La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales se articula sobre la base de la necesaria claridad y transparencia en el tratamiento de datos para garantizar su correcta protección.
Con el objetivo de comprender la importancia de los principios fundamentales en el tratamiento de datos, el segundo #TipLOPDGDD sirve como resumen de los puntos más importantes que tanto empresas como consumidores deben tener en cuenta al tratar y facilitar datos.
Exactitud de los datos
Las entidades deben garantizar una serie de procedimientos que permitan al responsable del tratamiento la actualización eficaz y continua de los datos contenidos en un fichero para asegurar la máxima precisión y adecuación a la realidad del usuario que aporta sus datos. La vulneración de este principio fundamental conllevará una infracción muy grave.
En el caso de que exista una información incorrecta, no se podrá imputar dicha inexactitud al responsable del tratamiento en aquellos casos en los que los datos se hubieran obtenido directamente del afectado o que provinieran de un intermediario o mediador cuando éste los comunique inexactos al responsable. En el caso de que los datos que aporte el mediador no sean exactos, será esta figura la responsable y no el encargado final de su tratamiento al que le llegaron erróneos. También estará exento de responsabilidad cuando los datos provengan de otro responsable en base al derecho de portabilidad o cuando se extraigan de un registro público.
Para comprender cómo las tiendas online deben aplicar correctamente este principio, si por ejemplo la base de datos de sus clientes no se actualiza desde hace 5 años, el Ecommerce estaría obligado, para un correcto tratamiento, a comprobar si los datos han cambiado. Es importante que esta comunicación, necesaria para su actualización, no tenga una finalidad comercial; es decir, que no se aproveche para vender nuevos productos o servicios. En relación con la importancia de la exactitud de los datos, el Reglamento General de Protección de Datos (RGPD) vincula este principio a la necesidad de que únicamente se obtengan los datos adecuados, pertinentes y limitados, conocidos como principio de minimización. A modo de ejemplo, si para la entrega de un producto solo necesito saber la dirección y el nombre del usuario, no le pediré datos sobre su estilo de vida o gustos, ya que esta información no es necesaria para cumplir con la finalidad del contrato.
Deber de confidencialidad
Los responsables, los encargados del tratamiento y todos los partícipes que traten datos personales tendrán que cumplir con el deber de confidencialidad, complementariamente al secreto profesional. Ambos deberes se mantendrán aunque finalice la relación entre el interesado y los encargados del tratamiento. El incumplimiento de este principio se contempla como una infracción muy grave.
Dentro de este principio se incluyen también las categorías especiales de datos personales, como lo son la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. En estos casos, se deberán poner en marcha mecanismos adicionales con respecto al régimen del consentimiento, aportando un mayor nivel de seguridad.
Aplicado a una situación real, este principio implica la necesaria puesta en marcha de medidas por parte de las empresas que garanticen la confidencialidad de los datos de sus clientes. Por ejemplo, si una entidad ofrece servicios de telefonía, se tendrá que asegurar de que los datos de sus clientes (nombres, apellidos, DNI, direcciones, números de cuenta) sean de uso exclusivo para suministrar el servicio y, por lo tanto, únicamente sean accesibles a los trabajadores que se encargan de dicho suministro de manera que estarán por ejemplo protegidos con accesos especiales y limitados.
Tratamiento basado en el consentimiento del afectado
Uno de los puntos más importantes de la Ley Orgánica es el consentimiento expreso del titular de los datos que debe aceptar el tratamiento a través de una declaración o acción afirmativa, resultado de una manifestación específica e inequívoca.
Cuando se soliciten los datos del usuario para diferentes finalidades no será válido que se pida su consentimiento en bloque, sino que deberá obtenerse de manera diferenciada y específica para cada una de las diferentes finalidades.
Además, en una relación contractual, no se podrá obligar al usuario a prestar su consentimiento para el tratamiento de aquellos datos que no sean totalmente necesarios para el desarrollo o mantenimiento de dicho contrato.
Para explicar este principio, si una tienda online dispone de una Newsletter con novedades acerca de su actividad y otro servicio de mailing para enviar ofertas personalizadas, con productos distintos a los bienes y servicios adquiridos por el usuario, el empresario deberá asegurarse de que éste haya manifestado de forma inequívoca y por separado su consentimiento para cada una de estas dos finalidades, por ejemplo, a través de un checkbox diferenciado y nunca premarcado.
