Plataforma

RGPD: principios, conceptos y obtención de los datos

RGPD: principios, conceptos y obtención de los datos

El nuevo Reglamento general de protección de datos (RGPD) entrará en vigor el próximo 25 de mayo de este mismo año, por lo que todos los implicados tenemos que poner en marcha los mecanismos necesarios para cumplir con las nuevas obligaciones. En los próximos días, y en varias entregas, resumiré de forma práctica los conceptos e ideas más importantes de dicho Reglamento.

Si bien es cierto que las empresas que cumplen con la LOPD tienen una buena base para poner en marcha la nueva normativa, hay algunos cambios importantes a tener en cuenta para el cumplimiento del nuevo Reglamento.

En primer lugar, surgen nuevos principios sobre la forma de “trabajar” con los datos personales:

  1. Principio de responsabilidad proactiva; que podemos formalizar implementando mecanismos que permitan acreditar que se han tomado todas las medidas necesarias para tratar los datos como exige la nueva norma y siendo capaces de demostrar que cumplen con los nuevos requisitos.
  2. Principio de protección de datos por defecto y desde el diseño; adoptando todas las medidas organizativas y técnicas necesarias para que tanto la obtención de los datos, como su mantenimiento garanticen la seguridad y privacidad de los mismos.
  3. Principio de transparencia; haciendo que todos los avisos legales y políticas de privacidad sean transmitidos de manera sencilla e inteligible.

Conceptos básicos

Además de los nuevos principios, deberemos comprender algunos conceptos básicos para el buen entendimiento de la nueva norma. Entre otros, y tal y como indica el Reglamento en el Artículo 4, en este post vamos a ver los siguientes:

«datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

«fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

«elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

«consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

«responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

«encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

«destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;

«tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado;

«representante»: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento;

También deberemos de saber quiénes son:

  • El “interesado” o persona física sometida al tratamiento de sus datos personales.
  • El “personal autorizado” o persona autorizada para realizar un tratamiento de datos personales bajo la autoridad directa del responsable o encargado, con los compromisos correspondientes.
  • El “delegado de protección de datos”, una nueva figura obligatoria para determinadas empresas que se encargará de informar y asesorar a los responsables y encargados.
  • La “autoridad de control”, autoridad pública independiente que supervisa la aplicación del Reglamento.

El Reglamento en líneas generales

Para poder entender bien el nuevo Reglamento y su puesta en práctica hay que tener claras algunas ideas importantes, resumiendo:

  1. El objeto del nuevo Reglamento es establecer las normas relativas a la protección en el tratamiento y libre circulación de los datos personales de las personas físicas, para proteger sus derechos y libertades fundamentales, sin restringir la libre circulación en la Unión.  
  2. Se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero y sin perjuicio de la aplicación de la Directiva 2000/31/CE 2000/31/CE, en particular sus normas relativas a responsabilidad de los prestadores de servicios intermediarios (como los ofrecidos por Yunbit Business Software) establecidas en sus artículos 12 a 15, a saber:

Artículo 14

Alojamiento de datos

1. Los Estados miembros garantizarán que, cuando se preste un servicio de la sociedad de la información consistente en almacenar datos facilitados por el destinatario del servicio, el prestador de servicios no pueda ser considerado responsable de los datos almacenados a petición del destinatario, a condición de que:

a) el prestador de servicios no tenga conocimiento efectivo de que la actividad a la información es ilícita y, en lo que se refiere a una acción por daños y perjuicios, no tenga conocimiento de hechos o circunstancias por los que la actividad o la información revele su carácter ilícito, o de que,

b) en cuanto tenga conocimiento de estos puntos, el prestador de servicios actúe con prontitud para retirar los datos o hacer que el acceso a ellos sea imposible.

2. El apartado 1 no se aplicará cuando el destinatario del servicio actúe bajo la autoridad o control del prestador de servicios.

