El nuevo Reglamento de Protección de Datos  (RGDP) presenta novedades interesantes respecto de los principios del tratamiento de datos personales, que constituyen el núcleo central de las obligaciones del responsable del fichero.

El 25 de mayo de 2016 entró en vigor el Reglamento (UE) 2016/679 del Parlamento europeo de 27 de abril de 2016 que establece las normas relativas a la protección de las personas físicas en cuanto a sus derechos y libertades fundamentales en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.

El Reglamento se aplica al tratamiento de datos personales contenidos o de datos destinados a ser incluidos en un fichero ya sean total o parcialmente automatizados o no.

Este reglamento no empezará a aplicarse hasta el 25 de mayo de 2018, dos años después de su aprobación, y sustituirá la actual normativa. Se ha dejado el periodo de 2 años para que todos los estados, instituciones y empresas que tratan datos puedan adaptarse a la nueva normativa de forma progresiva y continua.

Como es recomendable que las empresas vayan conociendo los principios y procedimientos del nuevo reglamento, en este post exponemos algunas de las novedades introducidas por el mismo y en especial los principios relativos al tratamiento que constituyen un conjunto de reglas que indican cómo se deben recoger, tratar y ceder los datos de carácter personal para garantizar la intimidad y demás derechos fundamentales de los ciudadanos.

Principios relativos al tratamiento:

En el artículo 5 el RGPD se contiene la lista de principios que se deberán tener en cuenta en el tratamiento de datos personales, Dichos principios constituyen el núcleo central de las obligaciones del responsable del fichero, quien debe ser especialmente diligente a la hora aplicarlos, ya que su incumplimiento puede dar lugar a importantes sanciones económicas. Establece dicho artículo, en su apartado 1, que los datos personales han de ser:

a. Tratados de manera licita, leal y transparente y recogidos con unos fines determinados, explícitos y legítimos y no pueden ser tratados ulteriormente de manera incompatible con dichos fines.

b. Además, los datos recogidos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines que son tratados. Éstos deben ser exactos y actualizados (los datos inexactos para sus fines deberán ser eliminados sin dilación).

c. Los datos personales obtenidos deben ser mantenidos de forma que se permita su identificación durante no más tiempo del necesario (podrán conservarse durante más tiempo siempre que se traten exclusivamente con fines de archivo de interés público; investigación científica o histórica o fines estadísticos)

d. Finalmente, los datos deben ser tratados de forma que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito y contra su perdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

Se consagran, pues, los principios de transparencia por el que desaparece la obligación de notificar y registrar los ficheros que contienen los datos personales ante la autoridad de control, en España la Agencia Española de Protección de Datos (AEPD), así como los principios de limitación de la finalidad, y el de la minimización de datos.

Asimismo, dicho artículo establece, en su apartado 2, la responsabilidad proactiva, por la que el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo

Licitud del tratamiento

El artículo 6 establece que las empresas que traten datos personales deberan hacerlo de forma legal, lo que, según el RGPD implica que todo tratamiento debe estar basado en un fin legítimo de los seis que enumera el propio Reglamento:

1. El interesado ha dado su consentimiento.
2. Es necesario para ejecutar un contrato o para aplicar, a petición, de medidas precontractuales.
3. Es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
4. Es necesario para proteger los intereses vitales de una persona física.
5. Es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.
6. Es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Condiciones para el consentimiento

El artículo 7 establece que no basta pues un consentimiento tácito, sino que el consentimiento debe ser demostrable:

1. Debe ser demostrable el consentimiento del tratamiento de datos del interesado.
2. Cuando el consentimiento esté en una declaración junto a otros asuntos, deberá ser presentado de forma que pueda distinguirse claramente. En caso contrario, no será vinculante.
3. El consentimiento podrá ser retirado en cualquier momento del mismo modo que fue dado. Antes de dar el consentimiento, el interesado deberá ser informado de ello.
4. Al evaluar si ha habido libertad de consentimiento, se tendrá en cuenta si la ejecución de un contrato se supedita al consentimiento de tratamiento de datos no necesarios.

respecto a  las condiciones aplicables al consentimiento del niño (Artículo 8):

El mínimo de edad para que el tratamiento de datos de un niño se considere lícito es 16 años. Si es menor de 16 años, el consentimiento deberá ser dado por el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se haya dado o autorizado.
El responsable del tratamiento deberá esforzarse razonablemente para verificar que el consentimiento fue dado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.

Tratamiento de categorías especiales de datos personales

El artículo 9, establece que quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

Esta prohibición no será de aplicación cuando concurra una de las circunstancias siguientes:

1. El interesado dé su consentimiento explícito.
2. El tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social.
3. El tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.
4. El tratamiento sea efectuado, en el ámbito de sus actividades legítimas, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados.
5. El tratamiento se refiera a datos personales que el interesado haya hecho manifiestamente públicos.
6. El tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
7. El tratamiento sea necesario por razones de un interés público esencial
8. El tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.
9. El tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios.
10. Cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad.

respecto al tratamiento de datos personales relativos a condenas e infracciones penales (Artículo 10):
El tratamiento de este tipo de datos sólo puede llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados.

En cuanto al tratamiento que no requiere identificación (Artículo 11):
Si los fines para los cuales un responsable trata datos personales no requieren la identificación de un interesado, el responsable no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento.

Estas son sólo algunas de las novedades del nuevo Reglamento de Protección de Datos. En otros post iremos comentando qué significa la materialización de la nueva legislación de protección de datos.

Campos Catafal lleva asesorando y representando a emprendedores, autónomos y empresas desde 1983. Recuerde que el presente artículo es informativo y no sustituye el asesoramiento legal de un abogado. Si desea nuestro asesoramiento profesional sobre este tema, contacte con nosotros.