TRATAMIENTO DATOS PERSONALES CON EL NUEVO R.G.P.D (PARTE I)
NO HAY QUE OLVIDAR QUE LOS DATOS PERSONALES NUNCA DEJAN DE PERTENECER, DE FORMA EXCLUSIVA, AL INTERESADO
Tratamiento datos Personales con el nuevo R.G.P.D (Parte I)
Un error bastante común con el cual solemos encontrarnos es que, en líneas generales, las empresas piensan que, por recoger y tratar datos de carácter personal, los mismos pasan a pertenecerles y ello no es así, los datos personales nunca dejan de pertenecer, de forma exclusiva, al interesado.
JUAN MANUEL CARMONA (DELEGADO DE PROTECCIÓN DE DATOS Y DIRECTOR DEL DPTO. DE NORMAS ISO DE FORLOPD)
Por lo expuesto y en aras al correcto tratamiento de datos personales que no nos pertenecen, el R.G.P.D., a través de su artículo 5, desarrolla diferentes principios, aunque algunos de ellos ya los encontrábamos en la L.O.P.D. anterior, los cuales se encuentran reflejados en los diferentes artículos que lo componen; principios todos ellos, que deben respetar y cumplir las empresas para un correcto tratamiento de dichos datos. Como primera mención a dichos principios, encontramos que el R.G.P.D. menciona que los datos deben ser “tratados de manera lícita, leal y transparente”.
La licitud
La licitud implica cumplir con las condiciones impuestas por el R.G.P.D. al momento de recabar y tratar los datos, como por ejemplo, realizar el tratamiento de datos personales amparados en, por lo menos alguna, de las bases legales que impone el R.G.P.D.; cuya explicación extendida será objeto de la próxima publicación. En cuanto a la lealtad y la transparencia, los encontramos relacionados en el considerando 60 del R.G.P.D. el cual nos hace referencia a la obligación que tiene el responsable del tratamiento de comunicar, al interesado, información relativa al tratamiento que realiza; debiendo comunicarla de forma tal que la misma pueda ser entendida por cualquier persona, independientemente de su formación, clase social o edad. Un ejemplo sería redactar la política de privacidad con un lenguaje claro y fácil de comprender sin caer en la utilización de términos muy técnicos de difícil o nula comprensión.
Limitación de la finalidad
Continuando con la lectura del R.G.P.D., nos encontramos con el principio de “limitación de la finalidad” que consiste en que los datos personales deben recabarse con fines determinados, explícitos y legítimos y tratarse únicamente para la o las finalidad(es) para la cual fueron recogidos, por lo cual, si a posteriori, queremos realizar un tratamiento de dichos datos para una finalidad completamente diferente, deberemos volver a recabar el consentimiento del interesado, informando de este nuevo tratamiento y de toda la información que el citado cuerpo legal exige para el caso concreto.
Sin perjuicio de lo expuesto anteriormente, el tratamiento posterior de datos personales que se realice con fines de investigación científica e histórica, archivo en interés público o fines estadísticos, no será considerado incompatible. Por ejemplo: si me apunto a un gimnasio y acepto únicamente el tratamiento de mis datos de carácter personal dentro del marco de un contrato para acceder al centro de entrenamientos y que me giren los recibos correspondientes, si quisieran subir una foto asistiendo a una clase, previo a tratamiento de mis datos para dicha finalidad, deberían recabar mi consentimiento expreso.
Minimización de datos
Otro de los principios receptados, es el de “minimización de datos” que consiste en el deber de recoger y tratar únicamente aquellos datos que necesitamos para cumplir con la finalidad concreta para la cual los recogemos, por lo cual, todos aquellos datos que realmente no necesitemos tratar y que recogemos, por ejemplo: “por si llegaran a ser necesarios en algún momento” o “para tener más completa nuestra base de datos”, son acciones que debemos o bien evitar o bien erradicar de nuestros procedimientos, si solíamos actuar de dicha forma.
Comentamos ahora el principio de “exactitud” que consiste en la obligación se implementar aquellas medidas para que se supriman o rectifiquen aquellos datos personales que sean inexactos con respecto a las finalidades para las cuales sean tratados. Por ejemplo, en el caso de una suscripción a una revista, si el interesado modifica su domicilio, será su obligación informar de dicho cambio al responsable del tratamiento, pero también es obligación del responsable no sólo habilitar los canales necesarios para que el interesado pueda ejercer dicha notificación, sino que además deberá asegurarse de que se actualiza el dato concreto.
Limitación de plazo de conservación
El siguiente principio que comentaremos, se trata de una de las nuevas incorporaciones del R.G.P.D.: el principio de “limitación del plazo de conservación”; tal vez el que mayores dudas y temores haya generado y que consiste en la obligación de no mantener, más del tiempo necesario para los fines del tratamiento, los datos personales que permitan identificar a los interesados. Por ejemplo, en el supuesto de que tengamos datos de carácter personal de interesados con los cuales no sólo ya no tenemos relación comercial alguna, sino que además ya se ha cumplido el plazo de prescripción establecido por la ley respecto de las acciones de responsabilidad por incumplimiento o vicios redhibitorios.
Integridad y confidencialidad
Por último, nos encontramos con el principio de “integridad y confidencialidad” que consiste en aplicar, por parte del responsable del tratamiento u encargado del tratamiento, todas aquellas medidas de índole organizativas y/o técnicas destinadas a disminuir el riesgo frente a tratamientos no autorizados, destrucción total o parcial, manipulación y divulgación no autorizadas, por mencionar algunos riesgos. Como por ejemplo, el acceso a datos de carácter personal por terceros que no guardan relación alguna con la empresa. Para finalizar, es importante destacar que el responsable del tratamiento no sólo deberá cumplir con cada uno de dichos principios y todo lo que ello conlleva, sino que además deberá estar en la posición de demostrar su cumplimiento.
Fuente: Este articulo pertenece a la revista Anerr News