3. El presente artículo no afectará la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas jurídicos de los Estados miembros, exijan al prestador de servicios de poner fin a una infracción o impedirla, ni a la posibilidad de que los Estados miembros establezcan procedimientos por los que se rija la retirada de datos o impida el acceso a ellos.

Artículo 15

Inexistencia de obligación general de supervisión

1. Los Estados miembros no impondrán a los prestadores de servicios una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas, respecto de los servicios contemplados en los artículos 12, 13 y 14.

2. Los Estados miembros podrán establecer obligaciones tendentes a que los prestadores de servicios de la sociedad de la información comuniquen con prontitud a las autoridades públicas competentes los presuntos datos ilícitos o las actividades ilícitas llevadas a cabo por destinatarios de su servicio o la obligación de comunicar a las autoridades competentes, a solicitud de éstas, información que les permita identificar a los destinatarios de su servicio con los que hayan celebrado acuerdos de almacenamiento.

3. El ámbito territorial que regula es el del tratamiento de datos en el contexto de actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

4. En relación a los datos, serán tratados de manera lícita, leal y transparente; recogidos con fines determinados, explícitos y legítimos; adecuados, pertinentes y limitados a lo necesario en relación a los fines con los que se recogen; exactos; mantenidos durante no más tiempo del necesario para los fines del tratamiento y tratados de manera segura. El responsable del tratamiento será el responsable del cumplimiento, quien deberá de ser capaz, a su vez, de demostrarlo.

5. El tratamiento sólo será lícito si el interesado dio su consentimiento o si el tratamiento es necesario para la ejecución de un contrato, para el cumplimiento de una obligación legal, para proteger los intereses viotales del interesado, para el cumplimiento de una misión realizada en interés público, o para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.

6. El consentimiento del interesado se debe de obtener de manera explícita; y el responsable del tratamiento tiene que poder demostrar que así se hizo. Además, el interesado tendrá derecho a retirar su consentimiento en cualquier momento. Por tanto el consentimiento será explícito, demostrable y revocable.

7. El Reglamento establece la edad de 16 años (o no inferior a 13) para que el consentimiento sea lícito, únicamente si lo dio o autorizó el titular de la patria potestad o tutela sobre el niño.

8. Salvo en circunstancias especiales (Artículo 9, apartado 2 del Reglamento): “Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.”

Entonces… ¿cuál es la información que deberemos de facilitar para obtener datos personales del  interesado?

En líneas generales, para obtener datos personales de un interesado (por ejemplo, desde las páginas web donde solicitamos el contacto del cliente, prospecto, partner…),  y en el momento en que se obtienen, se deberá de informar de:

  • la identidad y los datos de contacto del responsable y, en su caso, de su representante;
  • los datos de contacto del delegado de protección de datos, si lo hubiera;
  • los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
  • los intereses legítimos del responsable o de un tercero, en su caso;
  • los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
  • en el caso de que haya intención de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas.
  • el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
  • la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
  • la existencia del derecho a retirar el consentimiento en cualquier momento;
  • el derecho a presentar una reclamación ante una autoridad de control;
  • si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
  • la existencia de decisiones automatizas, incluida la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
  • además, cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin.

Hay que tener en cuenta, y según indica el reglamento en su Artículo 14, apartado 5. punto b) que, no será oportuno (“no serán aplicables”) aportar tal información cuando la comunicación de la misma  “resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información;”

En la próxima entrega: derechos del interesado y obligaciones del responsable y encargado del tratamiento.

Valora el artículo:

1 Estrella2 Estrellas3 Estrellas4 Estrellas5 Estrellas (1 valoraciones, media: 5,00 sobre 5)
Cargando...
Avatar photo María Cumplido Comunicación y RRHH Ver más artículos de María Cumplido
Comentarios en “RGPD: principios, conceptos y obtención de los datos”
14 febrero, 2020 a las 09:35

Cuánta información hay que dar. Aunque entiendo que es por el bien de todos como usuarios. ¡Gracias!

Otros artículos de la categoría Actualidad