objetivo de respetar los intereses de los ciudadanos en el ámbito de su privacidad.

En materia de protección de datos, la primera lección debería versar sobre los principios relativos al tratamiento, pues son los pilares sobre los que se construye todo. Dichos principios son más que meros fundamentos, ya que tienen fuerza normativa para establecer soluciones concretas en casos en los que la normativa no establece una regulación, por ello es importante su conocimiento.

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual