¿Qué se entiende por tratamiento de datos personales? ¿Qué nos dice el RGPD sobre el tratamiento de datos personales? ¿Podemos tratar cualquier tipo de datos personales? ¿Qué obligaciones debemos tener en cuenta a la hora de tratar datos personales?
¿Qué se entiende por tratamiento de datos personales?
Por tratamiento de datos de carácter personal se entiende cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, tanto si se hace de forma automatizada como no automatizada, como por ejemplo, la recogida, el almacenamiento o la modificación de dichos datos, siempre que sean parte de un sistema de archivo o fichero estructurado.
Tipos de tratamiento de datos personales
Entre los tipos de tratamiento de datos personales encontramos los siguientes (aunque no se trata de un listado completo o exhaustivo, sí son los tratamientos más comunes):
- Recogida
- Registro
- Organización
- Estructuración
- Conservación
- Adaptación o modificación
- Extracción
- Consulta
- Utilización
- Comunicación por transmisión
- Difusión o cualquier otra forma de permitir el acceso a ellos
- Cotejo o interconexión
- Limitación
- Supresión
- Destrucción
Por lo tanto, cualquier tipo de acción que hagamos sobre un dato personal se considera tratamiento de datos personales, tanto si hablamos de tratamiento automatizado de datos personales como no automatizado, siempre que después se incluyan en un fichero o archivo estructurado al que se pueda tener acceso.
Ejemplos de tratamientos de datos personales
A continuación tenéis algunos ejemplos de tratamientos de datos personales:
- Gestión de nóminas
- Creación de una lista de suscriptores a una página web
- Publicar imágenes en sitios online
- Grabación de imágenes a través de cámaras de videovigilancia
- Consultas a bases de datos personales
- Creación de una lista de correos electrónicos para envío de información comercial
- Registro y almacenamiento de datos biométricos por parte de una aplicación
¿Qué ley regula el tratamiento de los datos personales?
El tratamiento de los datos personales está regulado en:
- RGPD (Reglamento General de Protección de Datos), que establece el marco normativo general para toda la UE y el EEE (Espacio Económico Europeo), vigente desde 2016.
- LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales); es la ley española que introduce y adapta el RGPD al ordenamiento jurídico español, en vigor desde 2018.
Es importante señalar que cumpliendo la ley española, se cumple con el RGPD, puesto que su contenido es esencialmente el mismo, con algunas modificaciones y ampliaciones relativas al derecho español, puesto que el RGPD deja abierta la puerta a legislar sus aspectos más generales de acuerdo a la legislación de cada Estado miembro.
¿Cuáles son los principios del tratamiento de datos personales?
El RGPD y la LOPDGDD establecen una serie de principios relativos al tratamiento de datos personales, que tanto el responsable del tratamiento de datos personales como el encargado deben tener en cuenta a la hora de iniciar cualquier actividad de tratamiento.
De manera resumida, estos principios son:
- Los datos personales serán tratados de forma lícita, leal y transparente respecto a los titulares de los datos (interesados)
- Los datos personales deben recogerse con un fin o fines determinados, explícitos y legítimos; cumplida la finalidad del tratamiento de datos personales, no podrán seguir tratándose
- Los datos personales serán adecuados, pertinentes y limitados respecto al fin para el que se vayan a tratar
- Los datos personales serán exactos y, cuando sea necesario, se actualizarán (ya sea mediante supresión o rectificación)
- Los datos personales solo se conservarán el tiempo necesario para cumplir con los fines del tratamiento
- El tratamiento deberá siempre garantizar una seguridad adecuada, protegiendo los datos de tratamientos no autorizados, pérdida de los datos, destrucción o daño accidental
- Responsables y encargados del tratamiento estarán sujetos al deber de confidencialidad, que se mantendrá incluso una vez haya finalizado la relación entre las personas interesadas y estos
¿Cuándo es lícito tratar datos personales?
Los responsables y encargados tendrán legitimación para el tratamiento de datos personales cuando se cumpla, al menos, alguna de las siguientes situaciones:
- Los titulares de los datos dan su consentimiento para el tratamiento para uno o varios fines específicos. Ese consentimiento debe ser inequívoco y explícito (es decir, requiere de una acción positiva de los interesados)
- El tratamiento es necesario para cumplir con la ejecución de un contrato entre el titular de los datos y el responsable del tratamiento
- El tratamiento es necesario para cumplir con una obligación legal aplicable al responsable del tratamiento
- El tratamiento es necesario para proteger intereses vitales del titular de los datos o de otra persona física
- El tratamiento es necesario para cumplir una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento
- El tratamiento es necesario para satisfacer los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero
¿Es obligatorio el consentimiento expreso de los interesados para tratar sus datos personales?
Sí, siempre debemos recabar el consentimiento expreso de los interesados para tratar sus datos personales, salvo que el tratamiento esté legitimado por alguna de las razones vistas en el punto anterior, en cuyo caso, habrá que informar a los titulares de los datos, entre otros, de que se van a tratar sus datos personales y la finalidad de dicho tratamiento.
¿Hay datos personales que no puedan ser tratados?
Sí, hay datos personales que no pueden ser tratados, salvo que se cumplan las excepciones establecidas en el RGPD, en concreto, aquellos datos personales referentes a:
- Origen étnico o racial
- Opiniones políticas
- Convicciones religiosas o filosóficas
- Afiliación sindical
- Datos genéticos
- Datos biométricos cuyo fin sea la identificación de una persona física de manera inequívoca
- Datos relativos a la salud
- Datos relativos a la vida sexual o la orientación sexual
Las excepciones que establece el RGPD para el tratamiento de estos datos de categorías especiales, las encontramos en el artículo 9.2:
- El interesado ha dado su consentimiento explícito para el tratamiento de estos datos
- El tratamiento es necesario para cumplir con las obligaciones y el ejercicio de derechos específicos del responsable o del interesado dentro del ámbito del derecho laboral y de la seguridad y protección social
- El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento
- El tratamiento se realiza dentro de las actividades legítimas y con las debidas garantías de una fundación, asociación o cualquier organización sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera a miembros actuales o pasados que aún mantengan contacto regular
- El tratamiento se realiza sobre datos que el interesado ha hecho públicos
- El tratamiento es necesario para la formulación, el ejercicio o defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial
- El tratamiento es necesario por razones de interés público esencial
- El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social
- El tratamiento es necesario por razones de interés público en el ámbito de la salud como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios
- El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos (de acuerdo a lo establecido en el artículo 89)
Cabe señalar respecto al consentimiento, que la LOPDGDD establece que para tratar estos datos, el mero consentimiento del interesado no será suficiente y será necesario que exista una base jurídica que legitime dicho tratamiento.
Además, aunque se pueden tratar datos de menores de edad, cuando estos sean menores de 14 años (de acuerdo a la LOPDGDD), será necesario recabar el consentimiento de sus padres o tutores legales para poder realizar el tratamiento.
Finalmente, cuando los datos se vayan a tratar para la elaboración de perfiles, se deberá informar al interesado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que puedan producir efectos sobre el interesado o que puedan afectarle significativamente.