Principios de protección de datos: licitud, lealtad, transparencia, minimización, exactitud, integridad y confidencialidad

por Joaquín Muñoz. Director del Área de Derecho Tecnológico de ONTIER

 El legislador europeo no ha desaprovechado la oportunidad de afianzar en el Reglamento 679/2016, General de Protección de Datos, numerosos principios jurídicos que, con punto de partida en la Directiva 95/46 y las normativas nacionales de desarrollo, la jurisprudencia del Tribunal de Justicia de la Unión Europea ha ido desarrollando y habrán de ser en los próximos años la base de tratamiento en todos los procesos que involucren datos de carácter personal.

Esto se traduce, en la práctica, en la obligación a futuro de las empresas a la hora de revisar y hacer guardar estos principios siempre que apliquen técnicas de privacidad desde el diseño a nuevos tratamientos, pues deberán comprobar que los mismos cumplen con unas condiciones mínimas de garantía para los derechos de los afectados.

Así, conceptos como la licitud, lealtad y transparencia del tratamiento en relación con el interesado, las garantías de minimización, exactitud e integridad de los datos o el deber de confidencialidad sobre los mismos son algunos de los principios que los responsables del tratamiento han de integrar de un modo natural en sus procesos para que sean el punto de partida del cumplimiento normativo en materia de protección de datos de carácter personal. A continuación, vamos a desgranar cada uno de ellos individualmente de cara a conocer los requisitos mínimos de su cumplimiento.

SUMARIO:

• Licitud, lealtad y transparencia
• Minimización
• Exactitud
• Integridad y confidencialidad

• Licitud, lealtad y transparencia

El Reglamento, en su artículo 5.1.a) especifica que los datos personales deben ser tratados de manera lícita, leal y transparente en relación con el interesado. Dicho requerimiento de licitud se desarrolla en el artículo 6, proveyendo de un listado de condiciones mínimas que se requieren como base mínima de licitud, resumiendo:

1. el consentimiento del interesado;
2. el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte;
3. el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
4. el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
5. el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
6. el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.

Ya anteriormente en los Considerandos 45 y 50 se recuerda que el tratamiento para poder ser llevado a cabo debe tener una base en el Derecho de la Unión o de los Estados miembros, es decir, que siempre que se traten datos personales ha de existir algún tipo de habilitación y se debe tener en cuenta, entre otras cosas, cualquier relación entre los fines que justificaron la recogida de los datos y los fines del tratamiento previsto posteriormente. Para ello, habrá de considerarse el contexto en el que se recogieron los datos, la información facilitada al usuario en ese proceso y, en particular, las expectativas razonables del interesado basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los interesados del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista. El responsable del tratamiento, por tanto, ha de ser transparente en todo caso con la información acerca de sus intenciones de tratamiento de datos del usuario y no debe ocultar al mismo ninguna finalidad con la que vaya a tratar su información, por obvia que esta parezca o por mucho que fuere una práctica habitual en la forma de proceder de las empresas. Esta obligación de transparencia se desarrolla en el artículo 12 del propio Reglamento donde se establece la obligación de facilitar al interesado toda la información relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, implicando que no es suficiente con entregar al usuario la información, sino que el lenguaje y medios utilizados juegan también un papel importante.

Se introduce por este medio uno de los conceptos claves en cuanto a la justificación del tratamiento por parte del responsable. No es otro que el de la expectativa razonable de privacidad del afectado. Atendiendo a las circunstancias concretas del contexto en el que se realiza la recogida de datos, el responsable debe considerar cuál es la intención del interesado al entregarle sus datos, qué espera recibir en contraprestación y cuál es el uso máximo que entiende razonable por parte del responsable a cambio de sus datos. Las finalidades accesorias a la principal que el responsable pretenda realizar han de estar, por tanto, muy claramente definidas en la información proporcionada y no se debe dar por sentado que el usuario otorga su consentimiento a las mismas, acudiendo sin excepción, a cualquiera de las bases de legitimación del tratamiento previstas.

En el Título IV del texto actual del Proyecto de Ley Orgánica de Protección de Datos español, se recogen «Disposiciones aplicables a tratamientos concretos», incorporando una serie de supuestos que en ningún caso debe considerarse exhaustiva de todos los tratamientos lícitos, pero que concretan de algún modo conceptos que en el Reglamento se habían dejado a interpretación de los Estados Miembros, como puede ser el interés legítimo del responsable o los requisitos concretos de licitud en el ámbito de videovigilancia, los ficheros de exclusión publicitaria, la función estadística o con fines de archivo de interés general o los sistemas de denuncias internas en el sector privado en que la licitud del tratamiento proviene de la existencia de un interés público.

