Ante el tratamiento de los datos personales, un error bastante común con el cual solemos encontrarnos es que, en líneas generales, las empresas piensan que por recoger y tratar datos de carácter personal, los mismos pasan a pertenecerles. Esto no es así ya que los datos personales nunca dejan de pertenecer, de forma exclusiva, al interesado.
Por lo expuesto y en aras al correcto tratamiento de datos personales que no nos pertenecen, el RGPD, a través de su artículo 5, desarrolla diferentes principios, aunque algunos de ellos ya los encontrábamos en la LOPD anterior. Estos principios se encuentran reflejados en los diferentes artículos que lo componen y son los que deben respetar y cumplir las empresas para un correcto tratamiento de los datos personales.
Principios del RGPD respecto al tratamiento de los datos personales
Licititud, lealtad y transparencia
Como primera mención a dichos principios, encontramos que el RGPD especifica que los datos deben tratarse “de manera lícita, leal y transparente”. La licitud implica cumplir con las condiciones impuestas por el RGPD al recabar y tratar los datos. Por ejemplo, realizar el tratamiento de datos personales amparados en por lo menos alguna de las bases legales que impone el RGPD.
En cuanto a la lealtad y la transparencia, los encontramos relacionados en el considerando 60 del RGPD. Este hace referencia a la obligación que tiene el responsable del tratamiento de comunicar al interesado información relativa al tratamiento que realiza. Esta comunicación debe realizarse de forma tal que la misma pueda entenderse por cualquier persona, independientemente de su formación, clase social o edad. Así, es necesario redactar la política de privacidad con un lenguaje claro y fácil de comprender sin caer en la utilización de términos muy técnicos de difícil o nula comprensión.
Limitación de la finalidad
Continuando con la lectura del RGPD, nos encontramos con el principio de “limitación de la finalidad”. Esta limitación consiste en que los datos personales deben recabarse con fines determinados, explícitos y legítimos y tratarse únicamente para las finalidades para las que se recogieron. De este modo, si a posteriori queremos realizar un tratamiento de dichos datos para una finalidad completamente diferente, deberemos volver a recabar el consentimiento del interesado, informando de este nuevo tratamiento y de toda la información que el citado cuerpo legal exige para el caso concreto.
Sin perjuicio de lo expuesto anteriormente, el tratamiento posterior de datos personales que se realice con fines de investigación científica e histórica, archivo en interés público o fines estadísticos, no será considerado incompatible. Por ejemplo: si me apunto a un gimnasio y acepto únicamente el tratamiento de mis datos de carácter personal dentro del marco de un contrato para acceder al centro de entrenamientos y que me giren los recibos correspondientes, si quisieran subir una foto asistiendo a una clase, previo a tratamiento de mis datos para dicha finalidad, deberían recabar mi consentimiento expreso.
Otro de los principios receptados, es el de “minimización de datos” que consiste en el deber de recoger y tratar únicamente aquellos datos que necesitamos para cumplir con la finalidad concreta para la cual los recogemos, por lo cual, todos aquellos datos que realmente no necesitemos tratar y que recogemos, por ejemplo: “por si llegaran a ser necesarios en algún momento” o “para tener más completa nuestra base de datos”, son acciones que debemos o bien evitar o bien erradicar de nuestros procedimientos, si solíamos actuar de dicha forma.
Exactitud en el tratamiento de los datos personales
El principio de “exactitud” consiste en la obligación de implementar aquellas medidas para que se supriman o rectifiquen los datos personales que sean inexactos con respecto a las finalidades para las cuales sean tratados. Por ejemplo, en el caso de una suscripción a una revista, si el interesado modifica su domicilio, será su obligación informar de dicho cambio al responsable del tratamiento. Sin embargo, también es obligación del responsable no sólo habilitar los canales necesarios para que el interesado pueda ejercer dicha notificación, sino que además deberá asegurarse de que se actualiza el dato concreto.
Limitación del plazo de conservación
El siguiente principio que comentaremos se trata de una de las nuevas incorporaciones del RGPD en el tratamiento de datos personales: el principio de “limitación del plazo de conservación”.
Tal vez es el que mayores dudas y temores haya generado. Consiste en la obligación de no mantener, más del tiempo necesario para los fines del tratamiento, los datos personales que permitan identificar a los interesados. Por ejemplo, en el supuesto de que tengamos datos de carácter personal de interesados con los cuales no sólo ya no tenemos relación comercial alguna, sino que además ya se ha cumplido el plazo de prescripción establecido por la ley respecto de las acciones de responsabilidad por incumplimiento o vicios redhibitorios.
Integridad y confidencialidad
Por último, nos encontramos con el principio de “integridad y confidencialidad” que consiste en aplicar, por parte del responsable del tratamiento u encargado del tratamiento, todas aquellas medidas de índole organizativas y/o técnicas destinadas a disminuir el riesgo frente a:
- tratamientos no autorizados,
- destrucción total o parcial,
- manipulación,
- divulgación no autorizadas, entre otros.
Por ejemplo, el acceso a datos de carácter personal por terceros que no guardan relación alguna con la empresa.
Para finalizar, es importante destacar que el responsable del tratamiento de datos personales no sólo deberá cumplir con cada uno de dichos principios y todo lo que ello conlleva, sino que además deberá estar en la posición de demostrar su cumplimiento.
AUTOR: JUAN MANUEL CARMONA, DELEGADO DE PROTECCIÓN DE DATOS Y DIRECTOR DEL DPTO. DE NORMAS ISO de FORLOPD