Así pues, el tratamiento de datos personales con fines legítimos y legales está permitido, pero sólo bajo ciertas condiciones de aplicación. A continuación, se describen estas condiciones con más detalle.
La razón básica de estas condiciones es limitar y equilibrar el poder que adquiere la organización que trata los datos personales (los llamados responsables del tratamiento) sobre los individuos afectados (los llamados interesados).
A modo de resumen, esto se consigue de las siguientes maneras:
- Responsabilidad del controlador,
- potenciación de los sujetos de los datos,
- equilibrio de poder a través de una autoridad de supervisión,
- restricción a los controladores para que utilicen el poder obtenido únicamente para alcanzar los fines legítimos declarados,
- limitación de la facultad adquirida a lo mínimamente necesario para cumplir los fines legítimos,
- la protección de las inversiones y los bienes de los interesados,
- Prohibición del tratamiento que no sea adecuado para su finalidad.
- Los puntos individuales se discuten con más detalle en la próxima sección.
Los controladores son totalmente responsables
Una primera medida para limitar el poder de los responsables del tratamiento es hacerles plenamente responsables de toda la actividad de tratamiento. Este es uno de los principios clave del RGPD (véase el art. 5(2)). Va más allá de obligar a los responsables del tratamiento a hacer que su tratamiento sea transparente[1] (para los interesados y las autoridades de control), ya que obliga a los responsables del tratamiento a ser capaces de demostrar realmente el cumplimiento del RGPD. Evidentemente, esto abre el tratamiento a la supervisión. Además, asigna claramente la “carga de la prueba”: No son los titulares de los datos ni las autoridades de control los que tienen que demostrar una violación del RGPD; la falta de transparencia que oculta el incumplimiento es en sí misma una violación.
Para conseguirlo en la práctica, en un primer paso, el RGPD se asegura de que toda la responsabilidad esté claramente en manos del responsable o responsables del tratamiento (conjunto) que determinan los fines y los medios del tratamiento[2]. Esto se hace, por ejemplo, ordenando a los responsables del tratamiento que ejerzan el control sobre sus empleados[3]y estipulando contratos[4] con posibles servicios informáticos externos (los llamados encargados del tratamiento) que garanticen el control hasta el derecho de las auditorías in situ por parte del responsable del[5] tratamiento.
Una vez aclarada la responsabilidad, los responsables del tratamiento están obligados a ser totalmente transparentes sobre el tratamiento. Esto incluye informar de forma proactiva a los interesados sobre la existencia y las principales características del tratamiento[6]y proporcionar otro tipo de información a petición[7]. Para este último fin, los responsables del tratamiento también suelen tener que designar a un responsable[8] de la protección de datos cuyos datos de contacto forman parte de la información[9] obligatoria y que sirve de punto de contacto para los interesados[10].
Además, los responsables del tratamiento tienen que notificar las violaciones de datos tanto a la autoridad[11] de control competente como a los interesados (si es probable que estén expuestos a un alto riesgo)[12]. Además, para las autoridades de supervisión, los responsables del tratamiento tienen que mantener registros de todas las actividades de tratamiento que afecten a los datos personales[13]y ser capaces de presentar una evaluación de impacto de la protección de datos para las actividades de tratamiento que puedan suponer un alto riesgo para los derechos y libertades de los interesados[14]. Esta última es un instrumento primordial para demostrar el cumplimiento del RGPD.
Capacitación de los titulares de los datos
Dado que existe un desequilibrio de poder en el tratamiento de datos, el RGPD da poder a la parte más débil, es decir, a los interesados. Esto hace que los interesados pasen de ser observadores impotentes del tratamiento a partes interesadas que pueden defender sus derechos y libertades mediante la intervención.
El RGPD faculta a los interesados sobre todo a través de los llamados derechos[15] de los interesados. Entre ellos se encuentran los siguientes[16]:
- El derecho de acceso[17] a los datos del interesado que se tratan,
- el derecho de rectificación[18] que permite corregir los datos personales inexactos y completar los datos incompletos,
- el derecho al borrado[19] que también se llama derecho al olvido,
- el derecho a la limitación del tratamiento [20]que permite a los interesados exigir la suspensión del tratamiento de sus datos en determinadas circunstancias[21].
- el derecho de oposición [22]que permite a los interesados exigir el cese del tratamiento de sus datos en determinadas circunstancias.
- el derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizadoque produzca efectos jurídicos sobre él o que le afecte significativamente de forma similar, lo[23]que incluye el derecho a obtener la intervención humana por parte del responsable del[24] tratamiento.
Además de estos derechos, los interesados también tienen:
- el derecho a retirar el consentimiento en cualquier momento[25]en el caso de que la base jurídica del tratamiento sea el consentimiento[26],
- el derecho a ser informado por el responsable del tratamiento sobre la propagación de las invocaciones del derecho del interesado a todos los destinatarios[27].
Equilibrio del poder mediante la institución de autoridades de supervisión
Aunque los interesados están facultados por los derechos mencionados, sus recursos pueden ser insuficientes para hacerlos valer. En particular, pueden verse incapaces de hacer uso de su derecho a un recurso judicial efectivo contra un responsable o un encargado[28] del tratamiento por sí mismos. Por este motivo, el RGPD concede a los interesados el derecho a presentar una reclamación ante una autoridad[29] de control.