Consentimiento de los menores de edad
Se entenderá que el usuario es menor de edad cuando tenga menos de 14 años, edad a partir de la cual podrá expresar por sí solo su consentimiento. Antes de esta edad, los encargados de ejercer esta acción en su nombre serán los tutores legales y quienes tengan la patria potestad, así como, en aquellos casos en los que, a pesar de superar esta edad, sea necesario por ley.
La importancia del correcto tratamiento de los datos de menores obliga a todas las entidades y personas físicas o jurídicas que realicen actividades en las que participen menores a garantizar especialmente la protección de sus datos personales, teniendo en cuenta los mayores riesgos a los que se enfrenta este colectivo. Además, transcurrido un año desde la entrada en vigor de la ley orgánica, se impulsará un proyecto de ley específico para la garantía de los derechos de los menores ante el impacto de Internet.
Las personas que actúan en nombre y representación de los menores de 14 años serán, además, los encargados de ejercitar los derechos de acceso, rectificación, cancelación, oposición, entre otros.
Aplicando lo anterior a una situación real, si un colegio quisiera publicar fotos de actividades con alumnos en su página web o redes sociales, deberán obtener el consentimiento del alumno mayor de 14 años o de sus representantes legales o tutores, siempre que fuese menor.
Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos
El tratamiento de datos de categorías especiales según obligaciones legales o necesarias para cumplir con el interés público tendrá que regirse por lo establecido en las normativas, europeas y a nivel nacional.
Además, será necesaria la adopción de medidas adicionales de seguridad y solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, según los términos recogidos en el RGPD, cuando derive de una competencia atribuida por la ley.
Dentro de la categoría de datos de interés público se encuentran los obtenidos en actividades de videovigilancia, a través de ficheros de exclusión publicitaria o de sistemas de denuncias internas. Pero también:
- Las bases de datos reguladas por ley y gestionadas por autoridades públicas para el control de riesgos y solvencia por parte del Banco de España, para establecer medidas de Reforma del Sistema Financiero o la ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
- Los datos recogidos con fines de archivo del Patrimonio Histórico.
- Aquellos relativos a investigaciones sobre salud, siempre que se hayan anonimizado para que no se identifiquen a los participantes en el estudio.
- Los datos utilizados para garantizar la seguridad y defensa del país.
Categorías especiales de datos
Para el tratamiento de datos pertenecientes a las categorías especiales como pueden ser los relativos a la ideología, afiliación sindical, religión, orientación sexual, creencias y origen racial, gozarán de una especial y mayor protección. No será suficiente que el usuario consienta al tratamiento de este tipo de datos, sino que prevalecerá la prohibición que marque la ley, con los requisitos de seguridad y confidencialidad necesarios para garantizar un amparo extra.
El tratamiento de estos datos y las garantías de seguridad que les amparan, serán especialmente tenidos en cuenta en la realización de las evaluaciones de impacto, por el elevado riesgo que conlleva un tratamiento incorrecto.
En la práctica, si una entidad tiene constancia, por ejemplo, de la pertenencia de un grupo de sus trabajadores a un sindicato, no podrá utilizar esta información para ejercer acciones discriminatorias contra este grupo de empleados.
Tratamiento de datos de naturaleza penal
Los datos personales relativos a condenas o infracciones penales, procedimientos y medidas cautelares y de seguridad conexas, únicamente podrán ser tratados para las siguientes finalidades: prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. Fuera de estos casos, el tratamiento sólo podrá realizarse cuando exista una norma, europea o nacional que lo ampara.
Asimismo, únicamente el Sistema de registros administrativos de apoyo a la Administración de Justicia, podrá realizar un registro completo de los datos arriba mencionados. Por otra parte, abogados o procuradores en el ejercicio de la defensa de sus clientes en los procesos judiciales, podrán acceder y tratar los datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas.
Un ejemplo de su correcto tratamiento sería el registro de datos de naturaleza penal sobre condenas, infracciones penales, procedimientos y medidas cautelares, utilizadas por la Administración de Justicia para la prevención de delitos. También sería lícito si el abogado de un acusado tiene acceso a los datos de su condena para la defensa de su caso.