Pasar al contenido principal

Tus Datos Personales

Introducción

Tus datos personales son tuyos. Este es el espíritu que ha movido toda la normativa relativa a la protección de datos personales desde sus inicios. Ahora armonizada en el ámbito Europeo con el RGPD (Reglamento General de Protección de Datos) y complementada con la LOPDGDD), pero ya regulada a nivel estatal desde la Constitución en su apartado de Derechos y Libertades, o la antigua LORTAD desde la década de los 90.  

Conceptos previos

Dato personal: Cualquier información sobre una persona física identificada o identificable, el interesado. Sí, una imagen es un dato personal, una IP, un número de teléfono, incluso su color de piel.  

Tratamiento de datos de carácter personal: Simplificando podemos decir que cualquier cosa que queramos hacer con un dato personal es un tratamiento. Por ejemplo, el registro del nombre que recogen en la ficha para apuntarse al equipo de baloncesto o la foto para el carnet de la piscina. En estos dos casos el ayuntamiento o entidad estará realizando un tratamiento de datos personales para dos finalidades distintas, por un lado, para gestionar a los nuevos integrantes del equipo y por otro lado para el control de acceso a la piscina. 

Responsable del Tratamiento: Siguiendo con el ejemplo, el ayuntamiento que recoge datos personales para dos finalidades es el responsable del uso de esos datos. Tiene responsabilidad ante la ley. 

Encargado de Tratamiento: Si el ayuntamiento contrata a una empresa para el control de acceso de la piscina, esta empresa se convierte en encargado de tratamiento con responsabilidades en la gestión de los datos personales a los que acceda. Esta responsabilidad al Encargado se trasladará a este por parte del Responsable del Tratamiento mediante contrato. 

Responsabilidades: El Responsable del Tratamiento, antes de recoger los datos de los usuarios de la piscina debe tener claro que el tratamiento es lícito, leal y transparente con el afectado:

  • Debe tener claramente definido para qué recoge los datos.
  • Limitados a la finalidad, es decir, esta debe estar definida, explícita y legítima, es decir, un ayuntamiento no puede requerir los datos para finalidades que no le competen. 
  • Recoger los mínimos imprescindibles para la finalidad, es decir, no tiene sentido que solicite la altura de la persona o su peso para el control de acceso que pretende.
  • Limitación en el plazo de conservación. El tiempo que tiene los datos de la persona serán el mínimo imprescindible para lo que se solicitaron. Si la persona se da de baja de la piscina ¿qué necesidad tiene la entidad de mantener para siempre la información que recogió para esa finalidad?
  • Integridad y seguridad. Como responsable del tratamiento la organización se tiene que dotar de todos los mecanismos que garanticen su adecuada seguridad, es decir, contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. 
  • Responsabilidad proactiva. Una novedad interesante con respecto a la anterior normativa. El responsable deberá cumplir y demostrar el cumplimiento de estos principios en cualquier momento.

Tus derechos

Como persona física interesada, el afectado, tienes una serie de derechos que el Responsable del Tratamiento deberá satisfacer en unos plazos máximos establecidos:

Derecho de acceso: Tienes derecho a ser informado de todo lo relativo a los datos que tienen de ti. 

Derecho de rectificación: Tienes derecho a que se rectifiquen los datos inexactos o incompletos.

Derecho de supresión (derecho al olvido): Tienes derecho a que supriman tus datos, eso sí, te quedarás sin poder acceder a la piscina. 

Derecho a la limitación del tratamiento: Solicitar que se suspenda el tratamiento en determinadas circunstancias.

Derecho de oposición: Tienes derecho a oponerte a un tratamiento por motivos personales o cuanto el tratamiento tiene por objeto el marketing directo.

Pautas para el cumplimiento en las organizaciones

El siguiente listado muestra de manera sucinta cómo cumplir con el RGPD/LOPDGDD. Apóyate en proveedores que te ayuden, conocen la normativa y adecuarán el requisito al contexto interno de tu organización:

  • Designa un Delegado de Protección de Datos si es obligatorio para tu empresa. Todas las Administraciones públicas están obligadas a contar con esta figura. 
  • Elabora un Registro de Actividades de Tratamiento teniendo en cuenta su finalidad y base jurídica que lo legitima.
  • Realiza un análisis de riesgos.
  • Revisa las medidas de seguridad a la luz de los resultados del análisis de riesgos. 
  • Establece mecanismos y procedimientos de notificación de brechas de seguridad.
  • A partir de los resultados del análisis de riesgos, realiza, en su caso, una evaluación de impacto en la protección de datos. 
  • Adecúa los formularios para garantizar el derecho de información.
  • Elabora/adapta los mecanismos y procedimientos para el ejercicio de los derechos. 
  • Valora si los Encargados de Tratamiento ofrecen garantías y adapta los contratos.
  • Elabora/adapta la política de privacidad de tu organización.

Documenta todas las actuaciones y deja registro de toda la actividad de gestión.

Compartir

Compartir en Linkedin