Datos de carácter personal RGPD (II) Bases Legales, Consentimiento y Principios de Protección

Las 6 bases legales

Para que una empresa pueda tratar DCP, debe apoyarse en al menos una de las seis bases legales del nuevo reglamento, sobre todo:

  1. El consentimiento claro y expreso del individuo: El consentimiento debe darse para una o varias finalidades específicas (lo cual excluye cualquier finalidad expresada de forma general).

También debe responder a características y condiciones particulares.

Ejemplos:
Consentimiento para tratar los datos para el envío de boletines de noticias

Consentimiento de los empleados para la utilización de su fotografía en el contexto de una red social interna

  • La formalización de un contrato: El tratamiento se considerará lícito cuando sea necesario en el marco de un contrato o de la intención de finalizar un contrato.

Esta disposición debe interpretarse de manera restric­tiva y no cubre situaciones en las que el tratamiento no sea verdaderamente necesario para la formalización de un contrato.

Ejemplos:
Tratamiento de la dirección postal de un cliente para entregarle productos comprados en línea. Tratamiento de los datos de los empleados para que se pueda proceder al pago de sus nóminas

  • El respeto de una obligación legal: El tratamiento será considerado lícito si se efectúa en virtud de una obligación legal a la que está sujeto el responsable del tratamiento o que es necesaria para el cumplimiento de una misión de interés público o relevante para el ejercicio de la autoridad pública.

    En ese caso, la obligación legal debe proceder de una legislación europea o de la ley del estado miembro del que depende el responsable del tratamiento. Las obligaciones impuestas por las leyes de un tercer país no entran en el ámbito de este motivo (pero pueden entrar en el del interés legítimo).

    Ejemplo:
    Tratamiento de datos relativos a la remuneración de los empleados para poder comunicarlos a la seguridad social o la administración fiscal.
  • El interés publico
  • La protección del interés vital de la persona: El tratamiento se considerará lícito cuando esté en juego el interés vital de la persona implicada o de otra persona.

La expresión «interés vital» parece limitar la aplicación de este motivo a cuestiones de vida o muerte o, al menos, a amenazas que conlleven un riesgo de lesión u otro atentado contra la salud de la persona afectada o de terceros.

Ejemplo:

Tratamientos de datos con fines humanitarios.

  • El interés de la sociedad: Para determinar si este fundamento puede justificar el tratamiento, el RGPD impone un criterio de búsqueda de equilibrio entre:
  • El interés legítimo que persigue el responsable del tratamiento o de terceros (por ejemplo: el interés económico, la prevención de un fraude, la seguridad, etc.)
  • El interés o los derechos y libertades fundamentales de la persona afectada por otra parte (por ejemplo: su vida privada, un ataque a su reputación, etc.)

ATENCION

  • Es tarea del responsable del tratamiento demostrar que sus intereses legítimos prevalecen sobre los de la persona afectada.
  • El responsable del tratamiento debe informar a la persona afectada, en el momento de recoger los datos, de los motivos legítimos que persigue porque el tratamiento se fundamenta en esa base.
  • La persona afectada tiene derecho de oponerse en cualquier momento, por las razones que estime oportunas, a un tratamiento amparándose en esta base.

Ejemplos:
Tratamientos de datos con fines de prevención de fraude.
Es necesario que la persona afectada pueda esperar razonablemente, en el momento de la recogida de sus datos, que estos sean objeto de tratamiento para un fin determinado.

Por tanto, una casilla para que marque el cliente no es una buena forma de reflejar su consentimiento para la utilización de sus datos personales, sino que este consentimiento debe ser explícito y no implícito.

La RGPD precisa que el consentimiento es una opción libre, específica, clara y unívoca. No basta con marcar una casilla, hay que precisar de manera clara lo que conlleva el consentimiento.

Sin embargo, no es preciso solicitar el consentimiento a los empleados porque el tratamiento de sus datos es necesario para formalizar el contrato de trabajo. De hecho, no hace falta el consentimiento porque el tratamiento responde a las obligaciones legales o fines legítimos de la relación laboral.

El Consentimiento

Teniendo en cuenta la existencia de estas bases legales, cuando la empresa se apoya en la
del «consentimiento», el RGPD define estrictamente las condiciones.

El consentimiento es la clave de la conformidad para el tratamiento puesto en práctica, ya que se trata del mejor medio para que las personas puedan controlar las actividades de tratamiento que se harán con sus datos.

De hecho, el consentimiento de las personas afectadas debe recogerse en diversas ocasiones, ya sea sin conexión o en línea.

Debe existir un consentimiento libre para una finalidad precisa. Un consentimiento claro dado tras haber recibido la información necesaria para tomar la decisión. Un consentimiento especifico escrito de forma inteligible y fácilmente accesible. El consentimiento ha de ser un acto positivo, claro y unívoco (sin ambigüedad). Un consentimiento documentado que debe poder ser demostrable.

Los principios de protección de los datos personales

El Reglamento General de Protección de Datos RGPD integra once principios que hay que respetar. Comencemos por conocer los 4 primeros

  • Responsabilidad: Debes ser capaz de demostrar la adecuación a la norma de tus tratamientos.
  • Minimización de datos: Consiste en no tratar más datos de los estrictamente necesarios para unas finalidades dadas.
  • Integridad, confidencialidad y seguridad: Es absolutamente necesario garantizar la protección de los datos y los flujos de estos.
  • Limitación de las finalidades: Los datos personales deben recogerse para finalidades concretas, explícitas y legítimas.
  • Categorías particulares (DCP sensibles): El tratamiento de ciertos datos personales está prohibido (salvo en casos particulares).
  • Exactitud: Los datos personales deben ser, en la medida de lo posible, exactos y actuales.
  • Limitación de la conservación: Ningún dato personal recogido debe guardarse durante más tiempo del necesario.
  • Licitud, lealtad y transparencia: Cada tratamiento debe basarse en un fundamento legal que justifique el tratamiento de los datos.
  • Subcontratación y sociedades: Los terceros están obligados a ofrecer las garantías del Reglamento General de Protección de Datos
  • Transferencias del DCP fuera de la EEE: La transferencia de los datos de carácter personal fuera de la UE deben respetar las mismas reglas de protección que las llevadas a cabo dentro de la misma Unión Europea.
  • Derecho de las personas: Las personas afectadas por el tratamiento de datos personales tienen derechos que les permiten mantener el control de la información que les atañe.

Conclusión

Todas las empresas tienen la obligación de informar con claridad, es decir, de manera comprensible, a todos los usuarios de la recogida de datos y del uso que se hará de ellos.

La empresa cuenta con normas y principios para ajustarse al reglamento y todo empleado debe respetarlos

Leave a Reply

Your email address will not be published. Required fields are marked *