La normativa de protección de datos establece varias obligaciones y aspectos a tener en cuenta por las entidades sin ánimo de lucro.
La legislación aplicable en materia de protección de datos es el Reglamento General de Protección de Datos 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que adapta y desarrolla el RGPD a nivel estatal.
A continuación, exponemos algunos de los elementos que hay que tener en cuenta cuando se tratan datos personales en las entidades.
¿Qué son los datos personales y qué significa tratarlos?
En primer lugar, son datos personales todas las informaciones relativas a una persona física que la hacen identificable. En este sentido, hay que destacar que la legislación aplicable actualmente contempla algunas categorías especiales de datos. Estos, por su naturaleza, están especialmente protegidos, por ejemplo: datos de salud, ideología, religión, afiliación sindical o datos biométricos, entre otros.
Además, el tratamiento de datos personales consiste en todas aquellas operaciones y procesos que tratan datos, ya sea a través de procedimientos automatizados o no. Algunos ejemplos pueden ser: la recogida de los datos, cómo se guardan, la transferencia de los mismos o su eliminación.
Principios de la protección de datos
La normativa de protección de datos establece algunos principios que siempre habrá que tener en cuenta a la hora de tratar datos personales:
- La minimización y limitación en la obtención de datos. Los datos que se recojan tienen que ser los mínimos, evitando siempre pedir datos que sean innecesarios. Así pues, los que se obtienen tienen que ir relacionados con la finalidad de la obtención de los datos, sin que estos se puedan utilizar para finalidades diferentes de aquellas para las cuales se han obtenido.
- La exactitud de datos. Establece que a la organización responsable del tratamiento de datos no se le podrá imputar la inexactitud de los datos que trate para los fines por los cuales fueron recogidos, siempre que haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin más dilación.
- El deber de confidencialidad. Quien es responsable del tratamiento de los datos y toda persona que intervenga en cualquiera de las fases del tratamiento estará sujeta al deber de confidencialidad, evitando que terceros en el tratamiento puedan acceder. Este deber es adicional al de secreto profesional, en conformidad con su normativa aplicable.
- La transparencia. Habrá que informar siempre de quién recoge los datos, cuál es el tratamiento que se hará y cuáles son las finalidades de la obtención de los datos.
- Limitación en la conservación de los datos. Los datos no se pueden guardar indefinidamente. Una vez ha finalizado el uso por el cual se conservaban y cuando no haya una obligación legal de mantener estos datos, se tendrá que establecer un protocolo de eliminación o cancelación de estos.
Legitimación para obtener datos personales y tratarlas
La normativa estipula los supuestos que permiten tratarlas:
- Consentimiento previo. La persona titular de los datos los proporciona de manera libre, informada y voluntaria, consintiendo que se traten. En el caso de los/las menores de 14 años, el consentimiento lo prestarán las persones adultas que ostenten su guarda y representación legal.
- Ejecución de un contrato o precontrato, los datos facilitados y su tratamiento es inherente a la naturaleza del contrato y el objetivo de este.
- Cumplimiento de una obligación legal, derivada de una norma.
- Protección de intereses vitales del interesado/interesada.
- Interés público.
- Interés legítimo del/la responsable del tratamiento de los datos, siempre que no prevalezcan los intereses o derechos y libertades del interesado/interesada. Es un mecanismo que la legislación admite, pero que requerirá una mayor justificación.
En el caso de las entidades, habitualmente el tratamiento de los datos se fundamenta en la relación contractual y en la obtención del consentimiento.
Derechos de las personas titulares de los datos
Las personas titulares de los datos personales pueden ejercer derechos ante el tratamiento de estos. Estos derechos son personalísimos, por lo tanto, solo los puede ejercer la persona interesada o, si se tercia, terceros específicamente autorizados.
Hay que destacar que la definición de los derechos la encontramos, esencialmente, en la normativa de la Unión Europea.
Principales derechos
Podemos recoger las siguientes:
- Derecho de acceso. Lo tiene cualquier interesado/interesada en conocer qué datos personales tienen las empresas, organizaciones o administraciones que tratan datos, y qué uso están haciendo.
- Derecho de rectificación. Permite pedir que modifiquen los datos personales inexactos.
- Derecho de oposición. Las personas titulares de los datos se pueden oponer a que se haga un tratamiento concreto de ellos. Desde el momento de oponerse, el/la responsable del tratamiento se tendrá que abstener de utilizar estos datos, excepto que concurra una causa legítima para hacerlo.
- Derecho de supresión o derecho al olvido. Permite que la persona interesada solicite la eliminación de aquellos datos personales que ya no sean necesarios para cumplir el objetivo por el cual fueron recogidos. Siempre se tendrá que ejercer dentro de los límites fijados en la ley y siempre que no haya una necesidad de mantener los datos.
- Derecho a la portabilidad. Se puede pedir que una organización concreta, especialmente que presta un servicio o suministro, traslade los datos a otra organización o nos los haga llegar en un formato electrónico que permita enviarlos. Este sería el caso de cambio de compañía que presta un suministro, cuando esta traslada automáticamente los datos de un cliente/a, o bien cuando hacen llegar un fichero electrónico que permite un rápido cambio de compañía.
- Derecho a la limitación del tratamiento. Se puede limitar el tratamiento que una organización realiza de los datos personales.
- Derecho a la retirada del consentimiento. En aquellos casos que la obtención de los datos personales ha sido a través de consentimiento, este consentimiento se puede retirar en cualquier momento, dentro de los límites que impone la legislación vigente.
Cualquier persona titular de los datos tiene que poder ejercer estos derechos mediante un procedimiento fácil, rápido y gratuito. En caso de que no se responda la petición de ejercicio de estos derechos, la persona interesada podrá interponer una reclamación ante la autoridad competente, es decir, ante la Agencia Española de Protección de Datos o, en Cataluña, también ante la Autoridad Catalana de Protección de Datos.
Figura del delegado/da de protección de datos
La figura de delegado/da de protección de datos es la de una persona que vela por el cumplimiento de la protección de datos a una entidad. Por lo tanto, esta persona tiene que acreditar conocimientos, a través de una titulación universitaria especializada en derecho y en la práctica de protección de datos.
La Ley Orgánica de Protección de Datos, en el artículo 34, establece una enumeración de las organizaciones que obligatoriamente tienen que tener un delegado/da de protección de datos, entre las cuales podemos destacar los colegios profesionales, las federaciones deportivas cuando traten datos de menores de edad y los centros sanitarios.
De todas maneras, cualquier entidad, voluntariamente, puede nombrar una persona delegada de protección de datos.
Información relacionada:
Fuente: Xarxanet