La calidad de los datos.
Según indica el articulo 4 de la L.O.P.D sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
Los datos personales de objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos fueron recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
Los datos deberán ser exactos y puestos al día, respondiendo de forma veraz a la situación actual del afectado.
Si los datos no son exactos o están incompletos, estos deben ser cancelados o sustituidos por los correctos.
Los datos de carácter personal serán cancelados cuando ya no sean necesarios para la finalidad con que se recabaron.
Los datos de carácter personal serán almacenados para permitir el derecho de acceso al interesado, salvo que sean legalmente cancelados.
Por último se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.
Contacta con nosotros para valorar tu caso
Derecho de información en la recogida de datos
El Derecho de Información en la recogida de datos en el RGPD es uno de los principios fundamentales que rige la protección de datos personales. Este derecho se refiere a la obligación de los responsables del tratamiento de datos de informar de manera clara, transparente y accesible a los individuos sobre cómo se recopilan, utilizan, comparten y protegen sus datos personales.
Cuando se recopilan datos personales, ya sea a través de una página web, una aplicación móvil o cualquier otro medio, se deben proporcionar ciertas informaciones clave a los individuos, como:
1. Identidad y datos de contacto del responsable del tratamiento: Se debe informar quién es el responsable del tratamiento de los datos personales y cómo se puede contactar con ellos.
2. Finalidad del tratamiento: Se debe explicar de manera clara y precisa la finalidad o finalidades para las cuales se recopilan los datos personales. Por ejemplo, si se recopilan datos para procesar una solicitud, enviar boletines informativos o realizar análisis estadísticos.
3. Base legal del tratamiento: Se debe indicar cuál es la base legal que legitima el tratamiento de los datos personales. Puede ser el consentimiento del individuo, el cumplimiento de un contrato, el cumplimiento de una obligación legal, el interés legítimo del responsable del tratamiento o la protección de intereses vitales.
4. Destinatarios de los datos: Se debe informar si los datos personales serán compartidos con terceros, como proveedores de servicios, autoridades competentes o empresas afiliadas, y explicar la base legal o el interés legítimo que justifica dicha comunicación.
5. Transferencias internacionales de datos: En caso de que se transfieran datos personales fuera del Espacio Económico Europeo (EEE), se debe informar sobre las garantías o medidas de protección implementadas para garantizar un nivel adecuado de protección de los datos en el país de destino.
6. Retención de los datos: Se debe indicar el período durante el cual se conservarán los datos personales o los criterios utilizados para determinar dicho período.
7. Derechos de los individuos: Se debe informar a los individuos sobre sus derechos en relación con sus datos personales, como el derecho de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de datos. También se debe proporcionar información sobre cómo ejercer estos derechos.
8. Derecho a retirar el consentimiento: Si el tratamiento de los datos personales se basa en el consentimiento del individuo, se debe informar de que tiene derecho a retirar su consentimiento en cualquier momento y cómo puede hacerlo.
9. Derecho a presentar una reclamación: Se debe informar a los individuos sobre su derecho a presentar una reclamación ante una autoridad de protección de datos si consideran que sus derechos no han sido respetados.
Es importante destacar que esta descripción es general y que pueden existir otros requisitos y especificidades adicionales según el contexto y la jurisdicción aplicable. Es recomendable consultar la legislación específica y buscar asesoramiento legal para asegurarse de cumplir plenamente con las obligaciones del RGPD en la recogida de datos.
El consentimiento del afectado
Como regla general el tratamiento de datos de carácter personal requerirá en consentimiento del afectado, salvo que la ley disponga otra cosa.
No es preciso el consentimiento del afectado en los siguientes casos:
- Cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias.
- Cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa siendo necesarios para su cumplimiento.
- Cuando el tratamiento de datos tenga la finalidad de proteger el interés vital del interesado en el supuesto de que este incapacitado para dar su consentimiento.
- Cuando los datos figuren en fuentes accesibles al público, siempre que no vulneren los derechos y libertades fundamentales del interesado.
En los casos en que no sea necesario el consentimiento, el interesado podrá oponerse a su tratamiento por causa justificada, siempre que una Ley no disponga lo contrario. En tal caso, el responsable del fichero excluirá del tratamiento de datos al afectado.
Datos especialmente protegidos
Según establece el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.
Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.
Solo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen su ideología, afiliación sindical, religión y creencias. Se excluyen, para este tipo de datos, los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, referente a los datos relativos a sus asociados o miembros. Pero cuando se produce una cesión de dichos datos, siempre se precisará el previo consentimiento del afectado.
Cuando los datos de carácter personal hagan referencia al origen racial, a la salud y a la vida sexual solo podrán ser recabados, tratados y cedidos cuando por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente.
Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras.
Datos relativos a la salud
Sin perjuicio de lo que se dispone en el principio de la cesión de datos, que veremos en el punto 4.8., las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan, de acuerdo a la legislación estatal o autonómica sobre sanidad.
Seguridad de los datos
El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
No se registrarán los datos de carácter personal en ficheros que reúnan las condiciones necesarias legalmente con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
Cuando la seguridad de los datos hace referencia a ficheros automatizados de datos les será de aplicación lo expuesto en el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan datos de carácter personal aprobado por el Real Decreto 994/1999, de 11 de junio.
Deber de secreto
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Comunicación de datos
Los datos de carácter personal objeto de tratamiento solo podrán ser comunicados a un tercero cuando sea necesario para cumplir las funciones legítimas entre el cedente o dejador y el cesionario o receptor, previo consentimiento del interesado.
No es necesario el consentimiento del afectado en caso de comunicación de datos o cesión de datos en los siguientes casos:
- Cuando la cesión este autorizada por la Ley.
- Cuando se trate de datos recogidos en fuentes accesibles al público.
- Cuando el tratamiento responda a la legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación solo será valida siempre que se limite a dicha finalidad.
- Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas. Asimismo, no será necesario cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
- Cuando la cesión de los datos se produzca entre Administraciones Públicas y tenga como propósito el tratamiento con fines históricos, estadísticos o científicos.
- Cuando la cesión de datos de carácter personal relativos a salud sea necesario para solucionar una urgencia que precise acceder a un fichero o para realizar estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal y autonómica.
El consentimiento para la comunicación de datos de carácter personal a un tercero será nulo, cuando no conste finalidad a que se destinarán los datos o el tipo de actividad de aquel a quien se pretendan comunicar, o sea, el receptor de los datos.
El consentimiento para la comunicación de carácter personal tiene también carácter revocable o anulable.
El receptor de la comunicación de datos de carácter personal queda obligado al cumplimiento de la presente Ley.
Cuando la comunicación se realiza previo procedimiento de disociación, no será aplicable lo establecido en la comunicación de datos, luego no será preciso el consentimiento del interesado.
Acceso a los datos por cuenta de terceros
No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
Según la presente Ley los tratamientos por cuenta de terceros debe estar regulada por un contrato, en que constará que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los utilizará o aplicará para fines distintos de lo establecido en el contrato, ni los comunicará, ni siquiera para su conservación, a terceras personas.
Asimismo, en el contrato se establecerán las medidas de seguridad que el encargado del tratamiento está obligado a realizar.
Una vez se ha cumplido la prestación contractual, los datos de carácter personal deben ser destruidos o devueltos al responsable del tratamiento, así como cualquier soporte o documento que tenga algún dato personal.
En el caso de que el encargado del tratamiento trate los datos con otra finalidad a la estipulada en el contrato, será considerado, también, responsable del tratamiento y responderá de las infracciones que ha cometido.