Partiendo del principio de que los datos personales abarcan cualquier información relativa a una persona física identificada o identificable es fundamental garantizar la protección y privacidad de dichos datos con el fin de salvaguardar los derechos y libertades de las personas. Esta necesidad conduce inexorablemente a la implementación de una regulación legal específica y concreta, la cual se concentra en dos pilares fundamentales:
- El RGPD 2016/679 del 27 de abril, conocido como el Reglamento General de Protección de Datos de la Unión Europea, que se ocupa de la protección de los datos personales y su libre circulación, derogando la Directiva 95/46/CE.
- La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) 3/2018 del 5 de diciembre, que adapta el RGPD a la normativa española.
Cumplir con el RGPD y la LOPDGDD no solo es un requisito legal para empresas, personas y organizaciones como responsables del tratamiento de los datos personales, también es una manera de posicionarse en el mercado generando confianza a clientes y socios comerciales. Revisemos pues algunos de los aspectos básicos de la protección de datos:
Licitud del tratamiento
El tratamiento de datos debe ser lícito, y para que así se considere el responsable del tratamiento debe llevarlo a cabo amparado en alguna de las circunstancias expresamente establecidas por la ley. Es decir, el principio de licitud consiste en el deber por parte del responsable de llevar a cabo el tratamiento de datos personales conforme y en base a las facultades y atribuciones que le confiera el marco normativo.
La circunstancia habilitante más evidente es la del consentimiento del propio interesado, existiendo otras como el cumplimiento de obligaciones legales, la protección de intereses vitales o la satisfacción de intereses legítimos.
Aplicación de los principios de protección de datos
Además del principio de licitud que acabamos de ver, deben respetarse los siguientes:
– Transparencia y lealtad: consistente en que los datos deben ser tratados de manera leal y transparente para el interesado. La transparencia implica el uso de un lenguaje claro y sencillo, y garantizar al interesado poder ejercer los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición.
– Finalidad: los datos deben ser tratados con una o varias finalidades determinadas, explícitas y legítimas, y sólo con ellas.
– Minimización de datos: sólo usar aquellos que sean precisos para cada uno de los fines específicos del tratamiento.
– Exactitud: los datos deben estar actualizados, suprimiéndolos y modificándolos cuando sean inexactos con respecto a los fines para los que se tratan.
– Limitación del plazo de conservación: la conservación de los datos debe limitarse en el tiempo al logro de los fines que persigue el tratamiento.
– Seguridad: requiere del responsable un análisis de riesgos orientado a determinar las medidas técnicas y organizativas necesarias para garantizar la integridad, la disponibilidad y la confidencialidad de los datos personales que traten.
– Responsabilidad activa o responsabilidad demostrada: los responsables han de mantener diligencia debida de manera permanente para proteger y garantizar los derechos y libertades de las personas físicas cuyos datos son tratados. El responsable debe poder garantizar en todo momento que el tratamiento se ajusta a las previsiones del RGPD y la LOPDGDD.
Responsables y encargados del tratamiento
El responsable del tratamiento es aquel que decide con qué fines y con qué medios se tratan los datos personales. Cuando estas decisiones se tomen por dos o más personas, entidades u organizaciones hablaremos de corresponsables del tratamiento. Los corresponsables del tratamiento deben tener un acuerdo que defina sus parcelas de responsabilidad, acuerdo que deberá ser comunicado a las personas cuyos datos personales sean tratados.
El encargado del tratamiento será la mano ejecutora, es decir, quien haga el tratamiento de los datos personales por cuenta del responsable, siendo en muchos casos un tercero externo a aquel. La relación entre responsable y encargado debe verse articulada a través de un contrato. El encargado no podrá subcontratar el tratamiento de los datos sin consentimiento expreso del responsable.
Por supuesto, la figura de responsable y encargado puede aunarse en una sola persona o entidad.
