Iñigo de Miguel Beriain (UPV/EHU)
Esta parte de la Guía fue revisada por Daniel Jove Villares, Universidade Da Coruna, España
Esta parte de las Directrices ha sido revisada y validada por Marko Sijan, Asesor Superior Especialista, (HR DPA)
Definición
Según el apartado 2 del artículo 4 del RGPD, se entiende por tratamiento “cualquier operación o conjunto de operaciones, efectuadas o no por medios automatizados, relativas a datos personales o a conjuntos de datos personales, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación, cotejo o interconexión, limitación, supresión o destrucción”.
Por lo tanto, el concepto de tratamiento es amplio. Abarca una amplia gama de operaciones realizadas con datos personales, incluso por medios manuales o automatizados, si forma parte de un sistema de archivo estructurado, es decir, un conjunto estructurado de datos personales que son accesibles según criterios específicos, ya sea centralizado, descentralizado o disperso sobre una base funcional o geográfica (art. 4(6)).
Evidentemente, la lista incluida en el apartado 2 del artículo 4 no es exhaustiva, lo que significa que otras operaciones con datos personales que se ajustan a la definición general también deberían considerarse tratamiento con arreglo al RGPD. Algunos ejemplos de tratamiento son: la gestión del personal y la administración de las nóminas; el acceso/consulta de una base de datos de contactos que contenga datos personales; el envío de correos electrónicos promocionales; la destrucción de documentos que contengan datos personales; la publicación/puesta de una foto de una persona en un sitio web; el almacenamiento de direcciones IP o direcciones MAC; la grabación de vídeo (CCTV), etc. [1]
El tratamiento como concepto clave en el RGPD
El tratamiento es un elemento esencial en términos de derechos de protección de datos. Lo que realmente regula el RGPD no son los datos en sí, sino el tratamiento de los datos personales. Este uso de los datos desencadena la aplicación de la normativa de protección de datos. De hecho, el artículo 1.1 del RGPD establece que “El presente Reglamento establece normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y normas relativas a la libre circulación de datos personales.”
Las circunstancias del tratamiento definen los elementos reglamentarios esenciales: la necesidad (o no) de encontrar un motivo para tratar los datos, si son de una categoría especial; la base de legitimación adecuada; si se trata de un tratamiento individual o de un tratamiento a gran escala; el nivel de riesgo específico; las garantías que deben aplicarse; etc. Cada tratamiento será, en definitiva, un hecho separado e independiente, con sus propias características y escala. De ahí que siempre haya que pensar que la normativa de protección de datos se aplica a cada uno de ellos.
- Comisión Europea, What constitutes data processing, en: https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-constitutes-data-processing_en. ↑