Nuevo reglamento europeo en materia de protección de datos: Principios sobre el tratamiento de datos personales

El nuevo Reglamento europeo entrará en vigor el próximo 25 de mayo de 2018 en todos los estados miembros de la Unión Europea y tendrá efecto a nivel global, en la medida en que afectará a empresas que operen en el mercado europeo. El nuevo Reglamento otorga a los ciudadanos de la Unión un nivel mayor de seguridad sobre sus datos personales. Los principios que deben ser respetados al realizarse cualquier tratamiento de datos personales se encuentran recogidos en el art. 5.1 y 5.2. del RGPD. A continuación, se examinan.

Licitud, lealtad y transparencia
El tratamiento de datos personales se debe realizar con un fin legítimo. Los datos deben ser tratados de una manera leal y transparente, que sea comprensible para la persona involucrada. Se debe poner a disposición de la persona afectada información sobre el tratamiento de sus datos mediante el uso un lenguaje sencillo, de una manera precisa, transparente, fácilmente entendible y en un formato accesible.

Limitación de finalidad
Se pueden recoger datos solo para fines determinados, explícitos y legítimos. Queda expresamente prohibido el tratamiento de datos ulterior de manera incompatible con dichos fines. En muchos casos, la ponderación de los intereses entre el responsable de tratamiento y el usuario afectado, que se relaciona directamente con el principio de limitación de finalidad, puede constituir base legal para el tratamiento.

Minimización de datos
La recogida y tratamiento de datos se debe limitar a los estrictamente necesarios en relación a los fines para los que fueron recogidos.

Exactitud
Las empresas deben poder demostrar que los datos personales son correctos y están actualizados. En caso contrario se deberán eliminar o corregir de manera inmediata. Las empresas estarán obligadas a realizar regularmente actualizaciones de los datos de manera rutinaria.

Limitación del plazo de conservación
Los datos personales no podrán ser almacenados por más tiempo del necesario en relación al fin para el que fueron inicialmente recogidos. Los plazos de almacenamiento que establece la ley deben de ser respetados. Las empresas deberán de comprobar si procede el uso de proceso de anonimización o seudonimización. Los datos personales que hayan sido sometidos al segundo de los procesos mencionados, no podrán ser atribuidos a una persona concreta mediante el uso de información personal. Con este fin deberán de ser implementadas medidas técnicas y organizativas adecuadas.

Integridad y confidencialidad
Se deben establecer las medidas adecuadas para prevenir el tratamiento de datos no autorizado o ilegal, así como la pérdida, la destrucción involuntaria o el daño de los mismos. Estas medidas deben de ser técnicas y organizativas (por ej.: conceptos de acceso y autorización, encriptación). En este sentido se deberán de cumplir con lo preceptuado en los arts. 32 (seguridad del tratamiento) y 35 (evaluación de impacto relativa a la protección de datos). Para el caso de que haya existido una brecha de seguridad que afecte a los datos personales o exista un riesgo para los derechos y libertades de las personas, se deberá notificar a la Agencia Española de Protección de Datos. En caso de alto riego, se deberá informar incluso a la persona afectada.

Responsabilidad proactiva
Según el principio de Responsabilidad proactiva (art. 5 párr. 2) las empresas deben poder comprobar de forma documentada el cumplimiento de los principios esbozados.

Los profesionales de nuestras diferentes oficinas están a su disposición para resolver cualquier duda en esta materia.