UNA MIRADA A LOS PRINCIPIOS GENERALES DE LA PROTECCION DE DATOS PERSONALES EN ESPAÑA
Este artículo pretende hacer una revisión al contenido de los textos legales que en españa deben ser valorados e interpretados a los fines de considerar la aplicación de las normas de protección de datos personales.
1.- La fuente legal de las normas que regulan la protección de datos personales en España.
Las dos principales fuentes normativas que persiguen garantizar la protección de datos personales en España, se encuentran en la Carta de Derechos Fundamentales de la Unión Europea, el Tratado de Funcionamiento de la Unión Europea y en la propia Constitución de España.
Y los instrumentos jurídicos a los cuales todo ciudadano debe acudir para valorar cómo hacer efectiva su derecho a la protección de datos personales, principalmente son dos instrumentos concretos; pero, según el tema sobre el cual se recoga información esas normas generales se irán complementado con otras especiales atendiendo a la materia respectiva.
Los dos instrumentos legales son:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
2.- Principios generales en los cuales debe inspirarse la normativa que garantice la protección de datos personales.
2.1- Licitud, lealtad y transparencia.
Los datos personales deben ser tratados de manera lícita, leal y transparente en relación al initeresado.
Para el Reglamento Europeo, la licitud y lealtad, se concreta cuando las personas físicas están totalmente claras, que sus datos personales, están siendo recogidos, utilizados, consultados o tratados para un fin específico o determinado.
El tratamiento de datos será lícito cuando se cumpla algunas de las siguientes condiciones que expresamente señala el Reglamento Europeo:
Cuando el interesado haya dado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
Cuando el tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
Cuando el tratamiento de los datos sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
Cuando el tratamiento de los datos sea necesario para proteger intereses vitales del interesado o de otra persona física;
Cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Por su parte, el principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro.
En tal sentido, la transparencia exige la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento.
2.2- Limitación de la finalidad.
Este principio exige que los datos sean recogidos para fines explícitos y legítimos, y los cuales, no podrán ser tratados posteriormente de manera incompatible con dichos fines.
El Reglamento Europeo establece que los datos personales sólo podrán ser tratados para otros fines, cuando los mismos también sean utilizados a los fines de archivo de interés público, fines de investigación científica e histórica o fines estadísticos.
La Ley española desarrolla distintas categorías para el tratamiento de datos personales a los fines de:
-Videovigilancia.
-Archivo en interés público por parte de las Administraciones Públicas.
-Operaciones mercantiles.
-Investigación en materia de salud y biomédica;
-Salud.
Para valorar cuándo el tratamiento de los datos personales tuvieron un fin distinto sin el consentimiento del interesado o en el derecho de la Unión o de los Estados miembros, se han establecido los siguientes criterios:
Cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;
El contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;
La naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales.
Las posibles consecuencias para los interesados del tratamiento ulterior previsto.
La existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.
3) Minimización de datos.
Supone que los datos recogidos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
4.- Exactitud.
Este principio exige que los datos personales sean exactos, y si fuere nececesarios, actualizados a los fines de su efectivo tratamiento.
5.- Conservación de los datos personales.
En este caso, el Reglamento es muy poco específico al respecto, pues sólo señala que los datos personales deben ser mantenidos para los fines del tratamiento de los mismos, por un tiempo no mayor al que fuere necesario para los fines del tratamiento.
Incluso se advierte que a los fines de archivo en interés público, de investigación cientítica o histórica o fines estadísticos, la información podrá ser conservada por mucho más tiempo de su utilidad práctica para el fin perseguido.
6.- Integridad y confidencialidad.
La seguridad adecuada de los datos personales debe ser garantizada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
La Ley española, más concretamente señala que los responsables y encargados del tratamiento de datos, así como todas las personas que intervengan en cualquier fase de este; están obligados a mantener su confidencialidad, e incluso, esta obligación se complementa con los deberes del secreto profesional, de conformidad con su regulación jurídica.
Esta confidencialidad, señala la Ley española, se mantendrá, aún cuando hubiere finalizado la relación del obligado con el responsable o encargado del tratamiento de datos.
En este sentido, el legislador garantiza el tratamiento de datos basado en el consentimiento del afectado, entendiéndose por ello, la expresión de voluntad libre, específica, informada e inequívoca mediante una delcaración o una clara acción afirmativativa, por parte de quien aporta sus datos personales.
A los fines del consentimiento, sólo los mayores de 14 años están reconocidos como absolutamente facultados para expresar su voluntad en esta materia; mientras que para los menores de 14 años, el consentimiento será lícito cuando consta el del titular de la patria potestad o tutela con el alcance que determinen los titulares de la patria potestad o tutela.
Sobre el consentimiento, el Reglamento establece una serie de condiciones que deben ser atendidas:
- Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
- Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.
- El interesado tendrá derecho a retirar su consentimiento en cualquier momento, pero ello no afecta a la licitud del tratamiento basada en el consentimiento previo a su retirada.
- Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.
Hay dos excepciones claras al tema del consentimiento:
- A los efectos del del Reglamento Europeo, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
- Los tratamientos de datos contemplados en el ámbito de la salud, deberán estar fundados en el Derecho español y deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad.
En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.
7.- Tratamiento con fines legales, de interés público e ejercicio de poderes públicos.
En este caso, la Ley española expresamente reconoce que el tratamiento de los datos perosnales, sólo podrá fundarse en el cumplimiento de una obligación legal exigible al responsable en los terminos previstos en el Derecho de la Unión Europea y las normas de rango legal.
Pero en el caso del tratamiento de datos con fines de interés público y ejercicio de poderes públicos, sólo podrá estar fundamentada, cuando se derive de una competencia atribuida por una norma con rango legal.
Desde Isacura Asociados compartimos esta información que es necesaria y de gran utilidad legal.Recuerda que podemos aclarar todas tus dudas en temas legales, en Isacura Asociados somos tus asesores de confianza.Contáctanos al: 807 499 573 o al correo info@isacuraasociados.com