Designación de un delegado de protección de datos
El RGPD introduce la figura del Delegado de Protección de Datos (DPD), persona que debe tener conocimientos sólidos sobre el marco normativo y su aplicación práctica. Los DPD tienen roles clave, como asesorar y supervisar de manera independiente el cumplimiento de las leyes de protección de datos, además de actuar como contacto principal con la Agencia Española de Protección de Datos (AEPD), que es el órgano de control.
Debe designarse un DPD bajo las siguientes circunstancias:
– Cuando una entidad pública realice tratamientos de datos, excluyendo a los tribunales que actúen judicialmente.
– Si las actividades principales de una entidad implican el tratamiento sistemático y regular de datos a gran escala.
– En casos de tratamiento a gran escala de datos especiales, como aquellos relacionados con condenas penales.
La LOPDGDD detalla además quiénes deben designar obligatoriamente un DPD:
– Colegios profesionales y sus consejos generales.
– Centros educativos en todos los niveles, incluyendo universidades.
– Entidades que operen redes y servicios de comunicaciones electrónicas.
– Proveedores de servicios en línea que creen perfiles de usuarios a gran escala.
– Otro tipo de entidades, como financieras, empresas de seguridad, centros de salud, entre otros.
Las entidades que designen un DPD deben informar de ello a la AEPD y divulgar públicamente su existencia.
Registro de actividades de tratamiento
El responsable del tratamiento de datos debe llevar registros detallados de cómo se están usando los mismos. Esto incluye información como quién es el responsable y su representante y quién, en su caso, el DPD, para qué se usan los datos, a quiénes se les comparten, cualquier transferencia internacional de datos, medidas de seguridad y cómo planean eliminar los datos cuando ya no sean necesarios. Además, estos registros deben estar disponibles para las autoridades pertinentes si se solicitan. No obstante, estas reglas no aplicarían a empresas pequeñas de menos de 250 personas, a menos que manejen datos sensibles o que representen un riesgo para los derechos y libertades de las personas.
Medidas de Seguridad
El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, que en su caso incluya, entre otras, las siguientes:
– La seudonimización y el cifrado de datos personales;
– La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
– La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
– Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos. La adhesión a un código de conducta o a un mecanismo de certificación (protocolos ambos regulados en el RGPD, artículos 40 y 42) podrán servir como elementos para demostrar el cumplimiento en esta materia.
Análisis de Riesgos y Evaluación de Impactos
Además de las preceptivas medidas de seguridad, aquellas organizaciones cuyo tratamiento de datos no pueda considerarse como de escaso riesgo deben llevar a cabo un análisis de riesgos con el que poder diagnosticar los riesgos para el tratamiento de datos personales y, en función del mismo, considerar si es necesario o no llevar a cabo una Evaluación de Impacto en Protección de Datos.
La Evaluación de Impacto es un proceso que permite a las organizaciones identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se materialicen. En el proceso, la organización debe conocer para qué y cómo se van a utilizar los datos, identificar, evaluar y tratar los riesgos potenciales y elaborar un plan de acción donde se incluyan las medidas de control para garantizar los derechos y libertades de las personas.
La política de privacidad
Terminamos haciendo mención a la política de privacidad como elemento básico que es dentro del entorno web y la interactuación telemática. La política de privacidad no es otra cosa que un documento legal, normalmente puesto a disposición por el responsable en su sitio web, que expone cómo una organización retiene, procesa o maneja los datos del usuario y cliente. Es un contrato en el cual dicha organización se compromete a velar por la privacidad de la información personal del usuario. Es responsabilidad del usuario leerla y asegurarse de que no hay condiciones por las cuales se lleve a cabo un intercambio de información que pueda ser visto como una violación de privacidad.
En definitiva, la protección de datos y su marco normativo tienen como fin el de proteger la información personal de las personas para evitar su mal uso o acceso no autorizado. Es crucial porque garantiza la privacidad, la seguridad y el control sobre la información sensible de cada individuo. Cuenta con MANTRICO para asesorarte en esta materia.