Por último, destacar que el artículo 72 del Proyecto, considera como infracción muy grave “b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679”.

• Minimización

Por su parte, el artículo 5.1.c) establece que los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Este principio está directamente relacionado con el principio de calidad que ya se exigía en la anterior Directiva y que tuvo su desarrollo en nuestro país en el artículo 4 de la LOPD.

Este principio encuentra su aplicación práctica en la aplicación de la protección de datos desde el diseño, recomendando el propio Reglamento la implementación de medidas técnicas y organizativas destinadas a asegurar el menor impacto en la privacidad del interesado utilizando para ello, por ejemplo, la “seudonimización”, definida como “el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable”.

Así, el responsable del tratamiento procurará en todo caso recabar y utilizar la menor información posible del interesado para cumplir con las finalidades legítimas del tratamiento, aplicando en cada momento las técnicas más actuales para garantizar el equilibrio entre sus intereses y el mínimo impacto en los datos personales del afectado.

Es importante aclarar que el tratamiento de datos seudonimizados del afectado sí está sujeto a cumplimiento de las medidas de seguridad que exige la normativa ya que estamos hablando de una técnica que permite en todo caso al responsable revertir el proceso para llegar a identificar al interesado. Otra cuestión será la aplicación de técnicas de anonimización o disociación enfocadas a la protección total de la identidad del afectado.

• Exactitud

Por su parte, el principio de exactitud requiere que los datos tratados sean “exactos y, si fuera necesario, actualizados”, para lo cual, continúa “se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan”. Como en el caso de la minimización, este precepto ya está oportunamente imbricado en nuestra cultura de tratamiento gracias al artículo 4.3 de la LOPD y el 8.5 de su Reglamento de desarrollo, que exigen la veracidad de los datos y la obligación por parte del responsable de su puesta al día para que reflejen la realidad actual del afectado.

Se exige, por tanto, al responsable que sea proactivo en la actualización de la información del afectado que consta en sus registros, pudiendo establecer incluso mecanismos técnicos para su actualización automática. Esto implica, en la práctica, que el responsable deberá ser diligente en la rectificación de los datos del afectado cuando este así se lo requiera mediante el ejercicio de su derecho, pero, además, deberá hacer lo que esté en su mano para mantener actualizados sus registros. Parece evidente que el primer interesado en mantener una ficha actualizada de los datos personales de sus usuarios sea el propio responsable para poder cumplir con las finalidades del modo más fiel posible.

Por su parte, la versión actual del Proyecto de Ley Orgánica de Protección de Datos limita, en su artículo 4, la responsabilidad en caso de que se hayan adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, los datos personales que sean inexactos con respecto a los fines para los que se tratan.

• Integridad y confidencialidad

Se exige a los responsables por medio de este principio que traten los datos personales de tal manera que se garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

Este principio está directamente relacionado con el de responsabilidad proactiva, por el cual los responsables están obligados a establecer, proceso por proceso de tratamiento, aquellas medidas que consideren mínimamente apropiadas para garantizar la confidencialidad y protección de la información. Esta obligación está, a su vez, vinculada con el propio interés legítimo del responsable en el sentido de que el esfuerzo que realice para garantizar la seguridad de la información ha de ser proporcionado, es decir, ha de existir coherencia en cuanto a los recursos destinados a la explotación de los datos y los dedicados a su protección.

Este deber de confidencialidad parece que va a encontrar su desarrollo en la futura Ley de Protección de Datos nacional, toda vez que se desarrolla su alcance en el artículo 5 del actual Proyecto recordando dicha obligación a los responsables del tratamiento y matizando que ésta será siempre complementaria del deber de secreto profesional de conformidad con la normativa aplicable de los responsables y que dichas obligaciones se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.

COCLUSIONES

La nueva regulación establece un paradigma de mínimos que los responsables del tratamiento han de respetar en todos los procesos. Se trata de un nuevo modelo de privacidad, mucho más proactivo respecto del anterior en el que las empresas han de respetar ciertos principios generales para imbricarlos en su cultura de protección de datos y tomar decisiones con base en ellos. La incertidumbre está, por el momento, en ver cómo las agencias de protección de datos van a considerar el esfuerzo realizado por las empresas para implementar estos principios cuando el resultado no sea el esperado.