Los 5 mandamientos en protección de datos
La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española.
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales. La LOPDGDD, no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.
En la ley se define tratamiento de datos a, cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Consentimiento
Cualquier tratamiento de datos requiere permiso expreso del interesado. Por lo tanto, siempre es necesario considerar y justificar para qué se van a tratar los datos personales.
El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal.
Economía de datos
La recopilación y el tratamiento de datos deben ser apropiados para la finalidad que se solicita, respetando el anonimato y el principio de minimización de datos, es decir, solo los estrictamente necesarios para ese fin. Deben ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales.
Finalidad
Los datos personales sólo podrán tratarse para los fines para los que fueron recogidos y estarán sujetos a una fecha de caducidad (concepto de cancelación).
Los datos se deben recoger con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines. Los datos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Seguridad de datos
Para garantizar la protección de los datos contra el uso indebido de los mismos, es necesario establecer las medidas técnicas necesarias así como las medidas organizativas.
Adicionalmente, el artículo 5 del RPGD establece que el responsable del tratamiento deberá garantizar el cumplimiento de los principios relativos al tratamiento, así como, la figura responsable de demostrarlo. Por tanto, es fundamental definir adecuadamente las actividades de tratamiento y documentar los análisis realizados, así como, dejar trazabilidad de los mismos y de las conclusiones que los soportan para poder garantizar la responsabilidad proactiva.
Transparencia
La información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
Los interesados tendrán derecho a conocer qué datos han sido recogidos y almacenados en relación con su persona.
La obligación de informar se debe cumplir sin necesidad de requerimiento alguno, y el responsable deberá poder acreditar con posterioridad que dicha obligación ha sido satisfecha.