Tu derecho a la protección de datos de carácter personal
¿Qué es un dato de carácter personal?
Los datos de carácter personal son cualquier información referente a personas físicas identificadas o identificables, pudiendo ser identificable toda persona cuya identidad pueda determinarse mediante un identificador (por ejemplo, un nombre, un número de identificación, datos de localización o un identificador en línea) o mediante el uso de uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de las personas.
Dependiendo del tipo de datos que se traten, éstos pueden ser, por ejemplo, identificativos (nombre, apellidos, número del documento nacional de identidad), referidos a tu situación laboral, financiera o de salud.
También existen las categorías especiales de datos, en los que además de los datos de salud, se encuentran los que puedan revelar tu origen étnico o racial, opiniones políticas, convicciones religiosas o fisiológicas, o afiliación sindical, así como el tratamiento de tus datos genéticos, biométricos (si te identificasen de manera unívoca), así como los relativos a tu vida sexual u orientación sexual.
¿En qué situaciones utilizo mis datos de carácter personal?
- Cuando te registras en un hotel, pueden solicitarte los datos que figuran en tu documento nacional de identidad.
- Si pides una hipoteca te pueden pedir datos económicos, como la copia de tu nómina, para valorar tu solvencia económica.
- Cuando te suscribes a algún tipo de servicio a través de internet, como puede ser recibir una newsletter, facilitarás, al menos, tu correo electrónico en el proceso de suscripción.
- Si te das de alta en un servicio de correo electrónico, también te solicitarán tus datos personales.
- En los centros de salud u hospitales, facilitarás, además de los datos de carácter personal identificativos, aquellos relacionados con tu salud.
- En tu trabajo, mientras dure la prestación laboral con la entidad a la que prestas tus servicios, para diversas finalidades relacionadas con dicha prestación como puede ser la gestión de recursos humanos o pagarte tu retribución.
- Cuando te das de alta en una red social.
Como puedes ver, seguro que en alguno de los ejemplos descritos has facilitado tus datos de carácter personal. Aquellos a los que entregas tus datos personales tienen que cumplir una serie de obligaciones al realizar el tratamiento de estos datos Los responsables de tratamientos (empresas, Administraciones Públicas u otras entidades) a los que has facilitado tus datos de carácter personal deben cumplir con unos principios y obligaciones que se regulan en el Reglamento General de Protección de Datos (RGPD).
Principio de licitud, lealtad y transparencia
Supone que cuando se recaben tus datos de carácter personal deben ser tratados de manera lícita, leal y transparente.
De esta forma, el tratamiento de tus datos personales debe estar amparado en alguna de las bases jurídicas que regula el RGPD y que analizamos en el siguiente apartado de esta Guía. Además, este principio excluye que tus datos personales sean tratados de forma desleal o sin proporcionarte toda la información necesaria sobre el objeto y fines del tratamiento, sus consecuencias y posibles riesgos, obligando a los responsables que traten tus datos personales a ofrecerte la mayor transparencia posible sobre el citado tratamiento.
EJEMPLO: No pueden utilizar tus datos personales para realizar una contratación fraudulenta, dándote de alta en un servicio de gas o telecomunicaciones que no has solicitado.
Principio de limitación de la finalidad
Tus datos personales serán recogidos para unos fines determinados, explícitos y legítimos, y no serán tratados de manera incompatible con otros fines.
De conformidad con este principio, la finalidad del tratamiento de tus datos personales ha de estar claramente definida, así como permitida por el ordenamiento jurídico. No es posible tratar tus datos recabados para una finalidad que no sea compatible con la misma, ya que el RGPD prohíbe el tratamiento de datos para fines no compatibles.
EJEMPLO: Si recaban tus datos personales y te informan que “son tratados para mejor tu experiencia como usuario”, esta finalidad no se ajustaría a este principio.
Principio de minimización de datos
Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
No es posible, según este principio, recabar y tratar datos simplemente por si pudieran resultar útiles o “por tenerlos”.
EJEMPLOS: Si te suscribes a un servicio de alertas a través del envío de SMS, sería suficiente con facilitar, además de tu nombre y apellidos, el número de teléfono móvil, no siendo necesario añadir el número de teléfono fijo.
Si para una finalidad determinada no es necesario que el responsable conozca las pautas de navegación de un usuario, no podrá hacer ese seguimiento.
Principio de exactitud
Los datos personales serán exactos y si fuera necesario actualizados, adoptándose medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos respecto a los fines para los que se tratan.
De gran cantidad de tratamientos de datos se derivan decisiones que pueden afectar, en ocasiones de forma significativa, a los derechos o intereses de los titulares de datos.
EJEMPLO: Si una compañía suministradora de electricidad o gas mantiene datos erróneos sobre sus clientes las consecuencias pueden ir desde no proporcionar el servicio contratado hasta emitir facturas a clientes equivocados.
Principio del plazo de conservación
Los datos personales serán mantenidos de forma que se permita la identificación de los interesados por un plazo de tiempo no superior al necesario para cumplir con los fines del tratamiento.
La conservación de datos debe limitarse a las finalidades para las cuales se han recabado dichos datos.
Una vez cumplidas estas finalidades, los datos deben ser borrados o, al menos, desprovistos de todo elemento que permita identificar a los interesados.
EJEMPLO: Cuando recaben tus datos de carácter personal el responsable debe informarte sobre el período o criterios de conservación de tus datos personales
Principio de integridad y seguridad
Los datos personales serán tratados de manera que se garantice su adecuada seguridad, incluyendo la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, aplicando las medidas técnicas y de organización apropiadas.
De acuerdo a este principio, los que traten tus datos personales deben actuar proactivamente con el objetivo de protegerlos frente a cualquier riesgo que amenace su seguridad.
EJEMPLO: Para garantizar la seguridad de los datos personales por internet, es recomendable que el envío se realice de forma cifrada.
Principio de responsabilidad proactiva
Los responsables y encargados de tratamiento deben cumplir estos principios y capaz de demostrar dicho cumplimiento.
El RGPD establece un catálogo de medidas que ambos deben aplicar para garantizar que los tratamientos de tus datos son conformes con ambas normas.
EJEMPLO: Entre estas medidas se encuentran el análisis de riesgo con la finalidad de adoptar las correspondientes medidas de seguridad, el registro de actividades de tratamiento, la notificación de brechas de seguridad o la realización de evaluaciones de impacto de protección de datos.
Fuente: AEPD