Principios de la protección de datos

Principios de la protección de datos
febrero 17, 2021| Protección de datos

¿Conoce los principios sobre protección de datos? Existen determinados principios que deben tener presente todas las organizaciones a la hora de obtener, acceder y tratar los datos de carácter personal. Estos principios se encuentran regulados en el artículo 5 del Reglamento (UE) 2016/679 General de Protección de Datos (“RGPD”) y, de forma conexa, en determinados preceptos de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD).

Los principios protección de datos son: (i) Licitud, lealtad y transparencia, (ii) Limitación de la finalidad, (iii) Minimización de los datos, (iv) Exactitud, (v) Limitación del plazo de conservación, (vi) Integridad y confidencialidad  y (vii) responsabilidad Proactiva.

En el post de hoy los analizamos uno a uno los principios protección de datos y aportamos ejemplos prácticos para mejorar su entendimiento.

Licitud, lealtad y transparencia

 Estos tres principios protección de datos configurados como uno solo, implican que:

  • El tratamiento de los datos personales debe estar amparado en alguna base de legitimación (licitud);
  • Que los datos personales no sean tratados de forma fraudulenta (lealtad); y que,
  • En el momento de facilitarlos, la organización debe proporcionar al usuario toda la información necesaria sobre el objeto y fines del tratamiento, sus consecuencias y posibles riesgos, proporcionando la mayor transparencia posible sobre el citado tratamiento (“transparencia”). 

Ej. No pueden utilizar el número de cuenta bancaria de un usuario para la contratación de un servicio de telefonía móvil antes de que haya aceptado el tratamiento de sus datos (o “Política de Privacidad”).

Limitación de la finalidad

Este principio supone:

  • Por un lado, que los datos deben ser tratados con una o varias finalidades determinadas, explícitas y legítimas; y
  • Por otro, que los datos NO deben ser tratados posteriormente de una manera incompatible con esos fines. Para determinar si la nueva finalidad es compatible con la finalidad inicial, se deberá tener en cuenta, entre otras cuestiones:

▸Cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto.

▸El contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento.

▸La naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales o datos personales relativos a condenas e infracciones penales.

▸Las posibles consecuencias para los interesados del tratamiento ulterior previsto.

▸La existencia de garantías adecuadas que se implementen para dicho tratamiento, que podrán incluir el cifrado o la seudonimización.

Ej. No se considera incompatible que los datos sean tratados ulteriormente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, siempre y cuando existan las garantías adecuadas para evitar identificar al usuario (seudononimización).

 

Minimización de los datos

Los datos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

Ej. Si el usuario se suscribe a un servicio de alertas a través del envío de SMS, sería suficiente con facilitar, además del nombre y apellidos, el número de teléfono móvil, no siendo necesario añadir el número de teléfono fijo.

Exactitud

Los datos deben ser exactos y, si fuera preciso, actualizados, debiendo adoptarse todas las medidas razonables para que se rectifiquen o supriman los datos inexactos en relación con los fines que se persiguen.

Sobre este principio, la LOPDGDD concreta que NO será imputable al responsable del tratamiento, siempre que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, la inexactitud de los datos personales cuando los datos inexactos:

  • Hubiesen sido obtenidos directamente del afectado.
  • Hubiesen sido obtenidos de un mediador o intermediario que recoja en nombre propio los datos de los afectados para su transmisión al responsable.
  • Hayan sido recibidos de otro responsable en virtud del derecho a la portabilidad.
  • Hayan sido obtenidos de un registro público por el responsable.

Ej. Si una compañía suministradora de electricidad mantiene datos erróneos sobre sus clientes las consecuencias pueden ir desde no proporcionar el servicio contratado hasta emitir facturas a clientes equivocados.

Limitación del plazo de conservación

Los datos deben ser eliminados o destruidos, una vez hayan alcanzado la finalidad para la cual fueron recogidos.

Con respecto a este principio, el RGPD concreta que:

  • Para garantizar que los datos personales no se conservan más tiempo del necesario, la organización ha de establecer plazos para su supresión o revisión periódica.

Ej. Si en mi empresa realizo un proceso de selección y recibo 50 Curriculum vitae (CV) deberé eliminarlos una vez haya finalizado el proceso a menos que puedan presentar algún tipo de utilidad para un proceso de selección posterior, teniendo en cuenta que no los puedo conservar indefinidamente. Un plazo prudente de conservación en este último caso sería 1 año.

  • Aun habiendo alcanzado la finalidad para la cual fueron recogidos, los datos podrán:

▸Conservarse durante periodos más amplios cuando el tratamiento se realice con fines históricos, estadísticos o científicos.

▸Conservarse durante el tiempo necesario para la formulación, el ejercicio o la defensa de reclamaciones (es decir, durante el tiempo en el cual pudiera exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica).

Ej. La Ley Básica Reguladora de la Autonomía del Paciente establece un plazo de conservación mínimo de 5 años para los historiales clínicos.

Por su parte, la LOPDGDD establece que cuando se lleve a cabo la rectificación o la supresión de los datos, la organización deberá proceder al bloqueo de los mismos. El bloqueo consistirá en impedir el tratamiento de los datos personales (incluida su visualización). Cuando la configuración del sistema de información no permita el bloqueo o se requiera una adaptación que implique un esfuerzo desproporcionado, se podrá realizar un copiado seguro de la información, siempre y cuando conste evidencia digital. El objetivo del bloqueo será reservar los datos personales con el único objetivo de ponerlo a disposición de jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes.

Integridad y confidencialidad

Estos dos principios protección de datos configurados como uno solo, suponen que los datos personales serán tratados de manera que se garantice su adecuada seguridad, incluyendo la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, aplicando las medidas técnicas y de organización apropiadas.

Ej. Para garantizar de forma efectiva la protección de los datos de los interesados, cualquier organización debe adoptar medidas de seguridad técnicas y organizativas, como implantar una política de contraseñas. 

Por su parte, la LOPDGDD determina que los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este (lo que incluye, por tanto, a los trabajadores) están sujetas al deber de confidencialidad. Además, precisa que esta obligación:

  • Es complementaria al deber de secreto profesional de conformidad con su normativa aplicable.

Ej. Abogados, médicos, psicólogos, etc. 

  • Se mantendrá aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.

Ej. si un trabajador es despedido, la obligación de guardar la confidencialidad sobre los datos de los clientes perdura durante toda su vida.

Responsabilidad proactiva

También conocido como “accountability”, implica que los responsables y encargados de tratamiento deben:

  • Por un lado, cumplir con los anteriores principios. 
  • Ser capaz de demostrar dicho cumplimiento.

Ej. Las empresas deben generar evidencias para demostrar que efectivamente cumplen los principios que deben regir cualquier tratamiento y, en general, la normativa sobre protección de datos:  documentar las bases que legitiman el tratamiento, contar con un documento físico (u en cualquier otro formato) que permita probar que a los trabajadores se les ha informado sobre su deber de confidencialidad, etc.

Por tanto, este es de los principios protección de datos que demanda una actitud más diligente, consciente y demostrable en el tratamiento de los datos de carácter personal.

⚖️ Querido lector, si no conoce cómo aplicar en la práctica los principios protección de datos, no dude en ponerse en contacto con nosotros.