En otras palabras, el RGPD proporciona a los interesados un aliado cuyo poder es comparable o superior al del responsable del tratamiento y, por tanto, suficiente para hacer valer los derechos de los interesados.
Por ello, el RGPD otorga a las autoridades de control las competencias necesarias[30]. Éstas van desde poderes[31] de investigación, como las auditorías[32]in situ, hasta poderes[33] correctivos, como la imposición de multas[34] administrativas, la orden de suspensión de los flujos de datos a los destinatarios[35] y la prohibición total[36] del tratamiento.
Limitación a los controladores de la utilizar la facultad únicamente para alcanzar los fines legítimos declarados
Al demostrar que los fines son legítimos y legales, el responsable del tratamiento ha justificado el aumento de poder que conlleva la actividad de tratamiento. Es evidente que utilizar este poder para cualquier otro fin carecería de justificación. En otras palabras, el permiso de tratamiento se limita a los fines declarados para los que se recogen los datos.
El RGPD denomina a este principio “limitación de la finalidad” (véase el art. 5(1)(b)).
La forma de aplicar este principio desde el punto de vista técnico y organizativo es mediante la separación de las distintas actividades de procesamiento.
Como segunda línea de defensa, aunque los datos procedentes de diferentes actividades de tratamiento se junten de todos modos, medidas como la seudonimización pueden dificultar la combinación real de los mismos mediante la vinculación de registros de datos pertenecientes a la misma persona.
Obsérvese que esta norma también impide la acumulación de poder mediante la combinación de datos procedentes de diferentes actividades de tratamiento. Dicha combinación suele dar lugar a una visión más profunda de la vida de los interesados, abarcando más aspectos o a una cobertura más amplia de conocimientos que abarcan un mayor número de interesados. En ambos casos, puede afirmarse que el poder combinado es mayor que la suma de sus partes.
Minimización del poder a lo necesario para cumplir los fines declarados
Si bien la demostración de la legitimidad y la licitud de los fines ha justificado el tratamiento como tal, debe aplicarse de forma que se minimice el aumento de poder a lo mínimamente necesario para cumplir estos fines. Esta minimización del poder se refiere a los tres aspectos siguientes:
- Contenido informativo de los datos personales,
- el grado de asociación de los datos con el interesado, y
- limitación de los destinatarios que tienen acceso al poder.
A continuación, se describen con más detalle.
Minimización del contenido de la información (es decir, la potencia)
Dado que el conocimiento es poder, la minimización del poder significa que los datos personales que se recogen tienen que ser mínimos. Sólo pueden recogerse legítimamente los datos que puedan demostrarse necesarios para cumplir los fines declarados.
El RGPD denomina a este principio “minimización de datos” (véase el art. 5(1)(c)). En concreto, exige que los datos recogidos sean “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan”. En el caso de un tratamiento más complejo, con un número mayor de personas, se requiere que los datos no se almacenen más tiempo del necesario para los fines. En el caso de un tratamiento más complejo con múltiples fases, cada fase debe tener sólo los datos realmente necesarios y el contenido de la información se reducirá entre fases.
Minimización de la asociación con el sujeto de los datos
La facilidad con la que se puede ejercer el poder sobre el sujeto de los datos depende del grado de asociación del sujeto con los datos.Por lo tanto, debe minimizarse la fuerza de la asociación entre los datos y su sujeto.
El RGPD distingue tres tipos de datos con diferentes grados de asociación:
- Datostotalmenteidentificativos,
- datos seudonimizados, y
- datosanónimos.
El primero permite la “identificación directa“[37] del sujeto de los datos mediante el uso de “un identificador” como un nombre, un número de identificación, datos de localización, [o] un identificador en línea”[38]; los datos seudonimizados permiten la identificación sólo con el uso de “información adicional”[39]; y los datos anónimos cuando “el sujeto de los datos no es identificable o deja de serlo“[40].
Por analogía con la minimización de los datos, éstos se recogerán con el mínimo grado de asociación con el interesado. Considerando el aspecto temporal, “los datos personales se conservarán en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines”[41]. En el caso de un tratamiento más complejo con múltiples fases, cada fase deberá tener sólo el grado mínimo de asociación que sea realmente necesario y deberá utilizarse la seudonimización o anonimización entre las fases.
El RGPD denomina a este principio “limitación del almacenamiento” (véase el art. 5(1)(e)).
Limitación del acceso al poder
El poder está en manos de personas y organizaciones. Si el conocimiento es poder, este poder sólo está disponible para las partes a las que se revelan los datos personales. El RGPD llama a estas partes destinatarios[42]. Pueden ser empleados del responsable o del encargado del tratamiento, terceros destinatarios previstos o partes no previstas, como los hackers.
El acceso al poder debe limitarse a lo necesario para cumplir los fines declarados. El RGPD llama a este principio “confidencialidad”[43].
La confidencialidad tiene dos aspectos:
- Impedir el acceso de personas no autorizadas, y
- restringir el acceso de las partes autorizadas.
El primero protege en gran medida contra los hackers externos con medidas como el cifrado de los datos en reposo o de las comunicaciones y los cortafuegos. La segunda suele denominarse control de acceso. Se asegura de que la parte que accede a los datos está realmente autorizada (autenticación), restringe el acceso a los datos que se necesitan (derechos de acceso) y puede restringir el acceso a los momentos en que es necesario.
Protección del patrimonio del interesado
En muchos tipos de actividades de tratamiento, los datos personales almacenados por el responsable del tratamiento también tienen un valor significativo para el interesado. Los principales ejemplos son las colecciones de fotos basadas en la nube y las suites de oficina y los sistemas de gestión de documentos, pero también los datos médicos que residen en el médico de un paciente. A estos datos los llamamos activos.
Estos activos pueden tener un valor mucho menor para el responsable del tratamiento, que puede ser reacio a invertir significativamente en su protección. Además, una de las formas en que el responsable del tratamiento puede ejercer su poder sobre el interesado es hacer que el acceso a sus activos dependa de determinadas condiciones.
Para evitar ese ejercicio de poder, el RGPD obliga a los responsables del tratamiento a proteger los activos de los interesados. En particular, exigeprotegerestosactivos contra:
- pérdida, destrucción o daño[44] accidental, y
- la negativa a que el interesado utilice los bienes con independencia del responsable del tratamiento.
El primer tipo de protección también se conoce como disponibilidad y resistencia[45]. La segunda se denomina portabilidad de los datos y es uno de los derechos[46] de los interesados.
Prohibición del tratamiento que no sea adecuado a los fines
Obtener poder a través de cualquier tratamiento que no sea apto para cumplir los fines declarados es evidentemente ilegítimo.
El RGPD utiliza dos principios para aplicar la adecuación a los fines:
- Integridad (véase el art. 5(1)(f)) y
- precisión (véase el art. 5(1)(d)).
El primero obliga a proteger los datos contra los daños accidentales y las modificaciones no autorizadas; el segundo, a mantener los datos actualizados y exactos y, cuando no sea así, a borrarlos o rectificarlos sin demora.
- Tenga en cuenta que la transparencia también es un principio del RGPD, como se indica en el art. 5(1)(a). ↑
- Véase el art. 4(7) delRGPD. ↑
- Véase el art. 29 y 32(4) del RGPD. ↑
- Véase el art. 28(3) delRGPD. ↑
- Véase el art. 28(3)(h) del RGPD. ↑
- Véase el art. 13 y 14 del RGPD. ↑
- Véase, por ejemplo, el art. 15 12(3) y 19 RGPD. ↑
- Véase el art. 37 delRGPD. ↑
- Véase el art. 13(1)(b) y 14(1)(b) del RGPD. ↑
- Véase el art. 38(4) delRGPD. ↑
- Véase el art. 33 delRGPD. ↑
- Véase el art. 34 delRGPD. ↑
- Véase el art. 30 RGPD. ↑
- Véase el art. 35RGPD. ↑
- Véase el capítulo 3 del RGPD, que comprende los artículos 12 a 23. ↑
- Tenga en cuenta que el derecho a la portabilidad de los datos se trata en la sección sobre la protección de los bienes del interesado. ↑
- Véase el art. 15 RGPD. ↑
- Véase el art. 16 RGPD. ↑
- Véase el art. 17 RGPD. ↑
- Véase el art. 18 RGPD. ↑
- Estas circunstancias se enumeran en el Art. 18(1) delRGPD. ↑
- Véase el art. 21 delRGPD. ↑
- Véase el art. 22 delRGPD. ↑
- Véase el art. 22(3) delRGPD. ↑
- Véase el art. 7(3) delRGPD. ↑
- Véase el art. 6(1)(a) y 9(2)(a) delRGPD. ↑
- Véase el art. 19 RGPD, segunda frase. ↑
- Véase el art. 79 RGPD. ↑
- Véase el art. 77 delRGPD. ↑
- Véase el art. 58 RGPD. ↑
- Véase el art. 58(1) delRGPD. ↑
- Véase el art. 58(1)(b) y (f) delRGPD. ↑
- Véase el art. 58(2) delRGPD. ↑
- Véase el art. 58(2)(i) delRGPD. ↑
- Véase el art. 58(2)(j) del RGPD. ↑
- Véase el art. 58(2)(f) del RGPD. ↑
- Este término se introduce en el Art. 4(1) delRGPD ↑
- Esta redacción se ha extraído del Art. 4(1) delRGPD. ↑
- Tenga en cuenta que este término se utiliza en el Art. 4(5) del RGPD que proporciona la definición de seudonimización. ↑
- Esta redacción se extrae de la quinta frase del considerando 26 del RGPD. ↑
- Esta redacción se ha extraído del art. 5(1)(e) del RGPD. ↑
- Véase el art. 4(9). ↑
- Véase el art. 5(1)(f). ↑
- Véase el art. 5(1)(f) RGPD. ↑
- Véase el art. 32(1)(b) y (c) del RGPD. ↑
- Véase el art. 20 delRGPD. ↑